雲DDos防護：企業需了解的那些事兒

ddos攻擊是一個不斷出現的問題，企業應該考慮使用雲ddos防護服務。本文，專家frank siemons對有哪些雲ddos可供我們選擇進行了探讨。

分布式拒絕服務攻擊的指數級增長（現在要比10年前多達50倍）讓許多組織擔心自己會成為下一個目标。對于大多數這些組織來說成為分布式拒絕服務或者ddos攻擊的受害者隻是遲早的事而已，當輪到他們時，組織是否已經準備好，以及他們實際上可以準備到何種程度？

2016年bbc網站遭受ddos攻擊達到了每秒602千兆位（gbps）的峰值，成為曆史上最大的一次ddos攻擊。一次精心組織的有針對性的ddos攻擊可以輕松地在受害目标上發動100 gbps持續的流量。即便組織的平均連接配接帶寬是以幾乎相同的速度增長，這些攻擊的複雜性和特定目标性意味着攻擊正在不斷的變得更加難以處理。企業需要在專屬硬體，軟體和專業技能上投入大量資源，或将這些ddos防護服務外包給第三方。因為第三方可以将其大容量的基礎設施成本分攤給許多不太可能在同一時間受到攻擊的其他客戶，這對于小型，中型甚至一些大型企業而言，通常是一個最可行的選項。

雲ddos保護服務附加元件

公有雲服務提供商（csp），如亞馬遜網絡服務、微軟azure和rackspace被認為最适合應對這種日益增長的需求。他們正在與雲ddos防護提供商（例如cloudflare）競争，但卻擁有一個最重要的優勢：就是客戶已經在一個或多個産品（如iaas或saas）上達成協定。這意味着ddos保護服務隻是對現有合同的更多附加。大部分的技術，例如流量路由，都可以由公有雲服務提供商負責，而不需要另一方的介入。

在某些情況下，雲服務提供商可能選擇将ddos防護服務外包給專門的提供商，如cloudflare或imperva。即使是這樣，公有雲客戶仍然沒有什麼可以擔心的。

雲ddos防護的潛在好處

除了易于限制服務提供商的數量之外，使用雲ddos防護的一個好處是csp了解他們的網絡，間接的監控網絡以發現潛在的ddos攻擊，并對各種可用的緩解措施有更多的自主權。在一個持續很多天，數周甚至數月攻擊的情況下，還可以使用諸如快速重定位到另一個虛拟網絡或另一個真實的資料中心這樣的選項。

另一個組織應該考慮的重要因素是誰來支付由于ddos攻擊導緻的資料量劇增的帳單。這個問題更複雜。盡管許多csp允許對ddos攻擊的情況下所産生的意外的高費用不計入帳單，但這在該csp負責處理ddos攻擊及其潛在的緩解時更容易管理和證明。這就要求客戶對供應商做進一步的研究。例如，一些csp對流入的流量不收費，這是一個重要的考量因素。

雲ddos防護的可用選項

這種平台範圍内的保護不包括個人客戶及其客戶自己特定的配置，需求和優先級。客戶需要進一步的處理類似基于應用程式的ddos攻擊，這些攻擊的防護更加定制化和更針對客戶的公共托管服務。想象一個低到中等帶寬的專門針對一個使用http協定的客戶網站的ddos攻擊。如果不了解網站的細節，csp可能不會注意到攻擊。csp安全團隊在沒有對該服務有深入了解的前提下，如何知道這是一次攻擊，而不是一個受歡迎的線上銷售網站？如果該csp實際上檢測到了攻擊，它有可能不被授權或不具備足夠的知識可以采取自定義的緩解措施。這意味着需要一種定制的雲ddos防護服務。大多數的大型公有雲服務提供商都提供可選的每客戶ddos防護，通常需要支付額外的費用。這可以提供給客戶定制的ddos保護配置，深入分析和警報的功能，以滿足客戶自己的組織結構和需求。

不難看出，公有雲ddos防護産品很值得研究，特别是那些已經可以管理大多數現有雲服務的産品。當然，并非所有組織都将他們主要的線上服務托管在公有雲基礎架構中。比如私有雲配置或客戶管理的資料中心。在這種情況下，第三方或自管理ddos保護的好處就可以脫穎而出。我們有足夠多的選擇，需要做的僅僅隻是在不同的選項之間作出各種權衡。

本文轉自d1net（轉載）