Zi 字媒體

黑客並不只是竊取數據那麼簡單；他們還可能使用某些垃圾郵件的請求和流量來讓應用運行崩潰。可以使用一些工具和技術來保護您的雲免受DDoS攻擊的危害。公共雲服務並不是IT世界中的世外桃源，它無法對安全方面的威脅免疫，它一樣會受到那些致命攻擊的入侵，其中就包括了拒絕服務攻擊。即便攻擊者無法入侵某個工作負載或者竊取存儲在公共雲中的數據，他們仍然能夠通過超量的合法服務請求或流量來堵塞網路，從而降低雲應用的運行性能，或者完全禁止某個應用或服務。雖然公共雲用戶無法防止每一次進攻，但卻可以採用一些重要措施來降低拒絕服務（DoS）或分散式拒絕服務（DDoS）攻擊的負面影響。一個強大的雲DDoS和Dos保護計劃可保護您的基礎設施，以免在惡意攻擊壓力下岌岌可危。什麼是雲中DoS或DDoS攻擊？在雲中，每一個應用都是在一個網路、計算和存儲的基礎設施中運行的。而其中每一種資源都有著一個最大的可用上限。例如，一台網路交換機每秒鐘只能轉發和擴散一定數量的數據包。當基礎設施收到更多的請求或流量超出其應用限值時，應用程序就會忽略那些多餘的請求並拒絕服務。對於任何計算基礎設施來說，這種拒絕服務行為都是一個正常的行為。但是，DoS攻擊就是通過有意識地使用超大流量請求消耗基礎設施的可用資源來惡意擴大這種拒絕服務的負面影響。如果攻擊成功，DoS攻擊可能會讓一個應用（甚至整個計算基礎設施）在數小時、數天乃至數周時間內都無法被訪問。一個DoS攻擊通常都是從同一個IP地址發出的，所以使用防火牆技術發現並禁止其訪問是相對比較容易的。而DDoS攻擊則不同，它常常比DoS攻擊要更加的危險，因為它發起攻擊的IP數量更多，從而讓管理人員更難以識別它們，更不用說如何來防範它們了。DoS或DDoS攻擊對雲應用的影響效果與對本地部署應用的影響相類似；即，運行性能下降，應用可能無法訪問。使用雲監控資源，例如公共雲供應商所提供的監控工具或日誌記錄工具就可發現並解決這一問題。什麼工具可以有助於防範雲DDoS或DoS攻擊？針對惡意服務請求的最基本雲DDoS和DoS保護措施就是傳統的防火牆。但是，防火牆本身的管理與配置也是一個難題，而且非常耗時，特別對於DDoS攻擊來說尤是如此。基於雲的應用程序讓這個問題變得更複雜了，因為企業用戶幾乎或根本就沒有辦法了解公共雲中的流量信息。這一狀況也推動了保護本地與雲應用程序的第三方服務的發展。市場上有著無數的雲DDoS保護工具與服務。這些服務通常都是以代理伺服器形式工作：一個應用程序的流量首先被送入代理服務，由這個代理服務來識別和過濾惡意服務請求。然後，剩下的非惡意服務請求就會被送至應用程序。採用第三方雲DDoS或DoS保護服務的企業用戶必須同時考慮可用性和可靠性兩方面；如果這個服務出現故障，那麼受保護的應用程序也可能變得不可用。谷歌選擇使用SDN來應對DoS攻擊不同的供應商採用不同的措施來幫助用戶保護他們存儲在雲中的數據。例如，谷歌公司有一個可用於提供、配置和管理虛擬網路的Andromeda，這是一個軟體定義網路。其目的在於創建一個安全、高性能和可編程的環境，以用於託管谷歌計算引擎的虛擬機。Andromeda架構包括了一個DDoS攻擊保護措施，同時還提供了透明負載均衡、路由、訪問控制列表和防火牆，上述所有這些功能都使用了底層的Andromeda API和基礎設施。用戶還能如何防止雲DDoS或DoS攻擊？雖然目前還沒有哪一個服務或工具能夠確保完全防範DoS和DDoS攻擊，但還是有一些應用設計和部署策略能夠有助於減少這些惡意攻擊的負面影響，特別是當在公共雲中部署工作負載時尤是如此。充分利用公共雲平台中的可用冗餘資源，並在多個地區或區域部署實例。如果一個地區或區域因中斷或攻擊事件受到影響，那麼用戶仍然有可以正常接收服務請求並做出響應的替代實例。應當向軟體開發人員和雲供應商工程師諮詢，設計出一個可以為每一個特定應用程序提供所需彈性的雲架構。請記住，所有的應用都是不一樣的，其中只有最關鍵任務工作負載才需要這樣的彈性。 當然，還有一些通用的應對措施可以幫助用戶檢測和防範雲DDoS和DoS攻擊。安裝和維護反惡意軟體綜合工具；定期對操作系統和應用程序進行打補丁和升級等操作；對API調用使用認證機制；以及對本地防火牆或公共雲防火牆進行配置以關閉不使用的埠。