當企業(yè)不斷加快云技術(shù)的落地步伐,采用基礎設施即服務(wù)(IaaS)或軟件即服務(wù)(SaaS)等新技術(shù)時(shí),它們尋找解決方案在云架構當中實(shí)現安全訪(fǎng)問(wèn) 和可靠操作的需求也日益凸顯。目前看來(lái),由于企業(yè)數據保存在不同的設備當中,這些設備是由不同的提供商或合作伙伴提供,因此企業(yè)必須監控和保護全新的“安全邊界”。同樣,仔細權衡如何保護基于云計算的數據也應該作為企業(yè)整體安全策略的一部分納入到企業(yè)的考慮范圍。而保護應用免受分布式拒絕服務(wù)(DDoS)攻擊的影響則是最值得關(guān)注的事。
在不久前發(fā)生的針對源代碼托管供應商Code Spaces的真實(shí)攻擊案例中,攻擊者利用組合工具入侵了Code Spaces基于亞馬遜Web服務(wù)(AWS)的整體架構。該威脅始于攻擊者嘗試勒索Code Spaces,并以此作為停止對其發(fā)起的多載體DDoS攻擊的交換條件。最后,攻擊者控制了Code Spaces AWS控制臺,幾乎刪除了所有存儲在云中的數據。由此產(chǎn)生的因數據丟失和為SLA補救措施而付出的代價(jià)將使Code Spaces公司無(wú)法再運營(yíng)下去。
這樣的結果雖不太常見(jiàn),但是說(shuō)明了一個(gè)重要問(wèn)題:如果企業(yè)計劃遷移至云中,其中一步要做的就是制訂嚴密的計劃來(lái)應對DDoS攻擊的泛濫及其不斷增加 的威脅。多數企業(yè)都不相信自己會(huì )成為DDoS攻擊的受害者,因此在制定IT預算時(shí),部署適當的防御措施總是被放在預算優(yōu)先表項的末尾。事實(shí)上,多數企業(yè)都 缺乏檢測工具,因而不清楚有多少攻擊已經(jīng)成功入侵了自己的數字資產(chǎn)。IaaS和SaaS提供商應該可以創(chuàng )建堅固的安全防御機制,以幫助企業(yè)應對DDoS攻 擊。
客戶(hù)在主動(dòng)采取相應防御措施的同時(shí)還應該對云提供商DDoS緩解能力的進(jìn)行評估。Radware云服務(wù)總監Bill Lowry長(cháng)期以來(lái)都致力于云計算的研究,他在其發(fā)表的文章中指出了在基于云的解決方案中應用DDoS緩解策略時(shí)會(huì )遇到的問(wèn)題,也闡述了云計算的五大亟待 解決的安全問(wèn)題。
防護新的企業(yè)邊界
過(guò)去,企業(yè)只需將安全重心放在保護數據中心的出口上。采用云技術(shù)就意味著(zhù)企業(yè)數據和應用會(huì )分發(fā)到多個(gè)數據中心,這就為企業(yè)創(chuàng )建了新的安全邊界,企業(yè)要在更多的地方實(shí)施防護。那么企業(yè)該如何在所有保存企業(yè)數據的地方防御攻擊呢?
技術(shù)實(shí)現方式:許多云服務(wù)提供商測試或部署了可以檢測分布式拒絕服務(wù)攻擊的技術(shù),但是多數技術(shù)都是基于網(wǎng)絡(luò )采樣數據實(shí)現的。內聯(lián)部署可以檢測所有的 入站和出站流量,提供最全面的檢測和DDoS攻擊緩解措施。用戶(hù)在評估云服務(wù)提供商時(shí),還要了解他們使用何種工具進(jìn)行DDoS檢測。
維護可用性
就定義來(lái)看,云技術(shù)是一種遠程訪(fǎng)問(wèn)技術(shù)。如果企業(yè)的云服務(wù)提供商遭遇了嚴重的DDoS攻擊,對服務(wù)的網(wǎng)絡(luò )訪(fǎng)問(wèn)遭到禁止,這等同于企業(yè)應用被“宕機”了。企業(yè)的云服務(wù)提供商又要采取什么措施來(lái)防止這種情況發(fā)生在企業(yè)身上呢?
技術(shù)實(shí)現方式:云服務(wù)提供商應該部署云端和本地DDoS組合緩解工具。這種混合方法可以提供最佳的可用防護:本地部署的硬件可以檢測并緩解攻擊,同時(shí)還能自動(dòng)將攻擊流量轉移至云端清洗中心。清洗中心必須可以處理幾百Gb大小的攻擊,從而改善云服務(wù)提供商保護企業(yè)資源和業(yè)務(wù)運行的能力。
租戶(hù)之間實(shí)現隔離保護
攻擊人員可以跟普通用戶(hù)一樣購買(mǎi)云服務(wù)。那么又如何在云環(huán)境內部保護企業(yè)數據遠離威脅?
技術(shù)實(shí)現方式:用戶(hù)可以部署安全工具,保護部署在云端的服務(wù)器。Web應用防火墻可以檢測并攔截基于服務(wù)器的攻擊,即便這些攻擊來(lái)自于與服務(wù)器所在的同一個(gè)云端架構。此外,未來(lái)部署的軟件定義網(wǎng)絡(luò )(SDN)使得提供商也可以利用網(wǎng)絡(luò )來(lái)檢測攻擊。與SDN控制器協(xié)作的安全技術(shù)可以查找可疑數據流,將其 重定向到防御設備進(jìn)行修復,與此同時(shí),正常數據流仍會(huì )沿正常路徑在網(wǎng)絡(luò )中進(jìn)行傳送。
安全工具的大規模定制
為了建立有利于云計算市場(chǎng)競爭的定價(jià),多數提供商都會(huì )選擇創(chuàng )建對多數用戶(hù)都可用的一般性保護配置文件,以降低解決方案成本。那么采用通用安全協(xié)議的云服務(wù)提供商又如何滿(mǎn)足特定安全需求呢?
技術(shù)實(shí)現方式:云服務(wù)提供商可以而且應該為整個(gè)客戶(hù)群提供通用、完善的保護措施。但是也應該能夠結合用戶(hù)安全現狀提供可以建立獨特防護措施的安全工具。確保用戶(hù)可以自定義配置云服務(wù)提供商提供的安全工具,以滿(mǎn)足用戶(hù)的特定需求。
小即是大
每周刊登的頭條新聞都會(huì )談?wù)撟钚碌尼槍Υ笮豌y行或知名網(wǎng)站的千兆級大流量攻擊。然而,僅有約25%的DDoS攻擊是大流量攻擊。云服務(wù)提供商該如何幫助企業(yè)應對這些大流量攻擊呢?
技術(shù)實(shí)現方式:小流量攻擊不像大流量攻擊那樣可以瞬間堵塞互聯(lián)網(wǎng)帶寬。它們針對的是支撐企業(yè)應用的關(guān)鍵設備——防火墻、負載均衡器、IPS/IDS 和服務(wù)器。這些攻擊只需要很小的帶寬,幾乎小到運營(yíng)商不會(huì )察覺(jué)到流量的增加。這些專(zhuān)注于資源耗盡或應用漏洞的低速慢速攻擊通常不會(huì )被專(zhuān)用于檢測大流量攻擊 的工具檢測到。在遷移到云之前,確保云服務(wù)提供商可以提供幫助用戶(hù)檢測并緩解這類(lèi)小流量攻擊的解決方案。
