如何制订云DDoS保护计划

黑客并不只是窃取数据那么简单;他们还可能使用某些垃圾邮件的请求和流量来让应用运行崩溃。可以使用一些工具和技术来保护您的云免受DDoS攻击的危害。

公共云服务并不是IT世界中的世外桃源,它无法对安全方面的威胁免疫,它一样会受到那些致命攻击的入侵,其中就包括了拒绝服务攻击。即便攻击者无法入侵某个工作负载或者窃取存储在公共云中的数据,他们仍然能够通过超量的合法服务请求或流量来堵塞网络,从而降低云应用的运行性能,或者完全禁止某个应用或服务。

虽然公共云用户无法防止每一次进攻,但却可以采用一些重要措施来降低拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击的负面影响。一个强大的云DDoS和Dos保护计划可保护您的基础设施,以免在恶意攻击压力下岌岌可危。

什么是云计算中的Dos或DDoS攻击?

在云中,每一个应用都是在一个网络、计算和存储的基础设施中运行的。而其中每一种资源都有着一个最大的可用上限。例如,一台网络交换机每秒钟只能转发和扩散一定数量的数据包。当基础设施收到更多的请求或流量超出其应用限值时,应用程序就会忽略那些多余的请求并拒绝服务。

对于任何计算基础设施来说,这种拒绝服务行为都是一个正常的行为。但是,DoS攻击就是通过有意识地使用超大流量请求消耗基础设施的可用资源来恶意扩大这种拒绝服务的负面影响。如果攻击成功,DoS攻击可能会让一个应用(甚至整个计算基础设施)在数小时、数天乃至数周时间内都无法被访问。

一个DoS攻击通常都是从同一个IP地址发出的,所以使用防火墙技术发现并禁止其访问是相对比较容易的。而DDoS攻击则不同,它常常比DoS攻击要更加的危险,因为它发起攻击的IP数量更多,从而让管理人员更难以识别它们,更不用说如何来防范它们了。

DoS或DDoS攻击对云应用的影响效果与对本地部署应用的影响相类似;即,运行性能下降,应用可能无法访问。使用云监控资源,例如公共云供应商所提供的监控工具或日志记录工具就可发现并解决这一问题。

什么工具可以有助于防范云DDoS或DoS攻击?

针对恶意服务请求的最基本云DDoS和DoS保护措施就是传统的防火墙。但是,防火墙本身的管理与配置也是一个难题,而且非常耗时,特别对于DDoS攻击来说尤是如此。基于云的应用程序让这个问题变得更复杂了,因为企业用户几乎或根本就没有办法了解公共云中的流量信息。

这一状况也推动了保护本地与云应用程序的第三方服务的发展。市场上有着无数的云DDoS保护工具与服务,其中包括了来自于Imperva、CloudFlare、Akamai以及Verisign等公司的产品。这些服务通常都是以代理服务器形式工作:一个应用程序的流量首先被送入代理服务,由这个代理服务来识别和过滤恶意服务请求。然后,剩下的非恶意服务请求就会被送至应用程序。

采用第三方云DDoS或DoS保护服务的企业用户必须同时考虑可用性和可靠性两方面;如果这个服务出现故障,那么受保护的应用程序也可能变得不可用。

谷歌选择使用SDN来应对DoS攻击

不同的供应商采用不同的措施来帮助用户保护他们存储在云中的数据。例如,谷歌公司有一个可用于提供、配置和管理虚拟网络的Andromeda,这是一个软件定义网络。其目的在于创建一个安全、高性能和可编程的环境,以用于托管谷歌计算引擎的虚拟机。

Andromeda架构包括了一个DDoS攻击保护措施,同时还提供了透明负载均衡、路由、访问控制列表和防火墙,上述所有这些功能都使用了底层的Andromeda API和基础设施。

用户还能如何防止云DDoS或DoS攻击?

虽然目前还没有哪一个服务或工具能够确保完全防范DoS和DDoS攻击,但还是有一些应用设计和部署策略能够有助于减少这些恶意攻击的负面影响,特别是当在公共云中部署工作负载时尤是如此。

充分利用公共云平台(例如谷歌云平台或亚马逊网络服务)中的可用冗余资源,并在多个地区或区域部署实例。如果一个地区或区域因中断或攻击事件受到影响,那么用户仍然有可以正常接收服务请求并做出响应的替代实例。

应当向软件开发人员和云供应商工程师咨询,设计出一个可以为每一个特定应用程序提供所需弹性的云架构。请记住,所有的应用都是不一样的,其中只有最关键任务工作负载才需要这样的弹性。

当然,还有一些通用的应对措施可以帮助用户检测和防范云DDoS和DoS攻击。安装和维护反恶意软件综合工具;定期对操作系统和应用程序进行打补丁和升级等操作;对API调用使用认证机制;以及对本地防火墙或公共云防火墙进行配置以关闭不使用的端口。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2016-08-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

跨平台恶意软件Adwind卷土重来,这一次倒霉的是航空航天领域

网络犯罪分子其实都是机会主义者,随着各类操作系统的应用范围越来越广泛,他们也在不断地丰富自己的工具和技术。与此同时,为了尽可能地在网络犯罪活动中谋取更多的经济利...

30450
来自专栏FreeBuf

保护物联网安全的6条基本原则,你做到了几条?

随着物联网深入普及,点进来看这篇文章的你肯定也听说过各种关于“物联网宿命”的预言。任何联网的设备,例如,监控摄像、路由器、数字视频记录器、可穿戴设备、智能灯等都...

207100
来自专栏FreeBuf

黑了记者:写个恶意软件玩玩(一)

潘多省日报(Pando Daily)的编辑Adam Penenberg最近发表了一篇文章《我让黑客来调查我,他们的发现让我不寒而栗》,讲述了我和我的小伙伴“骚扰...

211100
来自专栏黑白安全

快速想出一个好记又破解不了的密码

现在的网络不断发展,越来越多的人会注册一些网站或者软件的账户,但是注册的账号可是一个大学问,我们既要方便自己记忆,同时又可以不被别人破解,这本身就是一个会比较矛...

72750
来自专栏Youngxj

关于支付宝的安全登录漏洞

21050
来自专栏顶级程序员

Wi-Fi 爆重大安全漏洞,Android、iOS、Windows 等所有无线设备都不安全了

移动设备横行的时代,Wi-Fi 已成为现代人生活的必备要素之一。但近日有计算机安全专家发现,Wi-Fi 设备的安全协议存在漏洞,如今用于保护 Wi-Fi 网络...

35140
来自专栏FreeBuf

隐私泄露 | 查开房网站的背后

0×00前言 随着网络的发展,个人信息泄露情况不断升级,个人信息在“黑市”的贩卖日益猖獗。网络中早已公然兜售酒店开房等信息,而这些信息仅可在少数渠道才可获得,准...

1.8K90

安全问题无处不在:从非托管桌面开始

未修补和不受监控的Windows桌面是一个开放的大门,可以让病毒和木马潜入您的网络。除了恶意软件,这些桌面还可以作为恶意用户窃取或删除关键公司数据的窗口。如果怀...

7530
来自专栏黑白安全

告诉你怎么样用WIFI逐步渗透至内网

这个是我帮助朋友公司做的一个渗透测试,在这之前,并没有收到任何相关信息,唯一的可用渠道就是WIFI,而对方的要求就是希望我测试一下,整个网络是否安全,是否存在漏...

13940
来自专栏AI科技大本营的专栏

GitHub 挂了

“见鬼???”,一位 Twitter 用户评论道,“我创建了一个公共存储库, 但当我敲下代码时, Git 客户端告诉我存储库不存在。此外,我无法打开http:/...

11720

扫码关注云+社区

领取腾讯云代金券