黑客并不只是竊取數(shù)據(jù)那么簡單;他們還可能使用某些垃圾郵件的請求和流量來讓應(yīng)用運(yùn)行崩潰??梢允褂靡恍┕ぞ吆图夹g(shù)來保護(hù)您的云免受DDoS攻擊的危害。
公共云服務(wù)并不是IT世界中的世外桃源,它無法對安全方面的威脅免疫,它一樣會(huì)受到那些致命攻擊的入侵,其中就包括了拒絕服務(wù)攻擊。即便攻擊者無法入侵某個(gè)工作負(fù)載或者竊取存儲(chǔ)在公共云中的數(shù)據(jù),他們?nèi)匀荒軌蛲ㄟ^超量的合法服務(wù)請求或流量來堵塞網(wǎng)絡(luò),從而降低云應(yīng)用的運(yùn)行性能,或者完全禁止某個(gè)應(yīng)用或服務(wù)。
雖然公共云用戶無法防止每一次進(jìn)攻,但卻可以采用一些重要措施來降低拒絕服務(wù)(DoS)或分布式拒絕服務(wù)(DDoS)攻擊的負(fù)面影響。一個(gè)強(qiáng)大的云DDoS和Dos保護(hù)計(jì)劃可保護(hù)您的基礎(chǔ)設(shè)施,以免在惡意攻擊壓力下岌岌可危。
什么是云計(jì)算中的Dos或DDoS攻擊?
在云中,每一個(gè)應(yīng)用都是在一個(gè)網(wǎng)絡(luò)、計(jì)算和存儲(chǔ)的基礎(chǔ)設(shè)施中運(yùn)行的。而其中每一種資源都有著一個(gè)最大的可用上限。例如,一臺網(wǎng)絡(luò)交換機(jī)每秒鐘只能轉(zhuǎn)發(fā)和擴(kuò)散一定數(shù)量的數(shù)據(jù)包。當(dāng)基礎(chǔ)設(shè)施收到更多的請求或流量超出其應(yīng)用限值時(shí),應(yīng)用程序就會(huì)忽略那些多余的請求并拒絕服務(wù)。
對于任何計(jì)算基礎(chǔ)設(shè)施來說,這種拒絕服務(wù)行為都是一個(gè)正常的行為。但是,DoS攻擊就是通過有意識地使用超大流量請求消耗基礎(chǔ)設(shè)施的可用資源來惡意擴(kuò)大這種拒絕服務(wù)的負(fù)面影響。如果攻擊成功,DoS攻擊可能會(huì)讓一個(gè)應(yīng)用(甚至整個(gè)計(jì)算基礎(chǔ)設(shè)施)在數(shù)小時(shí)、數(shù)天乃至數(shù)周時(shí)間內(nèi)都無法被訪問。
一個(gè)DoS攻擊通常都是從同一個(gè)IP地址發(fā)出的,所以使用防火墻技術(shù)發(fā)現(xiàn)并禁止其訪問是相對比較容易的。而DDoS攻擊則不同,它常常比DoS攻擊要更加的危險(xiǎn),因?yàn)樗l(fā)起攻擊的IP數(shù)量更多,從而讓管理人員更難以識別它們,更不用說如何來防范它們了。
DoS或DDoS攻擊對云應(yīng)用的影響效果與對本地部署應(yīng)用的影響相類似;即,運(yùn)行性能下降,應(yīng)用可能無法訪問。使用云監(jiān)控資源,例如公共云供應(yīng)商所提供的監(jiān)控工具或日志記錄工具就可發(fā)現(xiàn)并解決這一問題。
什么工具可以有助于防范云DDoS或DoS攻擊?
針對惡意服務(wù)請求的最基本云DDoS和DoS保護(hù)措施就是傳統(tǒng)的防火墻。但是,防火墻本身的管理與配置也是一個(gè)難題,而且非常耗時(shí),特別對于DDoS攻擊來說尤是如此?;谠频膽?yīng)用程序讓這個(gè)問題變得更復(fù)雜了,因?yàn)槠髽I(yè)用戶幾乎或根本就沒有辦法了解公共云中的流量信息。
這一狀況也推動(dòng)了保護(hù)本地與云應(yīng)用程序的第三方服務(wù)的發(fā)展。市場上有著無數(shù)的云DDoS保護(hù)工具與服務(wù),其中包括了來自于Imperva、CloudFlare、Akamai以及Verisign等公司的產(chǎn)品。這些服務(wù)通常都是以代理服務(wù)器形式工作:一個(gè)應(yīng)用程序的流量首先被送入代理服務(wù),由這個(gè)代理服務(wù)來識別和過濾惡意服務(wù)請求。然后,剩下的非惡意服務(wù)請求就會(huì)被送至應(yīng)用程序。
采用第三方云DDoS或DoS保護(hù)服務(wù)的企業(yè)用戶必須同時(shí)考慮可用性和可靠性兩方面;如果這個(gè)服務(wù)出現(xiàn)故障,那么受保護(hù)的應(yīng)用程序也可能變得不可用。
谷歌選擇使用SDN來應(yīng)對DoS攻擊
不同的供應(yīng)商采用不同的措施來幫助用戶保護(hù)他們存儲(chǔ)在云中的數(shù)據(jù)。例如,谷歌公司有一個(gè)可用于提供、配置和管理虛擬網(wǎng)絡(luò)的Andromeda,這是一個(gè)軟件定義網(wǎng)絡(luò)。其目的在于創(chuàng)建一個(gè)安全、高性能和可編程的環(huán)境,以用于托管谷歌計(jì)算引擎的虛擬機(jī)。
Andromeda架構(gòu)包括了一個(gè)DDoS攻擊保護(hù)措施,同時(shí)還提供了透明負(fù)載均衡、路由、訪問控制列表和防火墻,上述所有這些功能都使用了底層的Andromeda API和基礎(chǔ)設(shè)施。
用戶還能如何防止云DDoS或DoS攻擊?
雖然目前還沒有哪一個(gè)服務(wù)或工具能夠確保完全防范DoS和DDoS攻擊,但還是有一些應(yīng)用設(shè)計(jì)和部署策略能夠有助于減少這些惡意攻擊的負(fù)面影響,特別是當(dāng)在公共云中部署工作負(fù)載時(shí)尤是如此。
充分利用公共云平臺(例如谷歌云平臺或亞馬遜網(wǎng)絡(luò)服務(wù))中的可用冗余資源,并在多個(gè)地區(qū)或區(qū)域部署實(shí)例。如果一個(gè)地區(qū)或區(qū)域因中斷或攻擊事件受到影響,那么用戶仍然有可以正常接收服務(wù)請求并做出響應(yīng)的替代實(shí)例。
應(yīng)當(dāng)向軟件開發(fā)人員和云供應(yīng)商工程師咨詢,設(shè)計(jì)出一個(gè)可以為每一個(gè)特定應(yīng)用程序提供所需彈性的云架構(gòu)。請記住,所有的應(yīng)用都是不一樣的,其中只有最關(guān)鍵任務(wù)工作負(fù)載才需要這樣的彈性。
當(dāng)然,還有一些通用的應(yīng)對措施可以幫助用戶檢測和防范云DDoS和DoS攻擊。安裝和維護(hù)反惡意軟件綜合工具;定期對操作系統(tǒng)和應(yīng)用程序進(jìn)行打補(bǔ)丁和升級等操作;對API調(diào)用使用認(rèn)證機(jī)制;以及對本地防火墻或公共云防火墻進(jìn)行配置以關(guān)閉不使用的端口。
文章編輯:CobiNet(寧波),本公司專注于電訊配件,銅纜綜合布線系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)超五類,六類,七類屏蔽網(wǎng)線/屏蔽模塊及相關(guān)模塊配件,歡迎來電咨詢0574 88168918,網(wǎng)址jsxlzg.com
?2016-2019寧波科博通信技術(shù)有限公司版權(quán)所有浙ICP備16026074號