为什么混合始终在线保护是您的最佳选择
今天的用户想要更多。在线竞争的普遍性和便利性意味着客户希望一切都更好、更快、更便宜。用户体验的一个关键组成部分是服务可用性。客户希望应用程序和在线服务始终可用且响应迅速。
然而,问题在于,新一代更大、更复杂的分布式拒绝服务(DDoS)攻击使DDoS 保护成为一项比以往更具挑战性的任务。大规模的物联网僵尸网络正在导致规模越来越大的 DDoS 攻击,而更复杂的应用层攻击则找到了耗尽服务器资源的新方法。最重要的是,持续向加密流量的转变正在为强大的 SSL DDoS 洪水带来新的挑战。
传统的DDoS防御——无论是基于本地的还是基于云的——都提供了不完整的解决方案,需要在高容量容量保护、针对复杂的应用层DDoS 攻击的保护和 SSL 证书的处理之间进行固有的权衡。因此,该解决方案采用了一种新的混合 DDoS 保护模型,该模型将基于本地的设备与始终在线的云服务相结合。
全面保护需要双管齐下
随着DDoS攻击变得更加复杂,组织需要更精细的保护措施来缓解此类攻击。然而,为了保证完全保护,许多类型的攻击——尤其是更复杂的攻击——需要对入站和出站通道的可见性。
诸如大文件DDoS攻击、ACK 洪水、扫描攻击等攻击利用出站通信通道进行仅通过查看入口流量无法识别的攻击。此类攻击是通过发送少量入站请求来执行的,这些请求对出站通道或网络内的计算资源具有不对称且不成比例的影响。
SSL 正在创造新的挑战
最重要的是,SSL/TLS流量加密增加了另一层复杂性。在很短的时间内,大部分互联网流量都已加密。流量加密有助于保护客户数据,用户现在希望安全成为服务体验的一部分。根据Mozilla 基金会的 Let's Encrypt 项目,全球近 80% 的互联网流量已经被加密,而且这个比率还在不断增长。
具有讽刺意味的是,虽然SSL/TLS对于保护用户数据至关重要,但它也带来了重大的管理挑战,并使服务暴露于新一代强大的 DDoS 攻击:
[if !supportLists]· [endif]增加DDoS攻击的效力:SSL/TLS连接需要来自目标服务器的资源比请求主机多 15 倍。这意味着黑客可以仅使用少量连接就可以发起毁灭性攻击,并使用 SSL 泛洪快速淹没服务器资源。
[if !supportLists]· [endif]数据有效负载的屏蔽:此外,根据定义,加密会屏蔽流量请求的内部内容,从而防止对数据包进行深度检查以防止恶意流量。这限制了反DDoS防御层的有效性,以及它们可以检测到的攻击类型。对于隐藏在 SSL 加密覆盖范围内的应用层 (L7) DDoS 攻击来说尤其如此。
[if !supportLists]· [endif]SSL密钥暴露:许多组织、国家或行业法规禁止与第三方实体共享SSL密钥。这给必须提供最安全的用户体验同时保护其 SSL 密钥不被泄露的组织带来了独特的挑战。
[if !supportLists]· [endif]延迟和隐私问题:在云中卸载SSL流量通常是一项复杂且耗时的任务。大多数基于云的 SSL DDoS 解决方案都需要云提供商对客户流量进行完全解密,从而损害用户隐私并增加客户通信的延迟。
现有解决方案提供部分覆盖
然而,问题在于现有的反DDoS防御无法提供能够提供大容量容量保护的解决方案,同时提供复杂类型攻击所需的双向保护。
本地设备可针对各种DDoS攻击提供高级别的保护,同时提供极低的延迟和快速响应。此外,作为内部部署,它们允许公司处理基于 SSL 的攻击,而无需将其加密密钥暴露给外界。由于它们对入站和出站流量都有可见性,因此它们提供了针对对称 DDoS 攻击的双向保护。然而,物理设备无法应对大规模物联网僵尸网络时代已经司空见惯的大规模容量攻击。
另一方面,基于云的DDoS防护服务拥有应对大规模流量攻击的带宽。但是,它们仅提供对入站通信渠道的可见性。因此,他们很难抵御双向DDoS攻击。此外,基于云的 SSL DDoS 防御(如果供应商有的话)经常要求组织在线上传其 SSL 证书,从而增加了这些密钥被暴露的风险。
最佳解决方案:混合始终在线方法
对于高度重视用户体验并希望避免因DDoS攻击而导致的最轻微停机的公司,最佳解决方案是部署始终在线的混合解决方案。
DDoS保护的混合方法将本地硬件设备与始终在线的基于云的清理能力相结合。这有助于确保服务免受任何类型的攻击。
混合始终在线DDoS保护
与纯云永远在线部署模型相比,混合永远在线方法增加了针对使出站管道饱和的对称DDoS攻击的多层保护,并允许在本地维护 SSL 证书。
混合永远在线模型的好处
[if !supportLists]· [endif]多层DDoS保护:基于前提的硬件缓解设备与基于云的清理能力相结合,可提供不同级别的多层保护。如果攻击以某种方式通过云保护层,它将被本地设备阻止。
[if !supportLists]· [endif]持续、不间断的容量保护:由于所有流量始终通过基于云的清理中心,基于云的服务可提供不间断、持续的保护,防止大容量容量DDoS攻击。
[if !supportLists]· [endif]双向DDoS保护:虽然基于云的DDoS保护服务仅检查入站流量通道,但添加基于前提的设备允许组织也检查出站通道,从而保护自己免受双向 DDoS 攻击,这些攻击可以使出站管道饱和,或者需要可见性以返回流量以识别攻击模式。
[if !supportLists]· [endif]减少SSL密钥暴露:许多国家或行业法规要求不得与其他任何人共享加密密钥。包含基于前提的硬件设备使组织能够保护自己免受加密的DDoS攻击,同时将其 SSL 密钥保留在内部。
[if !supportLists]· [endif]减少加密流量的延迟:云中的SSL卸载通常是一项复杂且耗时的事情,这会增加用户通信的延迟。由于混合始终在线模型中的 SSL 流量检查主要由本地硬件设备完成,因此用户可以享受更快的响应时间和更低的延迟。
在保证服务可用性的同时确保客户体验的质量是一个多方面且复杂的命题。组织面临着DDoS攻击规模的增长、应用层 DDoS 攻击的复杂性增加以及转向 SSL 加密带来的挑战。
部署混合始终在线解决方案允许对流量的入站和出站可见性,增强对应用层和加密流量的保护,并允许将SSL密钥保存在内部,而不会将它们暴露在外部。