遷移到云端的優(yōu)勢(shì)
與部署單獨(dú)的硬件設(shè)備相比,遷移到云端有很多優(yōu)勢(shì):
- 保護(hù)云端應(yīng)用:本地設(shè)備無(wú)法保護(hù)托管在云中的應(yīng)用,因此需要基于云的防護(hù)措施。
- 容量更大:隨著大流量DDoS攻擊的規(guī)模變得越來(lái)越大,許多攻擊都很容易超過典型的企業(yè)級(jí)DDoS緩解設(shè)備的容量。在這種情況下,云服務(wù)能夠提供可以化解這些攻擊的備用容量。
- 管理開銷更低:與使用本地設(shè)備相比,頻繁使用云服務(wù)所需的管理費(fèi)用和人員都更少。
- 成本更低:DDoS緩解設(shè)備需要大量的前期資本支出(CAPEX),而云端DDoS緩解服務(wù)的成本往往更低,并且可以以持續(xù)訂閱的模式支付費(fèi)用。這就使得客戶可以根據(jù)自己的需求擴(kuò)展(或收縮)他們的服務(wù)。此外,這些支出通常被歸類為運(yùn)營(yíng)費(fèi)用(OPEX),對(duì)很多企業(yè)而言,這更容易分配。
- 然而,應(yīng)該指出的是,云的便利性是根據(jù)更低級(jí)別的控制以及與可能限制企業(yè)向云端遷移能力的監(jiān)管需求的潛在沖突而逐漸減少的。
- 按需:需要時(shí)才啟用的DDoS防護(hù)
云端DDoS防護(hù)措施的第一個(gè)模式就是按需模式。在這種模式下,和平時(shí)期,流量通常會(huì)直接流向主機(jī)(即:未遭受到攻擊)。然而,一旦確定了DDoS攻擊,流量就會(huì)轉(zhuǎn)發(fā)到云端DDoS緩解服務(wù),該服務(wù)可以清洗攻擊流量,并且只會(huì)將潔凈流量傳遞給源服務(wù)器。顧名思義,這種類型的防護(hù)措施只會(huì)在需要時(shí)按需啟動(dòng)。
優(yōu)缺點(diǎn):
- 和平時(shí)期沒有延遲:按需服務(wù)的最大優(yōu)勢(shì)之一就是,在未遭到攻擊的‘和平時(shí)期’不會(huì)出現(xiàn)延遲。只有在遭受到攻擊的攻擊持續(xù)時(shí)間內(nèi),流量才會(huì)被轉(zhuǎn)移。
- 成本更低:按需服務(wù)往往比購(gòu)買專用DDoS緩解設(shè)備和永遠(yuǎn)在線的云服務(wù)都更便宜。這就可以有效地保護(hù)那些沒有大量預(yù)算的客戶。
- 簡(jiǎn)單明了:按需云服務(wù)維護(hù)簡(jiǎn)單,在正常情況下也無(wú)需管理。
然而,按需模式也有一定的缺陷:
- 檢測(cè)時(shí)間:按需服務(wù)的最大缺點(diǎn)可能就是不能提供100%的防護(hù)。多數(shù)按需服務(wù)可以根據(jù)大容量的流量閾值檢測(cè)DDoS攻擊。只有達(dá)到一定的流量閾值時(shí),才會(huì)啟動(dòng)防護(hù)措施,這可能需要幾分鐘來(lái)累計(jì)數(shù)據(jù)并加以分析。在此期間,服務(wù)器可能就會(huì)被暴露。
- 轉(zhuǎn)發(fā)時(shí)間:從開始轉(zhuǎn)發(fā)到完成轉(zhuǎn)發(fā),可能需要更多的時(shí)間。轉(zhuǎn)發(fā)時(shí)間由兩個(gè)因素組成:開始轉(zhuǎn)發(fā)的時(shí)間以及通過BGP或DNS表格傳播所需的時(shí)間。盡管可以使用自動(dòng)化或可編程(基于API)的轉(zhuǎn)發(fā)技術(shù)將轉(zhuǎn)發(fā)時(shí)間降至最低,但傳播時(shí)間通常會(huì)脫離提供商的直接控制。
- 轉(zhuǎn)發(fā)期間的延遲:一旦流量開始轉(zhuǎn)發(fā),所有對(duì)源服務(wù)器的請(qǐng)求都要通過云DDoS緩解提供商的網(wǎng)絡(luò)發(fā)送,這就可能增加交易延遲。延遲的數(shù)量取決于清洗中心的位置、與源服務(wù)器之間的距離以及連接質(zhì)量。然而,這一延遲只有在發(fā)生轉(zhuǎn)發(fā)時(shí)才會(huì)繼續(xù),一旦轉(zhuǎn)發(fā)結(jié)束,就會(huì)恢復(fù)正常。
注意事項(xiàng):
就像購(gòu)買本地設(shè)備(以及接下來(lái)要討論的永遠(yuǎn)在線和混合模式)一樣,是否選擇使用按需防護(hù)模式取決于企業(yè)的具體用例和需求:
- 延遲:使用按需服務(wù)不會(huì)增加和平時(shí)期的延遲,因此對(duì)于那些對(duì)延遲敏感的應(yīng)用而言,按需服務(wù)是有效的。
- 攻擊頻率:企業(yè)多久遭受一次攻擊?如果企業(yè)只是偶爾遭受到攻擊(或根本不會(huì)遭受到攻擊),那么在遭受到攻擊時(shí),按需服務(wù)可能就是一種比較劃算的解決方案。然而,如果企業(yè)服務(wù)器經(jīng)常遭受到攻擊,那么不間斷地轉(zhuǎn)發(fā)流量可能并不是很有效,永遠(yuǎn)在線或混合服務(wù)可能會(huì)更好。
- 關(guān)鍵業(yè)務(wù)應(yīng)用:企業(yè)應(yīng)用是否是關(guān)鍵業(yè)務(wù)應(yīng)用?按需服務(wù)通常需要幾分鐘時(shí)間來(lái)執(zhí)行檢測(cè)和轉(zhuǎn)發(fā)步驟,在此期間服務(wù)器仍處在暴露狀態(tài)。如果企業(yè)能在不引起重大損害的情況下化解這一風(fēng)險(xiǎn),那按需服務(wù)就很好。然而,如果企業(yè)承擔(dān)不起哪怕片刻的宕機(jī)代價(jià),那么永遠(yuǎn)在線或混合解決方案可能會(huì)更好。
最適合的企業(yè)是哪些?
考慮到按需云端DDoS防護(hù)模式的優(yōu)缺點(diǎn),以下幾類客戶(或應(yīng)用)可以選擇這一解決方案:
- 不經(jīng)常遭受攻擊:不經(jīng)常遭受到攻擊并且不需要持續(xù)防護(hù)的企業(yè)。
- 對(duì)延遲敏感:對(duì)延遲非常敏感的應(yīng)用,因此并不適合永遠(yuǎn)在線的解決方案。
- 對(duì)價(jià)格敏感:沒有可用于DDoS防護(hù)措施的大量預(yù)算但卻希望擁有劃算的防護(hù)措施的企業(yè)。
然而,同樣地,這種解決方案不太適合某些企業(yè)和應(yīng)用類型:
- 持續(xù)遭到攻擊的企業(yè):持續(xù)遭到攻擊的企業(yè)或應(yīng)用,經(jīng)常需要轉(zhuǎn)移流量。在這些情況下,永遠(yuǎn)在線或混合服務(wù)可能更合適。
- 關(guān)鍵業(yè)務(wù)應(yīng)用:關(guān)鍵業(yè)務(wù)應(yīng)用必須始終可用,且無(wú)法承受任何停機(jī)時(shí)間的代價(jià)。由于按需DDoS防護(hù)措施通常需要幾分鐘來(lái)檢測(cè)和轉(zhuǎn)移,這可能就會(huì)導(dǎo)致可用性的短暫中斷。如果這一個(gè)主要問題,那么永遠(yuǎn)在線或混合解決方案可能會(huì)更好。
對(duì)不需要持續(xù)防護(hù)的企業(yè)而言,按需云DDoS防護(hù)模式是一種比較劃算的解決方案。對(duì)需要持續(xù)保護(hù)措施的客戶而言,永遠(yuǎn)在線和混合云服務(wù)可以為他們提供這一類型的防護(hù)措施。本系列的下一篇文章將重點(diǎn)討論這些替代方案以及最適合哪些企業(yè)使用。
關(guān)于Radware
Radware是為虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心提供應(yīng)用交付和應(yīng)用安全解決方案的全球領(lǐng)導(dǎo)者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應(yīng)用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬(wàn)家企業(yè)和運(yùn)營(yíng)商快速應(yīng)對(duì)市場(chǎng)挑戰(zhàn),保持業(yè)務(wù)的連續(xù)性,在實(shí)現(xiàn)最高生產(chǎn)效率的同時(shí)有效降低成本。
