当企业不断加快云技术的落地步伐,采用基础设施即服务(IaaS)或软件即服务(SaaS)等新技术时,它们寻找解决方案在云架构当中实现安全访问和可靠操作的需求也日益凸显。目前看来,由于企业数据保存在不同的设备当中,这些设备是由不同的提供商或合作伙伴提供,因此企业必须监控和保护全新的“安全边界”。同样,仔细权衡如何保护基于云计算的数据也应该作为企业整体安全策略的一部分纳入到企业的考虑范围。而保护应用免受分布式拒绝服务(DDoS)攻击的影响则是最值得关注的事。
在不久前发生的针对源代码托管供应商Code Spaces的真实攻击案例中,攻击者利用组合工具入侵了Code Spaces基于亚马逊Web服务(AWS)的整体架构。该威胁始于攻击者尝试勒索Code Spaces,并以此作为停止对其发起的多载体DDoS攻击的交换条件。最后,攻击者控制了Code Spaces AWS控制台,几乎删除了所有存储在云中的数据。由此产生的因数据丢失和为SLA补救措施而付出的代价将使Code Spaces公司无法再运营下去。
这样的结果虽不太常见,但是说明了一个重要问题:如果企业计划迁移至云中,其中一步要做的就是制订严密的计划来应对DDoS攻击的泛滥及其不断增加的威胁。多数企业都不相信自己会成为DDoS攻击的受害者,因此在制定IT预算时,部署适当的防御措施总是被放在预算优先表项的末尾。事实上,多数企业都缺乏检测工具,因而不清楚有多少攻击已经成功入侵了自己的数字资产。IaaS和SaaS提供商应该可以创建坚固的安全防御机制,以帮助企业应对DDoS攻击。
客户在主动采取相应防御措施的同时还应该对云提供商DDoS缓解能力的进行评估。Radware云服务总监Bill Lowry长期以来都致力于云计算的研究,他在其发表的文章中指出了在基于云的解决方案中应用DDoS缓解策略时会遇到的问题,也阐述了云计算的五大亟待解决的安全问题。
防护新的企业边界
过去,企业只需将安全重心放在保护数据中心的出口上。采用云技术就意味着企业数据和应用会分发到多个数据中心,这就为企业创建了新的安全边界,企业要在更多的地方实施防护。那么企业该如何在所有保存企业数据的地方防御攻击呢?
技术实现方式:许多云服务提供商测试或部署了可以检测分布式拒绝服务攻击的技术,但是多数技术都是基于网络采样数据实现的。内联部署可以检测所有的入站和出站流量,提供最全面的检测和DDoS攻击缓解措施。用户在评估云服务提供商时,还要了解他们使用何种工具进行DDoS检测。
维护可用性
就定义来看,云技术是一种远程访问技术。如果企业的云服务提供商遭遇了严重的DDoS攻击,对服务的网络访问遭到禁止,这等同于企业应用被“宕机”了。企业的云服务提供商又要采取什么措施来防止这种情况发生在企业身上呢?
技术实现方式:云服务提供商应该部署云端和本地DDoS组合缓解工具。这种混合方法可以提供最佳的可用防护:本地部署的硬件可以检测并缓解攻击,同时还能自动将攻击流量转移至云端清洗中心。清洗中心必须可以处理几百Gb大小的攻击,从而改善云服务提供商保护企业资源和业务运行的能力。
租户之间实现隔离保护
攻击人员可以跟普通用户一样购买云服务。那么又如何在云环境内部保护企业数据远离威胁?
技术实现方式:用户可以部署安全工具,保护部署在云端的服务器。Web应用防火墙可以检测并拦截基于服务器的攻击,即便这些攻击来自于与服务器所在的同一个云端架构。此外,未来部署的软件定义网络(SDN)使得提供商也可以利用网络来检测攻击。与SDN控制器协作的安全技术可以查找可疑数据流,将其重定向到防御设备进行修复,与此同时,正常数据流仍会沿正常路径在网络中进行传送。
安全工具的大规模定制
为了建立有利于云计算市场竞争的定价,多数提供商都会选择创建对多数用户都可用的一般性保护配置文件,以降低解决方案成本。那么采用通用安全协议的云服务提供商又如何满足特定安全需求呢?
技术实现方式:云服务提供商可以而且应该为整个客户群提供通用、完善的保护措施。但是也应该能够结合用户安全现状提供可以建立独特防护措施的安全工具。确保用户可以自定义配置云服务提供商提供的安全工具,以满足用户的特定需求。
小即是大
每周刊登的头条新闻都会谈论最新的针对大型银行或知名网站的千兆级大流量攻击。然而,仅有约25%的DDoS攻击是大流量攻击。云服务提供商该如何帮助企业应对这些大流量攻击呢?
技术实现方式:小流量攻击不像大流量攻击那样可以瞬间堵塞互联网带宽。它们针对的是支撑企业应用的关键设备——防火墙、负载均衡器、IPS/IDS和服务器。这些攻击只需要很小的带宽,几乎小到运营商不会察觉到流量的增加。这些专注于资源耗尽或应用漏洞的低速慢速攻击通常不会被专用于检测大流量攻击的工具检测到。在迁移到云之前,确保云服务提供商可以提供帮助用户检测并缓解这类小流量攻击的解决方案。