将安全边界扩展到数据中心之外

在过去的十年中,分布式拒绝服务攻击(DDoS)不断激增,成为几乎每一个暴露在互联网上的企业面临的主要威胁之一。而近来DDoS又发生了新的变化,大流量攻击已经变得越来越普遍,这一变化也意味着企业越来越疲于应对如此程度的攻击。

“如今DDoS已能达到125GB的攻击流量,到2016年攻击速度将达到1TB/s。”Akamai信息技术安全部总监John Ellis在接受ZDNet专访时表示。

而极少有公司或组织拥有可以抵御这种程度攻击的设备,传统的通过增加网络带宽资源也只是在应对小规模流量攻击时防御效果明显,面对大规模攻击时则力不从心。

糟糕的是,随着僵尸网络的扩散,DDoS攻击规模不断提升。John多次提到,大流量攻击在现在已经变得司空见惯,Akamai曾为受到 DDoS攻击的客户缓解了超过200Gbps的流量。根据Akamai发布的《2012互联网发展状况报告》显示,作为一个长期延续的趋势,许多 Akamai客户在2012年上半年都遭遇了拒绝服务攻击。仅在今年上半年,Akamai的支持团队就记录了89次客户针对DoS攻击提出的协助防御请求。攻击者不再局限于网络层攻击,更多的是针对应用层DoS攻击(大流量或“慢DDoS”)或网站应用攻击(SQL注入、跨站脚本攻击等),这种攻击一旦成功,不仅会严重影响目标网站的可用性,而且由于其本身的特性,还会带来数据泄漏的重大风险。

John进一步补充道,传统的防御方法缺点是增加延时,先通过监控BGP通道再通过GRE,这需要30分钟的时间判定问题,而且还会制造一些假象,难以发现根源。

IT管理者需要找到一种行之有效的方式,来应对网络上这破坏性的攻击。John告诉记者,Akamai将安全防护扩展到数据中心之外,通过建立包含超过十万个服务器,分布于83个国家,2000多个网络中的智能平台防堵DDoS攻击。这一基于云的中心可吸收锁定应用层的DDoS流量,将针对网络层的所有DDoS流量转向。作为基于云的托管服务,Akamai降低了集中式安全资源和人员的相关负担,使核心基础设施更加灵活有效。

值得一提的是,Akamai智能平台能够对合法流量和攻击流量进行区别对待,从而高效地进行处理。John说到,数据中心一旦迎来高峰,传统的提高带宽或集中式的安全解决方案不能分辨是因为网站欢迎度提升或一些热点事件导致浏览量增加,还是一些非法攻击流量造成的。在Akamai的解决方案下,在源头检测并提前处理恶意请求有利于保护源服务器,并可有效阻挡互联网攻击流量,这种独有的分布式方法能够提供最佳的解决方案。

John解释了这一原理,“假如CCTV是我们的客户,通过Akamai众多的服务器建立一个Cache。浏览者想要得到这个数据,这个数据直接是从服务器传输到浏览者,不是CCTV传输过去的。如果这个信息在Cache没有的话,CCTV把信息传输给Cache,每个服务器都可以分享这个信息。这个Cache可以区别浏览者或攻击者,流量一旦超过频率控制设定的门槛,就会进入等候区,然后进行分析。客户可以根据分析结果选择不需要这个流量或让服务器吸收这个流量,也可以让它重新选择路径。”

分布式的云平台可对互联网的正常运行进行持续的实时监控和分析。 这包括各地区流量水平、各主干网状况、DNS服务器状况以及BGP扰动等数据。利用由异常流量模式触发的客户专用报警机制,Akamai对全球网络的实时独特监控可提前识别流量攻击及其资源。

John最后指出,除了大规模的流量攻击外,针对应用层漏洞的攻击也愈发明显。在经过测试的网络应用程序中,近一半包含重要漏洞或紧急漏洞。比如SQL注入,跨站脚本攻击(XSS),应用层DDoS攻击比网络层DDoS攻击更难检测。

John认为,传统的网络防火墙和入侵防护系统无法有效地防御这些危险的网络攻击。每一种方式均有其操作弊端,公司购买和管理这些部署在内线的设备,容易造成严重的单点故障。综合安全构架倾向于集二者之长于一身,基于云的分布式安全服务进行按需防护,能够简化源服务器基础架构,同时减少IT规划和维护的烦恼。这种经济有效的可扩展方式给企业安全防护提供最优的选择。