周期性沖上熱搜的“宕機”�、“崩了”關(guān)鍵詞背后�����,經(jīng)常是由于超負荷流量壓力所致����。從云安全視角出發(fā),并行于真實峰值流量的另一源頭�����,很有可能是長期存在��、常態(tài)進化的DDoS攻擊�。
周期性沖上熱搜的“宕機”、“崩了”關(guān)鍵詞背后�,經(jīng)常是由于超負荷流量壓力所致。從云安全視角出發(fā)����,并行于真實峰值流量的另一源頭,很有可能是長期存在���、常態(tài)進化的DDoS攻擊����。
一直以來�,在化解DDoS這種大量灌注惡意流量的攻擊威脅時,Akamai不遺余力�����、整合創(chuàng)新,花費大量時間��、精力與客戶展開協(xié)作���,提升惡意流量監(jiān)控的可見性,助力客戶構(gòu)建安全防御DDoS的彈性架構(gòu)���。
智能DDoS保護參考架構(gòu)
當下在混合云�����、多云環(huán)境中�,應(yīng)用程序遍及數(shù)據(jù)中心����、公共云基礎(chǔ)設(shè)施和托管設(shè)施。面對泄洪般的DDoS攻擊��,快速��、智能的流量控制策略才能發(fā)揮保護效能����。由此�,Akamai在打造DDoS保護架構(gòu)層面���,充分發(fā)揮了自身在云安全與云分發(fā)的優(yōu)勢�,自動甄別真實流量��,及時攔截潛在風險��。
DDoS防護邏輯
客戶端依據(jù)Akamai DNS服務(wù)執(zhí)行DNS查找���,該服務(wù)可以盡可能地吸收DDoS攻擊
·客戶端依據(jù)Akamai DNS服務(wù)執(zhí)行DNS查找��,該服務(wù)可以盡可能地吸收DDoS攻擊
·邊緣服務(wù)器自動檢查CDN流量是否存在DDoS��、Web應(yīng)用程序和爬蟲等多重攻擊威脅
·通過指定邊緣服務(wù)器篩選CDN流量�,來支持客戶丟棄潛在風險來源的流量���,并攔截攻擊
·非CDN流量根據(jù)邊界網(wǎng)關(guān)協(xié)議(BGP,Border Gateway Protocol)通告����,直接路由至源
·客戶通過Akamai凈化中心的靈活方式控制流量�����,通過主動緩解控制或安全運營中心緩解
·Akamai基于CDN云分發(fā)和DDoS凈化服務(wù),全面保護從云到端基礎(chǔ)設(shè)施的應(yīng)用程序
從云到端的參考架構(gòu)圖
全面制定DDoS保護計劃
當DDoS攻擊洶涌而至���,缺失詳細的保護預案�,企業(yè)很可能會陷入數(shù)小時或數(shù)天的混亂局面�。規(guī)避恐慌�、有序運維,制定全面的DDoS保護計劃勢在必行�。建議參照如下步驟,為您的組織制定DDoS緩解預案���。
八大最佳實踐
1��、多維預測單點故障
對網(wǎng)站��、Web應(yīng)用程序��、API�、DNS和源服務(wù)器以及數(shù)據(jù)中心和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的潛在故障點��,提前進行預測
2���、驗證供應(yīng)商服務(wù)能力
若DDoS攻擊致使公司所屬互聯(lián)網(wǎng)服務(wù)供應(yīng)商的客戶群陷入威脅��,先遭受流量沖擊的網(wǎng)站可能會無限期關(guān)閉
3��、請不要高估基礎(chǔ)設(shè)施
在惡意流量沖擊下��,以往良好表現(xiàn)的邊緣網(wǎng)絡(luò)可能會出現(xiàn)資源不足����,如峰值DDoS流量可超過600 Gbps
4、確定保護范圍及后果
預想DDoS攻擊造成的網(wǎng)絡(luò)癱瘓影響����,多角度圈定API、DNS�����、網(wǎng)頁應(yīng)用程序���、數(shù)據(jù)中心等方面保護范圍
5�、劃定可接受緩解周期
針對不同場景需求��,選擇始終在線的基于CDN的DDoS即時性保護和按需提供的DDoS凈化兩種服務(wù)
6�、前置DDoS保護服務(wù)
亡羊補牢,過于被動。在攻擊前與DDoS保護服務(wù)提供商交流�����,為可能遇到的所有DDoS場景做好準備
7�、制定DDoS操作手冊
一套涵蓋響應(yīng)流程、升級路徑�����、角色職責的標準化操作手冊����,有助于企業(yè)組織增強對DDoS攻擊的可控程度
8����、使用桌面演練驗證效果
通過年度桌面演練,可以審查攻擊場景���,通過確保正確實踐的過程����,以此校準操作手冊的實際效果����,更新優(yōu)化
深度緩解DDoS全球威脅
云安全領(lǐng)域����,Akamai長年獲評Forrester DDoS緩解領(lǐng)導者�,在爬蟲管理、WAF和零信任方面?zhèn)涫苷J可����。在DDoS攻防博弈過程,Akamai積累了一整套覆蓋整個生態(tài)系統(tǒng)的多層防御����,從而提高應(yīng)對復雜威脅的韌性。
產(chǎn)品矩陣上����,Akamai App&API Protector�����、Edge DNS、Prolexic等產(chǎn)品均可根據(jù)應(yīng)用場景�����、應(yīng)用程序要求,構(gòu)建專門的DDoS應(yīng)對策略���,簡化惡意攻擊管控難度����,保證從云到端的數(shù)字化資產(chǎn)免受多源攻擊���。
近期����,全新Akamai Connected Cloud大規(guī)模分布式邊緣和云平臺正式上線���,全部數(shù)據(jù)中心都具備高級DDoS抵御措施��,大幅增強了云計算、云安全����、云分發(fā)的整體服務(wù)力度。結(jié)合嶄新的Akamai全球流量監(jiān)測服務(wù)與智能化產(chǎn)品��,將支持企業(yè)組織在擊破DDoS等復雜威脅時���,安全可靠����、事半功倍,在全球范圍內(nèi)進一步保護數(shù)據(jù)��、員工����、系統(tǒng)和數(shù)字化體驗。
閩公網(wǎng)安備 35010202001226號
