博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
滚蛋吧!云端 DDoS 攻击
阅读量:5820 次
发布时间:2019-06-18

本文共 1571 字,大约阅读时间需要 5 分钟。

企业在转向云端是需要构建最安全的系统架构。根据云安全联盟(CSA)的报告《The Notorious Nine: Cloud Computing Top Threats in 2013》,针对企业云部署最常见的攻击就是分布式拒绝服务(DDoS)攻击。在最近的一篇博文中,亚马逊探讨了客户如何在他们的亚马逊Web服务(AWS)虚拟私有云(VPC)中使用安全群组和访问控制,从而减少攻击面,同时设计了一个云架构来保护企业免受DDoS攻击。反抗云中DDoS的概念能成真吗?本篇技巧将会解析核心概念和技术,基础架构和安全团队可以实践,从而减少当今云环境中企业所面临的DDoS攻击风险。

减少公开暴露

绝对没有一种方法能够完全消除分布式拒绝服务攻击的威胁,理解这一点很重要。为了有效地阻击DDoS攻击并维护云服务的可用性,要运用一些核心的概念。首先,企业需要减少全部公开暴露环境。对于AWS环境,通常是在VPC中设置安全群组和私有网络。亚马逊有很好的终端概述——对于流量的方向指向具体的虚拟机以及与之相关的服务——或者网络安全群组。

准备扩展和冗余

弹性和可扩展要防患于未然,确保扩展和冗余在分布式拒绝攻击期间可以按需使用,尤其是在多个地理区域的情况下。任何运行在云中的虚拟机实例都需要保证网络资源可用。

亚马逊用具体实例规模提供了加强网络,允许更多的每秒封包数从这些系统发出或者收到,从而改善性能。亚马逊提供了其弹性负载均衡(ELB)服务,对所有运行中的实例扮演一个前端的角色,也能够基于你的负载均衡需求分配流量到系统中。

微软针对所有的Azure提供了域名系统(DNS)和网络负载均衡,Rackspace提供了控制流量流的专属云负载均衡。对于开启新服务和在云端扩展设置自动触发器是另外一种常见方式,可以提供资源弹性。在一篇减少DDoS攻击的白皮书中,亚马逊建议使用其Auto Scaling功能,在具体的实例度量上设置触发器,比如CPU利用率、网络流量和服务状态检查——从而自动化流量扩展和针对实例的负载均衡。

利用内容加速网络

利用内容交付网络(CDN),比如AWS CloudFront、Azure Content Delivery Network或者第三方服务,比如来自Akamai或者CloudFlare的服务,来代理流量并执行“包洗涤”动作,在云资源受到明显影响之前帮助防御和减少DDoS攻击。这些CDN通过多边网络节点分散流量,可以按需缓存和分发内容。

大多数的CDN可以限制来自或者接收一个具体的国家或者区域的流量。Amazon CloudFront可以实施Origin Access Identity,严格限制对于Simple Storage Service的访问,具体的用户通过CloudFront提供服务,而非直接访问,针对分布式拒绝服务攻击。还有很多其他的中介服务或者平台可以减少 DDoS攻击,包括来自Imperva、Qualys和Barracuda这样的厂商的Web应用防火墙设备和服务。

分布式拒绝服务攻击防御

除了上面列出的这些关键概念,还有另外一种方法企业可以用来保护他们的基础设施。亚马逊建议使用DNS控制,比如Route 53服务来帮助控制DDoS。Route 53功能,诸如shuffle分片或者分布式DNS请求、anycast routing、alias record set——这是一种独立的DNS记录,可以在运行中快速改变,指向CloudFront或者ELB结点,以及私有DNS(仅限内部),可以帮助提供更多的灵活性和控制能力。

除了所有的这些功能,云提供商建议企业要认真追踪和监控云用例模式,开发健全的常规行为基准线,如果DDoS发生了,要积极主动的度量和控制响应。

本文作者:张培颖

来源:51CTO

转载地址:http://ohzdx.baihongyu.com/

你可能感兴趣的文章
解决Windows 7中文件关联和打开方式
查看>>
oracle系列(五)高级DBA必知的Oracle的备份与恢复(全录收集)
查看>>
hp 服务器通过串口重定向功能的使用
查看>>
国外10大IT网站和博客网站
查看>>
对java语言学习的个人看法
查看>>
android第十一期 - SmoothSwitchLibrary仿IOS切换Activity动画效果
查看>>
zabbix 批量web url监控
查看>>
大容量导入和导出数据 -- 格式化文件生成
查看>>
MongoDB CookBook读书笔记之导入导出
查看>>
shell如何快速锁定所有账号
查看>>
HTML 5实现的手机摇一摇
查看>>
Linux 文件IO理解
查看>>
Ninject 2.x细说---2.绑定和作用域
查看>>
30个非常时尚的网页联系表单设计优秀示例
查看>>
使用membership(System.Web.Security)来进行角色与权限管理
查看>>
opticom 语音质量验证白皮书
查看>>
3D实时渲染中的BSP树和多边形剔除
查看>>
Frank Klemm's Dither and Noise Shaping Page: Dither and Noise Shaping In MPC/MP+
查看>>
网络抓包的部署和工具Wireshark【图书节选】
查看>>
Redis在Windows+linux平台下的安装配置
查看>>