墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

cc攻击谨防_海外行动高_解决方案

cc攻击谨防_海外行动高_解决方案

Francesco Cipollone,云安全联盟英国分会主席兼NSC42 Ltd.

Azure中的混合模式

在新的云部署中,经常看到组织使用多种云环境或想法的组合。在单个设备中治理访咨询操纵基本是单个技术/设备的难题,更不用讲各种云提供商或云想法。

PaaS web前端

三层高级视图(混合与PaaS)

上图展示了一具三层混合部署模型的示例。

该体系结构显示了在无服务器环境中开辟的web前端(在本例中为Azure应用程序服务)。它能够在传统的IaaS web服务器上实现,但在本文中,我挑选了利用PaaS技术的部署。

此环境中的应用程序分布在不同的层中,这大概会对部署带来挑战,安全操纵的位置和类型。

使用PaaS服务的优势在于将某些安全要素托付给云服务提供商;这关于较小的组织来讲大概是有利的,因为他们能够专注于应用程序的安全开辟,使用CSP从物理层到操作系统层举行安全爱护。另一方面,三层IaaS部署支持更细粒度的操纵,并允许组织挑选其操纵。在PaaS或SaaS环境中,组织被迫答应云提供商提供的安全操纵及其粒度。由于缺乏安全操纵的粒度,组织大概无法使用PaaS服务。

这种事情下,安全专业人员经过将操纵能力映射到监管操纵或提出解决方案来聚合某些操纵,从而遵守法规,从而起到至关重要的作用组织风险偏好或监管要求。

Web前端

建议对Web前端(在IaaS或无服务器上)举行更严格的操纵。应用程序的web前端最后来是应用程序数据的前门,所以很多参与者,不管是合法的依旧恶意的,都会敲门。

随着恶意参与者的数量不断增加以及攻击者的普遍可用性,拥有通过良好测试且直接的web前端代码至关重要,定义良好且通过身份验证的API和流量过滤。下一节将提供一些可用于爱护前端的安全操纵措施。

对web前端的攻击,尤其是DDoS攻击,成本非常高,因为它们将消耗大量资源(例如,web前端向外扩展,直到达到设定的限制).

关于无服务器环境,上述消费成本更为真实,CC防御,因为价格通常高于IaaS,CC防御,与请求数量直截了当相关。

出于这一特定缘由,下面列出的安全操纵应经过操纵资源消耗、支出和计费来丰富。资源消耗也适用于诸如CDN或DDoS前端(仅举几例akamai、Imperva和F5网络)等DDoS谨防操纵。

Web前端安全操纵

在上一节的扩展中,Web前端的操纵侧重于行为模式(请求类型),以区分合法和恶意请求。此外,操纵重点是WEB协议及其正确行为(也称为第7层操纵或特定于应用程序的操纵)。

此层典型的非详尽操纵列表如下:

DDoS操纵(外部或嵌入CSP Azure DDoS或AWS DDoS和AWS Shield中)CDN(内容分发网络)或类似的流量分发系统(如Azure CDN或AWS CloudFront)DNS爱护(如Azure Traffic Manager或AWS route 53)Web应用程序防火墙(如Azure WAF或AWS WAF)访咨询操纵、角色和权限(Azure NSG或AWS安全组等操纵)

请注意,高防cdn,以上不过10个列表的开始,并非详尽无遗。操纵措施及其成本应始终与风险评估以及对其所爱护资产价值的评估相关联。

Web前端请求爱护:

以下提供了往常架构中的Web前端放大图和实施的操纵数量。依照风险评估和需求,操纵顺序能够切换和重新排序。图中仅提供了一种标准模式来公开和爱护web服务。挑选此选项是为了缩短文章的长度。

网络前端的一系列控件

云提供商提供了一系列控件来缓解网络前端的不同咨询题。操纵如下:

CDN — CDN是一具地理上分布的代理网络,在全球范围内分发内容。其目标是相关于最后来用户在空间上分布服务,以提供高可用性和高性能。此控件(不是传统的安全控件)通常由云提供商(如Azure CDN或AWS CloudFront)治理。这种操纵部署想法为服务用户提供了较少的责任(通常该服务类似于具有最低配置要求的SaaS服务器)。这种部署挑选减少了服务用户的负担(服务通常与具有最低配置要求的SaaS服务器相同)。由于可伸缩性由服务提供商负责,这是一具特别有吸引力的操纵,但也要付出代价。始终值得在CDN和DDoS之间举行评估,以及将哪一具放在第一位(上图中的1和2)。交通经理 — 在上图中,它充当类似于CDN的负载分配操纵(Azure Traffic Manager或AWS Route 53交通流算是一具例子)。DNS操纵 — 与CDN一起操纵和爱护DNS条目,并在需要将地址切换到CDN时动态更新DNS记录。这些服务的示例包括Azure DNS以及Azure Traffic manager或AWS Route 53

以下是AWS DDoS蓝图

AWS DDoS蓝图

DDoS操纵中的AWS DDoS爱护示例 — 分布式拒绝服务操纵旨在检测从最后来用户到web前端的恶意和异常请求率。该控件大概会返回一些误报,这取决于攻击的复杂程度或DDoS控件算法的训练程度。DDoS攻击旨在使资源过载并使其无法使用,从而将恶意攻击流屏蔽为合法请求的数量。攻击越复杂,恶意请求看起来就越合法。有效请求和DDoS之间的要紧区别在于请求的速率。请求频率的高峰会导致可检测的DDoS,而更多时刻和地理分布的请求数量会使攻击者难以检测。DDoS产品各不相同,但以下是"简单"插件选项:

Azure DDoS产品

差不多云DDoS — 这些服务往往集成到CSP网络中,但要紧是为了爱护帐户。这些操纵的阈值往往相当高。Azure DDoS爱护或AWS DDoS爱护)高级/定制的云DDoS(如Azure DDoS或AWS Shield)这些控件更适合应用程序。它们提供适合应用程序的微调和监控。外部CDN/DDoS操纵(如Akamai、Imperva和F5网络)这些服务将其外部地址(按需或永远)链接到web前端的DNS地址。这导致web前端"实际上"成为CDN网络的一部分。经过这种方式,web前端(或网站)的流量能够基线化。基线为DDoS操纵算法提供了显著优势,因为它能够依照网站的常规活动举行定制。定制的算法(或通过训练的算法)最后来将导致更准确的结果(读取为阻挠更多攻击)。虽然这样,DDoS操纵始终容易受到误报数量增加的阻碍,这取决于算法和初始训练集的准确性。

WAF放大

WAF — 此混合模型中的Web访咨询防火墙(WAF)部署和配置与传统的IaaS(内部部署)略有不同。上图显示了web前端控件的两种部署想法:云服务提供商WAF — 左侧显示带有无服务器应用程序的本机云WAF。有关更多详细信息,请参阅web应用程序创建。这种想法的优势在于在云结构中提供集成的WAF技术,所以它需要最少的配置,并与Azure security Center或AWS security hub/AWS Shield monitoring等安全仪表板举行本机集成。有关集成的更多详细信息,请参阅WAF和安全中心集成。外部WAF提供者 — 右侧显示了一种利用外部提供商DDoS操纵和/或web访咨询防火墙(例如Imperva或Akamai)爱护web应用的想法。云CDN或DDoS爱护服务充当补偿操纵。这些外部WAF提供商(例如Imperva cloud WAF、F5 cloud WAF或Akamai cloud WAF)提供的规则粒度大概比云本地提供商的规则粒度复杂或不复杂。外部WAF提供商基于在多个客户上实施解决方案所获得的经验,同时随着时刻的推移(例如,F5从1996年开始浮上……基本有一段时刻了)。由于这段历史,他们的算法往往更加复杂和精细。虽然这样,云提供商正在迅速赶上这些操纵,并提供越来越多的细粒度规则。WAF思量在那个WAF配置是:Web应用程序或Web应用程序可编程接口(API)位于托管服务上(具有上述优点和缺点)交通将需要横穿

版权保护: 本文由 主页 原创,转载请保留链接: /ddos/139350.html


QQ客服

400-0797-119