為什么混合始終在線保護(hù)是您的最佳選擇

今天的用戶想要更多。在線競爭的普遍性和便利性意味著客戶希望一切都更好、更快、更便宜。用戶體驗(yàn)的一個(gè)關(guān)鍵組成部分是服務(wù)可用性。客戶希望應(yīng)用程序和在線服務(wù)始終可用且響應(yīng)迅速。

然而，問題在于，新一代更大、更復(fù)雜的分布式拒絕服務(wù)(DDoS)攻擊使DDoS 保護(hù)成為一項(xiàng)比以往更具挑戰(zhàn)性的任務(wù)。大規(guī)模的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)正在導(dǎo)致規(guī)模越來越大的 DDoS 攻擊，而更復(fù)雜的應(yīng)用層攻擊則找到了耗盡服務(wù)器資源的新方法。最重要的是，持續(xù)向加密流量的轉(zhuǎn)變正在為強(qiáng)大的 SSL DDoS 洪水帶來新的挑戰(zhàn)。

傳統(tǒng)的DDoS防御——無論是基于本地的還是基于云的——都提供了不完整的解決方案，需要在高容量容量保護(hù)、針對復(fù)雜的應(yīng)用層DDoS 攻擊的保護(hù)和 SSL 證書的處理之間進(jìn)行固有的權(quán)衡。因此，該解決方案采用了一種新的混合 DDoS 保護(hù)模型，該模型將基于本地的設(shè)備與始終在線的云服務(wù)相結(jié)合。

全面保護(hù)需要雙管齊下

隨著DDoS攻擊變得更加復(fù)雜，組織需要更精細(xì)的保護(hù)措施來緩解此類攻擊。然而，為了保證完全保護(hù)，許多類型的攻擊——尤其是更復(fù)雜的攻擊——需要對入站和出站通道的可見性。

諸如大文件DDoS攻擊、ACK 洪水、掃描攻擊等攻擊利用出站通信通道進(jìn)行僅通過查看入口流量無法識別的攻擊。此類攻擊是通過發(fā)送少量入站請求來執(zhí)行的，這些請求對出站通道或網(wǎng)絡(luò)內(nèi)的計(jì)算資源具有不對稱且不成比例的影響。

SSL 正在創(chuàng)造新的挑戰(zhàn)

最重要的是，SSL/TLS流量加密增加了另一層復(fù)雜性。在很短的時(shí)間內(nèi)，大部分互聯(lián)網(wǎng)流量都已加密。流量加密有助于保護(hù)客戶數(shù)據(jù)，用戶現(xiàn)在希望安全成為服務(wù)體驗(yàn)的一部分。根據(jù)Mozilla 基金會的 Let's Encrypt 項(xiàng)目，全球近 80% 的互聯(lián)網(wǎng)流量已經(jīng)被加密，而且這個(gè)比率還在不斷增長。

具有諷刺意味的是，雖然SSL/TLS對于保護(hù)用戶數(shù)據(jù)至關(guān)重要，但它也帶來了重大的管理挑戰(zhàn)，并使服務(wù)暴露于新一代強(qiáng)大的 DDoS 攻擊：

[if !supportLists]·?[endif]增加DDoS攻擊的效力：SSL/TLS連接需要來自目標(biāo)服務(wù)器的資源比請求主機(jī)多 15 倍。這意味著黑客可以僅使用少量連接就可以發(fā)起毀滅性攻擊，并使用 SSL 泛洪快速淹沒服務(wù)器資源。

[if !supportLists]·?[endif]數(shù)據(jù)有效負(fù)載的屏蔽：此外，根據(jù)定義，加密會屏蔽流量請求的內(nèi)部內(nèi)容，從而防止對數(shù)據(jù)包進(jìn)行深度檢查以防止惡意流量。這限制了反DDoS防御層的有效性，以及它們可以檢測到的攻擊類型。對于隱藏在 SSL 加密覆蓋范圍內(nèi)的應(yīng)用層 (L7) DDoS 攻擊來說尤其如此。

[if !supportLists]·?[endif]SSL密鑰暴露：許多組織、國家或行業(yè)法規(guī)禁止與第三方實(shí)體共享SSL密鑰。這給必須提供最安全的用戶體驗(yàn)同時(shí)保護(hù)其 SSL 密鑰不被泄露的組織帶來了獨(dú)特的挑戰(zhàn)。

[if !supportLists]·?[endif]延遲和隱私問題：在云中卸載SSL流量通常是一項(xiàng)復(fù)雜且耗時(shí)的任務(wù)。大多數(shù)基于云的 SSL DDoS 解決方案都需要云提供商對客戶流量進(jìn)行完全解密，從而損害用戶隱私并增加客戶通信的延遲。

現(xiàn)有解決方案提供部分覆蓋

然而，問題在于現(xiàn)有的反DDoS防御無法提供能夠提供大容量容量保護(hù)的解決方案，同時(shí)提供復(fù)雜類型攻擊所需的雙向保護(hù)。

本地設(shè)備可針對各種DDoS攻擊提供高級別的保護(hù)，同時(shí)提供極低的延遲和快速響應(yīng)。此外，作為內(nèi)部部署，它們允許公司處理基于 SSL 的攻擊，而無需將其加密密鑰暴露給外界。由于它們對入站和出站流量都有可見性，因此它們提供了針對對稱 DDoS 攻擊的雙向保護(hù)。然而，物理設(shè)備無法應(yīng)對大規(guī)模物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)時(shí)代已經(jīng)司空見慣的大規(guī)模容量攻擊。

另一方面，基于云的DDoS防護(hù)服務(wù)擁有應(yīng)對大規(guī)模流量攻擊的帶寬。但是，它們僅提供對入站通信渠道的可見性。因此，他們很難抵御雙向DDoS攻擊。此外，基于云的 SSL DDoS 防御（如果供應(yīng)商有的話）經(jīng)常要求組織在線上傳其 SSL 證書，從而增加了這些密鑰被暴露的風(fēng)險(xiǎn)。

最佳解決方案：混合始終在線方法

對于高度重視用戶體驗(yàn)并希望避免因DDoS攻擊而導(dǎo)致的最輕微停機(jī)的公司，最佳解決方案是部署始終在線的混合解決方案。

DDoS保護(hù)的混合方法將本地硬件設(shè)備與始終在線的基于云的清理能力相結(jié)合。這有助于確保服務(wù)免受任何類型的攻擊。

混合始終在線DDoS保護(hù)

與純云永遠(yuǎn)在線部署模型相比，混合永遠(yuǎn)在線方法增加了針對使出站管道飽和的對稱DDoS攻擊的多層保護(hù)，并允許在本地維護(hù) SSL 證書。

混合永遠(yuǎn)在線模型的好處

[if !supportLists]·?[endif]多層DDoS保護(hù)：基于前提的硬件緩解設(shè)備與基于云的清理能力相結(jié)合，可提供不同級別的多層保護(hù)。如果攻擊以某種方式通過云保護(hù)層，它將被本地設(shè)備阻止。

[if !supportLists]·?[endif]持續(xù)、不間斷的容量保護(hù)：由于所有流量始終通過基于云的清理中心，基于云的服務(wù)可提供不間斷、持續(xù)的保護(hù)，防止大容量容量DDoS攻擊。

[if !supportLists]·?[endif]雙向DDoS保護(hù)：雖然基于云的DDoS保護(hù)服務(wù)僅檢查入站流量通道，但添加基于前提的設(shè)備允許組織也檢查出站通道，從而保護(hù)自己免受雙向 DDoS 攻擊，這些攻擊可以使出站管道飽和，或者需要可見性以返回流量以識別攻擊模式。

[if !supportLists]·?[endif]減少SSL密鑰暴露：許多國家或行業(yè)法規(guī)要求不得與其他任何人共享加密密鑰。包含基于前提的硬件設(shè)備使組織能夠保護(hù)自己免受加密的DDoS攻擊，同時(shí)將其 SSL 密鑰保留在內(nèi)部。

[if !supportLists]·?[endif]減少加密流量的延遲：云中的SSL卸載通常是一項(xiàng)復(fù)雜且耗時(shí)的事情，這會增加用戶通信的延遲。由于混合始終在線模型中的 SSL 流量檢查主要由本地硬件設(shè)備完成，因此用戶可以享受更快的響應(yīng)時(shí)間和更低的延遲。

在保證服務(wù)可用性的同時(shí)確?？蛻趔w驗(yàn)的質(zhì)量是一個(gè)多方面且復(fù)雜的命題。組織面臨著DDoS攻擊規(guī)模的增長、應(yīng)用層 DDoS 攻擊的復(fù)雜性增加以及轉(zhuǎn)向 SSL 加密帶來的挑戰(zhàn)。

部署混合始終在線解決方案允許對流量的入站和出站可見性，增強(qiáng)對應(yīng)用層和加密流量的保護(hù)，并允許將SSL密鑰保存在內(nèi)部，而不會將它們暴露在外部。