當(dāng)企業(yè)不斷加快云技術(shù)的落地步伐,采用基礎(chǔ)設(shè)施即服務(wù)(IaaS)或軟件即服務(wù)(SaaS)等新技術(shù)時���,它們尋找解決方案在云架構(gòu)當(dāng)中實現(xiàn)安全訪問
當(dāng)企業(yè)不斷加快云技術(shù)的落地步伐��,采用基礎(chǔ)設(shè)施即服務(wù)(IaaS)或軟件即服務(wù)(SaaS)等新技術(shù)時�����,它們尋找解決方案在云架構(gòu)當(dāng)中實現(xiàn)安全訪問 和可靠操作的需求也日益凸顯�����。目前看來�����,由于企業(yè)數(shù)據(jù)保存在不同的設(shè)備當(dāng)中����,這些設(shè)備是由不同的提供商或合作伙伴提供��,因此企業(yè)必須監(jiān)控和保護全新的“安 全邊界”���。同樣���,仔細權(quán)衡如何保護基于云計算的數(shù)據(jù)也應(yīng)該作為企業(yè)整體安全策略的一部分納入到企業(yè)的考慮范圍。而保護應(yīng)用免受分布式拒絕服務(wù)(DDoS) 攻擊的影響則是最值得關(guān)注的事��。
在不久前發(fā)生的針對源代碼托管供應(yīng)商Code Spaces的真實攻擊案例中�����,攻擊者利用組合工具入侵了Code Spaces基于亞馬遜Web服務(wù)(AWS)的整體架構(gòu)�。該威脅始于攻擊者嘗試?yán)账鰿ode Spaces,并以此作為停止對其發(fā)起的多載體DDoS攻擊的交換條件�。最后,攻擊者控制了Code Spaces AWS控制臺�,幾乎刪除了所有存儲在云中的數(shù)據(jù)。由此產(chǎn)生的因數(shù)據(jù)丟失和為SLA補救措施而付出的代價將使Code Spaces公司無法再運營下去�����。
這樣的結(jié)果雖不太常見����,但是說明了一個重要問題:如果企業(yè)計劃遷移至云中,其中一步要做的就是制訂嚴(yán)密的計劃來應(yīng)對DDoS攻擊的泛濫及其不斷增加 的威脅。多數(shù)企業(yè)都不相信自己會成為DDoS攻擊的受害者���,因此在制定IT預(yù)算時����,部署適當(dāng)?shù)姆烙胧┛偸潜环旁陬A(yù)算優(yōu)先表項的末尾�����。事實上�,多數(shù)企業(yè)都 缺乏檢測工具,因而不清楚有多少攻擊已經(jīng)成功入侵了自己的數(shù)字資產(chǎn)���。IaaS和SaaS提供商應(yīng)該可以創(chuàng)建堅固的安全防御機制�����,以幫助企業(yè)應(yīng)對DDoS攻 擊����。
客戶在主動采取相應(yīng)防御措施的同時還應(yīng)該對云提供商DDoS緩解能力的進行評估���。Radware云服務(wù)總監(jiān)Bill Lowry長期以來都致力于云計算的研究�,他在其發(fā)表的文章中指出了在基于云的解決方案中應(yīng)用DDoS緩解策略時會遇到的問題,也闡述了云計算的五大亟待 解決的安全問題�����。
防護新的企業(yè)邊界
過去����,企業(yè)只需將安全重心放在保護數(shù)據(jù)中心的出口上��。采用云技術(shù)就意味著企業(yè)數(shù)據(jù)和應(yīng)用會分發(fā)到多個數(shù)據(jù)中心���,這就為企業(yè)創(chuàng)建了新的安全邊界��,企業(yè)要在更多的地方實施防護��。那么企業(yè)該如何在所有保存企業(yè)數(shù)據(jù)的地方防御攻擊呢?
技術(shù)實現(xiàn)方式:許多云服務(wù)提供商測試或部署了可以檢測分布式拒絕服務(wù)攻擊的技術(shù)�,但是多數(shù)技術(shù)都是基于網(wǎng)絡(luò)采樣數(shù)據(jù)實現(xiàn)的��。內(nèi)聯(lián)部署可以檢測所有的 入站和出站流量�����,提供最全面的檢測和DDoS攻擊緩解措施����。用戶在評估云服務(wù)提供商時����,還要了解他們使用何種工具進行DDoS檢測�����。
維護可用性
就定義來看����,云技術(shù)是一種遠程訪問技術(shù)。如果企業(yè)的云服務(wù)提供商遭遇了嚴(yán)重的DDoS攻擊��,對服務(wù)的網(wǎng)絡(luò)訪問遭到禁止����,這等同于企業(yè)應(yīng)用被“宕機”了。企業(yè)的云服務(wù)提供商又要采取什么措施來防止這種情況發(fā)生在企業(yè)身上呢?
技術(shù)實現(xiàn)方式:云服務(wù)提供商應(yīng)該部署云端和本地DDoS組合緩解工具���。這種混合方法可以提供最佳的可用防護:本地部署的硬件可以檢測并緩解攻擊�,同 時還能自動將攻擊流量轉(zhuǎn)移至云端清洗中心��。清洗中心必須可以處理幾百Gb大小的攻擊�,從而改善云服務(wù)提供商保護企業(yè)資源和業(yè)務(wù)運行的能力�����。
租戶之間實現(xiàn)隔離保護
攻擊人員可以跟普通用戶一樣購買云服務(wù)�����。那么又如何在云環(huán)境內(nèi)部保護企業(yè)數(shù)據(jù)遠離威脅?
技術(shù)實現(xiàn)方式:用戶可以部署安全工具,保護部署在云端的服務(wù)器���。Web應(yīng)用防火墻可以檢測并攔截基于服務(wù)器的攻擊�����,即便這些攻擊來自于與服務(wù)器所在 的同一個云端架構(gòu)����。此外���,未來部署的軟件定義網(wǎng)絡(luò)(SDN)使得提供商也可以利用網(wǎng)絡(luò)來檢測攻擊���。與SDN控制器協(xié)作的安全技術(shù)可以查找可疑數(shù)據(jù)流,將其 重定向到防御設(shè)備進行修復(fù)�����,與此同時,正常數(shù)據(jù)流仍會沿正常路徑在網(wǎng)絡(luò)中進行傳送��。
安全工具的大規(guī)模定制
為了建立有利于云計算市場競爭的定價�����,多數(shù)提供商都會選擇創(chuàng)建對多數(shù)用戶都可用的一般性保護配置文件�����,以降低解決方案成本�。那么采用通用安全協(xié)議的云服務(wù)提供商又如何滿足特定安全需求呢?
技術(shù)實現(xiàn)方式:云服務(wù)提供商可以而且應(yīng)該為整個客戶群提供通用、完善的保護措施���。但是也應(yīng)該能夠結(jié)合用戶安全現(xiàn)狀提供可以建立獨特防護措施的安全工具�。確保用戶可以自定義配置云服務(wù)提供商提供的安全工具��,以滿足用戶的特定需求����。
小即是大
每周刊登的頭條新聞都會談?wù)撟钚碌尼槍Υ笮豌y行或知名網(wǎng)站的千兆級大流量攻擊。然而����,僅有約25%的DDoS攻擊是大流量攻擊�����。云服務(wù)提供商該如何幫助企業(yè)應(yīng)對這些大流量攻擊呢?
技術(shù)實現(xiàn)方式:小流量攻擊不像大流量攻擊那樣可以瞬間堵塞互聯(lián)網(wǎng)帶寬����。它們針對的是支撐企業(yè)應(yīng)用的關(guān)鍵設(shè)備——防火墻�����、負載均衡器�����、IPS/IDS 和服務(wù)器�����。這些攻擊只需要很小的帶寬���,幾乎小到運營商不會察覺到流量的增加。這些專注于資源耗盡或應(yīng)用漏洞的低速慢速攻擊通常不會被專用于檢測大流量攻擊 的工具檢測到����。在遷移到云之前��,確保云服務(wù)提供商可以提供幫助用戶檢測并緩解這類小流量攻擊的解決方案�。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺�����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的�,皆為無意。如您是字體廠商����、圖片文字廠商等版權(quán)方,且不允許本站使用您的字體和圖片文字等素材�,請聯(lián)系我們,本站核實后將立即刪除�!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的���,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索��,將不予任何的法律和經(jīng)濟賠償����!敬請諒解!
粵公網(wǎng)安備 44030402000264號