混合防護措施:兩全其美的方法
本地解決方案完全依賴(lài)于本地硬件設備,按需和永遠在線(xiàn)的解決方案是完全基于云的,而混合模式則是將本地硬件設備和可擴展容量結合在一起,可以應對大流量攻擊。
在正常的業(yè)務(wù)過(guò)程中,流量直接流向數據中心。本地設備將檢查攻擊流量,并攔截多數攻擊。然而,如果檢測到可能擊垮設備(甚至完全擁塞管道)的大規模攻擊,流量就會(huì )轉發(fā)到云端清洗中心。清洗中心將攔截攻擊流量,只將潔凈流量發(fā)回給客戶(hù)。一旦攻擊結束,流量就會(huì )轉發(fā)回已經(jīng)恢復正常功能的設備。
混合DDoS防護措施為企業(yè)提供了兩全其美的解決方案:本地解決方案的低延遲和高控制能力,以及云端解決方案的可擴展容量。
優(yōu)缺點(diǎn):
和其它部署模型一樣,選擇混合DDoS防護解決方案也有一定的優(yōu)缺點(diǎn):
- 最佳防護質(zhì)量:混合防護措施是多數安全分析人員推薦的最佳方法,因為該措施結合了低延遲和高容量,可以實(shí)現關(guān)鍵業(yè)務(wù)服務(wù)防護。
- 即時(shí)檢測:由于流量在任何時(shí)候都要流經(jīng)本地設備,因此設備可以立即檢測到攻擊。這是一種優(yōu)勢,尤其是對于在開(kāi)始轉發(fā)之前通常有一個(gè)檢測和防護缺口的云端按需服務(wù)而言。
- 可擴展容量:混合模式的重要優(yōu)勢是在大規模的大流量攻擊中可擴展的緩解容量。此類(lèi)攻擊能夠擊垮獨立的硬件設備,甚至會(huì )擁塞整個(gè)通往數據中心的管道。擁有備份云容量的客戶(hù)可以處理任何攻擊,不管攻擊規模如何。
- 低延遲:由于日常防護是由位于數據中心的本地設備直接處理的,因此混合解決方案可以實(shí)現低延遲。只有在出現攻擊時(shí)流量才會(huì )轉發(fā)到云端。這相對于即使在和平時(shí)期通常也會(huì )增加通信延遲的云端永遠在線(xiàn)解決方案而言也是一個(gè)優(yōu)勢。
- 監管:處于金融或醫療等受監管行業(yè)的企業(yè)在將服務(wù)遷移到云端時(shí)會(huì )頻繁受到限制。因此,混合解決方案在多數時(shí)候可以提供有效的本地設備,而在大規模攻擊中則可以實(shí)現備份容量。
- 控制:擁有本地設備可以實(shí)現更好的控制能力和可配置性,特別是對于擁有獨特網(wǎng)絡(luò )拓撲或特定需求的企業(yè)而言。
然而,混合DDoS防護模式也有許多缺點(diǎn):
- 管理開(kāi)銷(xiāo):本地解決方案通常會(huì )引發(fā)更高的管理開(kāi)銷(xiāo)和人員需求,同時(shí)需要隨時(shí)保持本地和云端防護措施的同步和一致性。
- 成本:由于混合方案整合了硬件設備和云服務(wù),他們的綜合成本往往比完全的云服務(wù)要高。
注意事項:
與其他模式一樣,是否選擇使用混合防護措施取決于企業(yè)的具體用例和需求:
- 威脅現狀:企業(yè)數據中心的威脅現狀如何?如果企業(yè)數據中心運行著(zhù)關(guān)鍵業(yè)務(wù)應用,承擔不起任何降級的代價(jià),那么混合解決方案確實(shí)是企業(yè)的最佳選擇。
- 控制:企業(yè)對控制能力和管理有多重視?一些企業(yè)很重視控制能力和可配置性,因此本地設備很適合他們。
- 受監管行業(yè):企業(yè)處于受監管行業(yè)嗎嗎?如果是,將工作負載遷移到云端的指導方針是什么?由于混合解決方案提供了本地設備的安全性和云的可擴展性,因此,對受監管企業(yè)而言,混合解決方案是很好的解決方案。
- 成本:預算限制是什么,可用預算有多少?與獨立的本地或云端解決方案相比,混合解決方案往往能夠提供更高的防護質(zhì)量,但這種防護措施的價(jià)格通常會(huì )更高。
最適合的企業(yè)是哪些?
考慮到混合模式的優(yōu)缺點(diǎn),此模式對以下幾類(lèi)客戶(hù)(和用例)來(lái)說(shuō)是最適合的:
- 數據中心防護:現擁有數據中心,而且在數據中心中運行著(zhù)許多需要提供保護的服務(wù)的客戶(hù)。
- 關(guān)鍵業(yè)務(wù)應用:需要持續防護而且即使在短時(shí)間內也不能降級的關(guān)鍵業(yè)務(wù)應用。
- 對延遲敏感:需要快速(或實(shí)時(shí))響應,并且對延遲的容忍度很低的服務(wù)。
- 受監管行業(yè):處于受監管行業(yè)的企業(yè),在將工作負載遷移到云端會(huì )受到限制。
然而,混合解決方案不太適合某些用例
- 云托管應用:托管在公有云(如AWS或Azure)中的應用,針對這些應用,沒(méi)有物理數據中心來(lái)放置設備。對此類(lèi)應用而言,就需要云端解決方案。
- 對價(jià)格敏感:沒(méi)有太多預算分配給這些綜合解決方案的企業(yè)。對這些企業(yè)而言,按需云解決方案通常是最佳選擇。
自助式選擇,而非固定菜單
正如在此系列文章的開(kāi)篇文章中提到的,DDoS防護措施是一種自助式選擇,而非固定菜單。有很多可以提供不同防護程度和成本的DDoS防護措施提供商。每種模式都有各自的優(yōu)缺點(diǎn);客戶(hù)有很多選擇,每個(gè)客戶(hù)都可以為他們的特定用例選擇最佳的解決方案。
關(guān)于Radware
Radware是為虛擬數據中心和云數據中心提供應用交付和應用安全解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬(wàn)家企業(yè)和運營(yíng)商快速應對市場(chǎng)挑戰,保持業(yè)務(wù)的連續性,在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。
