DDoS安全專輯丨共構(gòu)最佳實(shí)踐，增強(qiáng)全流程防御韌性

周期性沖上熱搜的“宕機(jī)”、“崩了”關(guān)鍵詞背后，經(jīng)常是由于超負(fù)荷流量壓力所致。從云安全視角出發(fā)，并行于真實(shí)峰值流量的另一源頭，很有可能是長(zhǎng)期存在、常態(tài)進(jìn)化的DDoS攻擊。

一直以來(lái)，在化解DDoS這種大量灌注惡意流量的攻擊威脅時(shí)，Akamai不遺余力、整合創(chuàng)新，花費(fèi)大量時(shí)間、精力與客戶展開協(xié)作，提升惡意流量監(jiān)控的可見性，助力客戶構(gòu)建安全防御DDoS的彈性架構(gòu)。

智能DDoS保護(hù)參考架構(gòu)

當(dāng)下在混合云、多云環(huán)境中，應(yīng)用程序遍及數(shù)據(jù)中心、公共云基礎(chǔ)設(shè)施和托管設(shè)施。面對(duì)泄洪般的DDoS攻擊，快速、智能的流量控制策略才能發(fā)揮保護(hù)效能。由此，Akamai在打造DDoS保護(hù)架構(gòu)層面，充分發(fā)揮了自身在云安全與云分發(fā)的優(yōu)勢(shì)，自動(dòng)甄別真實(shí)流量，及時(shí)攔截潛在風(fēng)險(xiǎn)。

DDoS防護(hù)邏輯

客戶端依據(jù)Akamai DNS服務(wù)執(zhí)行DNS查找，該服務(wù)可以盡可能地吸收DDoS攻擊

·客戶端依據(jù)Akamai DNS服務(wù)執(zhí)行DNS查找，該服務(wù)可以盡可能地吸收DDoS攻擊

·邊緣服務(wù)器自動(dòng)檢查CDN流量是否存在DDoS、Web應(yīng)用程序和爬蟲等多重攻擊威脅

·通過(guò)指定邊緣服務(wù)器篩選CDN流量，來(lái)支持客戶丟棄潛在風(fēng)險(xiǎn)來(lái)源的流量，并攔截攻擊

·非CDN流量根據(jù)邊界網(wǎng)關(guān)協(xié)議（BGP,Border Gateway Protocol）通告，直接路由至源

·客戶通過(guò)Akamai凈化中心的靈活方式控制流量，通過(guò)主動(dòng)緩解控制或安全運(yùn)營(yíng)中心緩解

·Akamai基于CDN云分發(fā)和DDoS凈化服務(wù)，全面保護(hù)從云到端基礎(chǔ)設(shè)施的應(yīng)用程序

從云到端的參考架構(gòu)圖

全面制定DDoS保護(hù)計(jì)劃

當(dāng)DDoS攻擊洶涌而至，缺失詳細(xì)的保護(hù)預(yù)案，企業(yè)很可能會(huì)陷入數(shù)小時(shí)或數(shù)天的混亂局面。規(guī)避恐慌、有序運(yùn)維，制定全面的DDoS保護(hù)計(jì)劃勢(shì)在必行。建議參照如下步驟，為您的組織制定DDoS緩解預(yù)案。

八大最佳實(shí)踐

1、多維預(yù)測(cè)單點(diǎn)故障

對(duì)網(wǎng)站、Web應(yīng)用程序、API、DNS和源服務(wù)器以及數(shù)據(jù)中心和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的潛在故障點(diǎn)，提前進(jìn)行預(yù)測(cè)

2、驗(yàn)證供應(yīng)商服務(wù)能力

若DDoS攻擊致使公司所屬互聯(lián)網(wǎng)服務(wù)供應(yīng)商的客戶群陷入威脅，先遭受流量沖擊的網(wǎng)站可能會(huì)無(wú)限期關(guān)閉

3、請(qǐng)不要高估基礎(chǔ)設(shè)施

在惡意流量沖擊下，以往良好表現(xiàn)的邊緣網(wǎng)絡(luò)可能會(huì)出現(xiàn)資源不足，如峰值DDoS流量可超過(guò)600 Gbps

4、確定保護(hù)范圍及后果

預(yù)想DDoS攻擊造成的網(wǎng)絡(luò)癱瘓影響，多角度圈定API、DNS、網(wǎng)頁(yè)應(yīng)用程序、數(shù)據(jù)中心等方面保護(hù)范圍

5、劃定可接受緩解周期

針對(duì)不同場(chǎng)景需求，選擇始終在線的基于CDN的DDoS即時(shí)性保護(hù)和按需提供的DDoS凈化兩種服務(wù)

6、前置DDoS保護(hù)服務(wù)

亡羊補(bǔ)牢，過(guò)于被動(dòng)。在攻擊前與DDoS保護(hù)服務(wù)提供商交流，為可能遇到的所有DDoS場(chǎng)景做好準(zhǔn)備

7、制定DDoS操作手冊(cè)

一套涵蓋響應(yīng)流程、升級(jí)路徑、角色職責(zé)的標(biāo)準(zhǔn)化操作手冊(cè)，有助于企業(yè)組織增強(qiáng)對(duì)DDoS攻擊的可控程度

8、使用桌面演練驗(yàn)證效果

通過(guò)年度桌面演練，可以審查攻擊場(chǎng)景，通過(guò)確保正確實(shí)踐的過(guò)程，以此校準(zhǔn)操作手冊(cè)的實(shí)際效果，更新優(yōu)化

深度緩解DDoS全球威脅

云安全領(lǐng)域，Akamai長(zhǎng)年獲評(píng)Forrester DDoS緩解領(lǐng)導(dǎo)者，在爬蟲管理、WAF和零信任方面?zhèn)涫苷J(rèn)可。在DDoS攻防博弈過(guò)程，Akamai積累了一整套覆蓋整個(gè)生態(tài)系統(tǒng)的多層防御，從而提高應(yīng)對(duì)復(fù)雜威脅的韌性。

產(chǎn)品矩陣上，Akamai App&API Protector、Edge DNS、Prolexic等產(chǎn)品均可根據(jù)應(yīng)用場(chǎng)景、應(yīng)用程序要求，構(gòu)建專門的DDoS應(yīng)對(duì)策略，簡(jiǎn)化惡意攻擊管控難度，保證從云到端的數(shù)字化資產(chǎn)免受多源攻擊。

近期，全新Akamai Connected Cloud大規(guī)模分布式邊緣和云平臺(tái)正式上線，全部數(shù)據(jù)中心都具備高級(jí)DDoS抵御措施，大幅增強(qiáng)了云計(jì)算、云安全、云分發(fā)的整體服務(wù)力度。結(jié)合嶄新的Akamai全球流量監(jiān)測(cè)服務(wù)與智能化產(chǎn)品，將支持企業(yè)組織在擊破DDoS等復(fù)雜威脅時(shí)，安全可靠、事半功倍，在全球范圍內(nèi)進(jìn)一步保護(hù)數(shù)據(jù)、員工、系統(tǒng)和數(shù)字化體驗(yàn)。