企業(yè)在轉(zhuǎn)向云端是需要構(gòu)建最安全的系統(tǒng)架構(gòu)。根據(jù)云安全聯(lián)盟(CSA)的報(bào)告《The Notorious Nine: Cloud Computing Top Threats in 2013》,針對企業(yè)云部署最常見的攻擊就是分布式拒絕服務(wù)(DDoS)攻擊。在最近的一篇博文中,亞馬遜探討了客戶如何在他們的亞馬遜Web服務(wù)(AWS)虛擬私有云(VPC)中使用安全群組和訪問控制,從而減少攻擊面,同時(shí)設(shè)計(jì)了一個(gè)云架構(gòu)來保護(hù)企業(yè)免受DDoS攻擊。反抗云中DDoS的概念能成真嗎?本篇技巧將會解析核心概念和技術(shù),基礎(chǔ)架構(gòu)和安全團(tuán)隊(duì)可以實(shí)踐,從而減少當(dāng)今云環(huán)境中企業(yè)所面臨的DDoS攻擊風(fēng)險(xiǎn)。
減少公開暴露
絕對沒有一種方法能夠完全消除分布式拒絕服務(wù)攻擊的威脅,理解這一點(diǎn)很重要。為了有效地阻擊DDoS攻擊并維護(hù)云服務(wù)的可用性,要運(yùn)用一些核心的概念。首先,企業(yè)需要減少全部公開暴露環(huán)境。對于AWS環(huán)境,通常是在VPC中設(shè)置安全群組和私有網(wǎng)絡(luò)。亞馬遜有很好的終端概述——對于流量的方向指向具體的虛擬機(jī)以及與之相關(guān)的服務(wù)——或者網(wǎng)絡(luò)安全群組。
準(zhǔn)備擴(kuò)展和冗余
彈性和可擴(kuò)展要防患于未然,確保擴(kuò)展和冗余在分布式拒絕攻擊期間可以按需使用,尤其是在多個(gè)地理區(qū)域的情況下。任何運(yùn)行在云中的虛擬機(jī)實(shí)例都需要保證網(wǎng)絡(luò)資源可用。
亞馬遜用具體實(shí)例規(guī)模提供了加強(qiáng)網(wǎng)絡(luò),允許更多的每秒封包數(shù)從這些系統(tǒng)發(fā)出或者收到,從而改善性能。亞馬遜提供了其彈性負(fù)載均衡(ELB)服務(wù),對所有運(yùn)行中的實(shí)例扮演一個(gè)前端的角色,也能夠基于你的負(fù)載均衡需求分配流量到系統(tǒng)中。
微軟針對所有的Azure提供了域名系統(tǒng)(DNS)和網(wǎng)絡(luò)負(fù)載均衡,Rackspace提供了控制流量流的專屬云負(fù)載均衡。對于開啟新服務(wù)和在云端擴(kuò)展設(shè)置自動觸發(fā)器是另外一種常見方式,可以提供資源彈性。在一篇減少DDoS攻擊的白皮書中,亞馬遜建議使用其Auto Scaling功能,在具體的實(shí)例度量上設(shè)置觸發(fā)器,比如CPU利用率、網(wǎng)絡(luò)流量和服務(wù)狀態(tài)檢查——從而自動化流量擴(kuò)展和針對實(shí)例的負(fù)載均衡。
利用內(nèi)容加速網(wǎng)絡(luò)
利用內(nèi)容交付網(wǎng)絡(luò)(CDN),比如AWS CloudFront、Azure Content Delivery Network或者第三方服務(wù),比如來自Akamai或者CloudFlare的服務(wù),來代理流量并執(zhí)行“包洗滌”動作,在云資源受到明顯影響之前幫助防御和減少DDoS攻擊。這些CDN通過多邊網(wǎng)絡(luò)節(jié)點(diǎn)分散流量,可以按需緩存和分發(fā)內(nèi)容。
大多數(shù)的CDN可以限制來自或者接收一個(gè)具體的國家或者區(qū)域的流量。Amazon CloudFront可以實(shí)施Origin Access Identity,嚴(yán)格限制對于Simple Storage Service的訪問,具體的用戶通過CloudFront提供服務(wù),而非直接訪問,針對分布式拒絕服務(wù)攻擊。還有很多其他的中介服務(wù)或者平臺可以減少 DDoS攻擊,包括來自Imperva、Qualys和Barracuda這樣的廠商的Web應(yīng)用防火墻設(shè)備和服務(wù)。
分布式拒絕服務(wù)攻擊防御
除了上面列出的這些關(guān)鍵概念,還有另外一種方法企業(yè)可以用來保護(hù)他們的基礎(chǔ)設(shè)施。亞馬遜建議使用DNS控制,比如Route 53服務(wù)來幫助控制DDoS。Route 53功能,諸如shuffle分片或者分布式DNS請求、anycast routing、alias record set——這是一種獨(dú)立的DNS記錄,可以在運(yùn)行中快速改變,指向CloudFront或者ELB結(jié)點(diǎn),以及私有DNS(僅限內(nèi)部),可以幫助提供更多的靈活性和控制能力。
除了所有的這些功能,云提供商建議企業(yè)要認(rèn)真追蹤和監(jiān)控云用例模式,開發(fā)健全的常規(guī)行為基準(zhǔn)線,如果DDoS發(fā)生了,要積極主動的度量和控制響應(yīng)。