版权归作者所有,转载请注明出处
为什么混合始终在线保护是您的最佳选择
为什么混合始终在线保护是您的最佳选择
今天的用户想要更多。在线竞争的普遍性和便利性意味着客户希望一切都更好、更快、更便宜。用户体验的一个关键组成部分是服务可用性。客户希望应用程序和在线服务始终可用且响应迅速。
然而,问题在于,新一代更大、更复杂的分布式拒绝服务 (DDoS) 攻击使DDoS 保护成为一项比以往更具挑战性的任务。大规模的物联网僵尸网络正在导致规模越来越大的 DDoS 攻击,而更复杂的应用层攻击则找到了耗尽服务器资源的新方法。最重要的是,持续向加密流量的转变正在为强大的 SSL DDoS 洪水带来新的挑战。
传统的 DDoS 防御——无论是基于本地的还是基于云的——都提供了不完整的解决方案,需要在高容量容量保护、针对复杂的应用层DDoS 攻击的保护和 SSL 证书的处理之间进行固有的权衡。因此,该解决方案采用了一种新的混合 DDoS 保护模型,该模型将基于本地的设备与始终在线的云服务相结合。
全面保护需要双管齐下
随着 DDoS 攻击变得更加复杂,组织需要更精细的保护措施来缓解此类攻击。然而,为了保证完全保护,许多类型的攻击——尤其是更复杂的攻击——需要对入站和出站通道的可见性。
诸如大文件 DDoS 攻击、ACK 洪水、扫描攻击等攻击利用出站通信通道进行仅通过查看入口流量无法识别的攻击。此类攻击是通过发送少量入站请求来执行的,这些请求对出站通道或网络内的计算资源具有不对称且不成比例的影响。
SSL 正在创造新的挑战
最重要的是,SSL/TLS 流量加密增加了另一层复杂性。在很短的时间内,大部分互联网流量都已加密。流量加密有助于保护客户数据,用户现在希望安全成为服务体验的一部分。根据Mozilla 基金会的 Let's Encrypt 项目,全球近 80% 的互联网流量已经被加密,而且这个比率还在不断增长。
具有讽刺意味的是,虽然 SSL/TLS 对于保护用户数据至关重要,但它也带来了重大的管理挑战,并使服务暴露于新一代强大的 DDoS 攻击:
· 增加 DDoS 攻击的效力:SSL/TLS 连接需要来自目标服务器的资源比请求主机多 15 倍。这意味着黑客可以仅使用少量连接就可以发起毁灭性攻击,并使用 SSL 泛洪快速淹没服务器资源。
· 数据有效负载的屏蔽:此外,根据定义,加密会屏蔽流量请求的内部内容,从而防止对数据包进行深度检查以防止恶意流量。这限制了反 DDoS 防御层的有效性,以及它们可以检测到的攻击类型。对于隐藏在 SSL 加密覆盖范围内的应用层 (L7) DDoS 攻击来说尤其如此。
· SSL 密钥暴露:许多组织、国家或行业法规禁止与第三方实体共享 SSL 密钥。这给必须提供最安全的用户体验同时保护其 SSL 密钥不被泄露的组织带来了独特的挑战。
· 延迟和隐私问题:在云中卸载 SSL 流量通常是一项复杂且耗时的任务。大多数基于云的 SSL DDoS 解决方案都需要云提供商对客户流量进行完全解密,从而损害用户隐私并增加客户通信的延迟。
现有解决方案提供部分覆盖
然而,问题在于现有的反 DDoS 防御无法提供能够提供大容量容量保护的解决方案,同时提供复杂类型攻击所需的双向保护。
本地设备可针对各种 DDoS 攻击提供高级别的保护,同时提供极低的延迟和快速响应。此外,作为内部部署,它们允许公司处理基于 SSL 的攻击,而无需将其加密密钥暴露给外界。由于它们对入站和出站流量都有可见性,因此它们提供了针对对称 DDoS 攻击的双向保护。然而,物理设备无法应对大规模物联网僵尸网络时代已经司空见惯的大规模容量攻击。
另一方面,基于云的 DDoS 防护服务拥有应对大规模流量攻击的带宽。但是,它们仅提供对入站通信渠道的可见性。因此,他们很难抵御双向 DDoS 攻击。此外,基于云的 SSL DDoS 防御(如果供应商有的话)经常要求组织在线上传其 SSL 证书,从而增加了这些密钥被暴露的风险。
最佳解决方案:混合始终在线方法
对于高度重视用户体验并希望避免因 DDoS 攻击而导致的最轻微停机的公司,最佳解决方案是部署始终在线的混合解决方案。
DDoS 保护的混合方法将本地硬件设备与始终在线的基于云的清理能力相结合。这有助于确保服务免受任何类型的攻击。
