企业在转向云端是需要构建最安全的系统架构。根据云安全联盟(CSA)的报告《The Notorious Nine: Cloud Computing Top Threats in 2013》,针对企业云部署最常见的攻击就是分布式拒绝服务(DDoS)攻击。在最近的一篇博文中,亚马逊探讨了客户如何在他们的亚马逊Web服务(AWS)虚拟私有云(VPC)中使用安全群组和访问控制,从而减少攻击面,同时设计了一个云架构来保护企业免受DDoS攻击。反抗云中DDoS的概念能成真吗?本篇技巧将会解析核心概念和技术,基础架构和安全团队可以实践,从而减少当今云环境中企业所面临的DDoS攻击风险。
减少公开暴露 绝对没有……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
企业在转向云端是需要构建最安全的系统架构。根据云安全联盟(CSA)的报告《The Notorious Nine: Cloud Computing Top Threats in 2013》,针对企业云部署最常见的攻击就是分布式拒绝服务(DDoS)攻击。在最近的一篇博文中,亚马逊探讨了客户如何在他们的亚马逊Web服务(AWS)虚拟私有云(VPC)中使用安全群组和访问控制,从而减少攻击面,同时设计了一个云架构来保护企业免受DDoS攻击。反抗云中DDoS的概念能成真吗?本篇技巧将会解析核心概念和技术,基础架构和安全团队可以实践,从而减少当今云环境中企业所面临的DDoS攻击风险。
减少公开暴露
绝对没有一种方法能够完全消除分布式拒绝服务攻击的威胁,理解这一点很重要。为了有效地阻击DDoS攻击并维护云服务的可用性,要运用一些核心的概念。首先,企业需要减少全部公开暴露环境。对于AWS环境,通常是在VPC中设置安全群组和私有网络。亚马逊有很好的终端概述——对于流量的方向指向具体的虚拟机以及与之相关的服务——或者网络安全群组。
准备扩展和冗余
弹性和可扩展要防患于未然,确保扩展和冗余在分布式拒绝攻击期间可以按需使用,尤其是在多个地理区域的情况下。任何运行在云中的虚拟机实例都需要保证网络资源可用。
亚马逊用具体实例规模提供了加强网络,允许更多的每秒封包数从这些系统发出或者收到,从而改善性能。亚马逊提供了其弹性负载均衡(ELB)服务,对所有运行中的实例扮演一个前端的角色,也能够基于你的负载均衡需求分配流量到系统中。
微软针对所有的Azure提供了域名系统(DNS)和网络负载均衡,Rackspace提供了控制流量流的专属云负载均衡。对于开启新服务和在云端扩展设置自动触发器是另外一种常见方式,可以提供资源弹性。在一篇减少DDoS攻击的白皮书中,亚马逊建议使用其Auto Scaling功能,在具体的实例度量上设置触发器,比如CPU利用率、网络流量和服务状态检查——从而自动化流量扩展和针对实例的负载均衡。
利用内容加速网络
利用内容交付网络(CDN),比如AWS CloudFront、Azure Content Delivery Network或者第三方服务,比如来自Akamai或者CloudFlare的服务,来代理流量并执行“包洗涤”动作,在云资源受到明显影响之前帮助防御和减少DDoS攻击。这些CDN通过多边网络节点分散流量,可以按需缓存和分发内容。
大多数的CDN可以限制来自或者接收一个具体的国家或者区域的流量。Amazon CloudFront可以实施Origin Access Identity,严格限制对于Simple Storage Service的访问,具体的用户通过CloudFront提供服务,而非直接访问,针对分布式拒绝服务攻击。还有很多其他的中介服务或者平台可以减少DDoS攻击,包括来自Imperva、Qualys和Barracuda这样的厂商的Web应用防火墙设备和服务。
分布式拒绝服务攻击防御
除了上面列出的这些关键概念,还有另外一种方法企业可以用来保护他们的基础设施。亚马逊建议使用DNS控制,比如Route 53服务来帮助控制DDoS。Route 53功能,诸如shuffle分片或者分布式DNS请求、anycast routing、alias record set——这是一种独立的DNS记录,可以在运行中快速改变,指向CloudFront或者ELB结点,以及私有DNS(仅限内部),可以帮助提供更多的灵活性和控制能力。
除了所有的这些功能,云提供商建议企业要认真追踪和监控云用例模式,开发健全的常规行为基准线,如果DDoS发生了,要积极主动的度量和控制响应。
作者
Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。
相关推荐
-
正确配置资源以减少云安全威胁
我们都知道,亚马逊S3数据泄露事件曾占据头条新闻,但导致该数据泄露的错误配置安全控制并非亚马逊独有的问题。事实 […]
-
人为错误会带来重大云安全风险
黑客总是在IT系统中寻找漏洞,企业一直在警惕防备。虽然有许多工具可以帮助保护数据和检测威胁,但这些工具都存在云 […]
-
云访问更安全:设置Azure多因素验证
一般来说 ,多因素验证,是在去端保护企业工作负载的一种常见方法。设置Azure多因素验证服务,和提供更长久的好处,需要谨记几点。
-
腾讯云天御:AI阻断黑产入侵
据腾讯云安全团队统计,目前国内黑产团伙掌控的手机号码资源超过了1亿。其中,绝大部分是包括虚拟运营商卡和物联网卡。