越來越多的數(shù)據(jù)泄露事故不斷動搖企業(yè)和消費者的信心,也增加了云計算領(lǐng)域?qū)Π踩匾?。根?jù)記錄,目前最大的DDos攻擊流量峰值達到了1.04Tbps,而實際上我國機房服務(wù)器常見帶寬僅有1000Mbps,而10Gbps是目前大部分互聯(lián)網(wǎng)公司防御的上限值。為人熟知的火車票售票官網(wǎng)12306.cn,在2014年春運期間,訪問日峰值高達297億,總帶寬也不過12Gbps。
當(dāng)然,值得慶幸的是,這樣大規(guī)模的DDos攻擊只是百度發(fā)布云加速3.0時的一個現(xiàn)場攻防演練,雖然1Tbps的數(shù)據(jù)令人恐慌,但是也是在向眾人展示,面對危害最大的云計算安全隱患,我們不是沒有防備的手段。
越來越多的云應(yīng)用越來越智能的攻擊
云計算時代,各種安全和隱私問題層出不窮,各種安全漏洞或者用戶信息泄露的事件也幾乎每隔一段時間就會見諸于報端,而企業(yè)也是在發(fā)現(xiàn)自己的數(shù)據(jù)被侵犯之后才后知后覺,顯然已經(jīng)晚矣。
隨著云計算、移動互聯(lián)在各個行業(yè)落地,各種類型的漏洞攻擊、APT攻擊、0day攻擊、DDoS攻擊層出不窮。黑客攻擊正變得越來越智能化,尤其是DDoS為代表的流量攻擊,手段也極為專業(yè),從強度上也是不斷攀升,且波動、區(qū)域流量變動、巨大流量突襲等等各種攻擊特征混在一起,并在短短的幾分鐘內(nèi)呈現(xiàn)出來,讓很多企業(yè)難以防范。
據(jù)悉,此次百度云加速的攻擊演練方式就采用了全SYNFlood流量型攻擊,同時混合50萬QPS的CC攻擊,堪稱目前攻擊力最為強大的流量攻擊手段,加上海內(nèi)外總計127個機房的586臺服務(wù)器,最終成功發(fā)出了1.4Tbps這個恐怖的攻擊流量。
云防御生態(tài)體系需要全球化、網(wǎng)絡(luò)化
事實上,針對國內(nèi)網(wǎng)絡(luò)環(huán)境的特殊情況,安全業(yè)界針對DDoS這一行業(yè)難題,也曾經(jīng)有過多種嘗試。最早,業(yè)界的抗DDoS解決方案是采用硬件設(shè)備來清洗流量,業(yè)內(nèi)通常稱為ADS(AntiDDoSSystem)。安全寶最早在中國提出ADC(抗DDoS中心)概念,即用戶無需自己購買龐大的帶寬儲備和昂貴的ADS設(shè)備,而是直接租用ADC的防御能力。
不過,由于最大節(jié)點所擁有的可用帶寬才是其防御能力,因此若想清洗1Tb這種恐怖級別的攻擊流量,除了建設(shè)巨大帶寬儲備的ADC節(jié)點外,也必須在大網(wǎng)層面有相應(yīng)的手段去支撐。
所以百度云加速發(fā)布了ADN(AntiDDoSNetwork),即不但加強自身ADC建設(shè),更重視與合作伙伴共同構(gòu)建全球合作的防御體系。也就是隨著攻擊流量的國際化,防御也必須網(wǎng)絡(luò)化和全球化。不過可惜的是,目前業(yè)內(nèi)能夠?qū)崿F(xiàn)全球防御部署能力的只有百度云加速。
目前,百度不僅在上海電信建成了一個這樣帶寬高達數(shù)百G的“阿爾法”級ADC。實現(xiàn)通過電信節(jié)點來分擔(dān)電信過來的攻擊流量和請求,更是可以通過CloudFlare遍布全球的Anycast節(jié)點,來分擔(dān)海外的攻擊流量和請求。此外,還引入了電信云堤,通過云堤提供的近源壓制策略,在運營商層面使用路由黑洞技術(shù),在各個跨網(wǎng)的關(guān)鍵點上消滅到指定目標(biāo)的非電信流量。這就讓整個防御體系具備了足以支撐整個抗攻擊系統(tǒng)1Tbps的清洗能力
對此,百度云安全馬杰表示,“當(dāng)攻擊來的時候,我們會分析流量來源,海外攻擊用Anycast技術(shù)分散到cloudflare的全球超級節(jié)點上進行清洗;境內(nèi)流量,我們會分析攻擊特征,并將特征同步給我們的合作伙伴電信云堤,由云堤提供的強大的近源壓制能力幫助我們進行流量封堵。”實際上,這個過程不僅摒棄了簡單粗暴的封IP方式,更是通過智能的ADN網(wǎng)絡(luò),實現(xiàn)了高吞吐、低誤殺的DDoS清洗能力。
有安全才能有加速
有安全才有能可能有加速。目前,百度云安全的市場份額超過30%,已經(jīng)牢牢地占據(jù)著中國云安全市場第一的位置。而作為網(wǎng)站提供網(wǎng)絡(luò)加速、安全防護和搜索引擎優(yōu)化等一站式服務(wù)的管理平臺,百度云加速3.0無疑讓用戶有了更加專注自身商業(yè)價值的環(huán)境。
根據(jù)百度在云安全市場的戰(zhàn)略布局,今后,凡是接入百度云加速的用戶,都能免費享受由百度云加速與合作伙伴共同提供的全球CDN加速網(wǎng)絡(luò)。
而這個CDN加速網(wǎng)絡(luò)就包括了CloudFlare向百度云加速的用戶開放的全球45個超級節(jié)點。結(jié)合百度自身在國內(nèi)的17個超級節(jié)點,實際已經(jīng)形成了一個覆蓋全球的安全和CDN加速網(wǎng)絡(luò)。
為了進一步的提升網(wǎng)絡(luò)性能,百度云加速在海外使用了Anycast(任播)技術(shù)。用戶加入云加速后,海外只會分配一個IP地址,全球流量會在路由層面毫秒級自動分發(fā)到分布在五大洲的數(shù)十個超級節(jié)點。相比DNS分區(qū)域解析,這種在路由層面解決就近訪問的方式,比DNS方式更迅速、更精確。百度云加速發(fā)布的測試結(jié)果顯示,運用百度云加速的全球的加速網(wǎng)絡(luò),國內(nèi)網(wǎng)站的海外訪問速度能夠提升超過700倍。
百度云加速全新推出3.0之后,展現(xiàn)了全球化、網(wǎng)絡(luò)化應(yīng)對全球安全挑戰(zhàn)的新方向,而這也讓追求網(wǎng)絡(luò)加速,以及如何更低投入和成本的企業(yè)用戶看到了新的選擇、新的方式。