在目前的应用经济下,企业对于应用交付的需求与日剧增。而安全特别是防DDoS能力成为应用交付厂商必备的服务项目,Radware是为虚拟数据中心和云数据中心提供应用交付和应用安全解决方案的领导厂商,其解决方案为关键业务应用提供充分的弹性、最大的IT效率和完整的业务灵敏性。Radware解决方案帮助全球上万家企业和运营商快速应对市场挑战,保持业务的连续性,在实现最高生产效率的同时有效降低成本。
近日,天极网采访了Radware中国区首席架构师姚宏洲,就目前的DDoS市场的热点问题进行了讨论。
新形势下的DDoS市场
如果说以前的DDoS攻击是长时间的持续性行为,那么步入新常态后,DDoS攻击时间都低于一小时,不再像以前持续那么久。姚宏洲表示,攻击行为产生效果后会在企业防御前撤退,同时通过变化攻击手法维持攻击的有效性。
虽然目前很多运营商提供了流量清洗服务,但是在受到攻击通知并启动运营商的流量清洗服务之前,攻击者可能已经转移了。所以这需要企业在应对DDoS攻击的时候需要更加有效的防御解决方案。
此外,DDoS攻击影响的范围在扩大,比如教育行业、政府和ISP。对于ISP来说,以前DDoS攻击的对象是主机托管商的客户,现在ISP自身也成为被攻击的对象。
在攻击手法上,DDoS攻击出现加密型的攻击,通过加密,攻击直接穿透防火墙。而且攻击是多维度的,不同类型的攻击混合使用。而且DDoS攻击的地域特征不是那么明显,也就是在中国发生的攻击也会出现在美国。
另外,DDoS攻击不再像以前那样偏向于偏向整个服务的阻断,所谓阻断就是服务完全不可用。姚宏洲解释说,现在的DDoS让服务变慢而不是直接阻断,通过影响服务的客户体验实现攻击。比如服务响应慢,其实是DDoS强制占用整个业务系统资源,从而拖慢系统,服务受到干扰,直接影响客户满意度。
DDoS攻击的自动化也是目前的一个新特征。姚宏洲说,如果攻击自动化,我们的防护也要自动化,才能够匹配它,攻击一直在变,你也要有方法。目前企业应用大多采用CDN加速,这样的一个问题是虽然加速了企业应用交付,但是安全问题也隐藏其中。比如CDN加速的是静态资源。动态资源,它会溯源到真实的数据中心的服务器来。经过CDN加速溯源,对于客户的数据中心而言,他有一个困扰,就是他所看的IP都是CDN的IP,因为CDN会做一个地址转换,在IP层看到的是CDN的IP。
攻击的用户跟实际的用户是夹杂在一起的。所以你需要有一套机制,判断攻击者跟非攻击者。以前以一个IP去判断是好人还是坏人,现在必须要更深层次判断,比如基于行为模式。针对于此,Radware有一个机制是根据指纹进行识别。对于我们的目的站点而言,同一个源地址,有攻击行为,又有正常行为。虽然都是同一个IP来的,但是这个请求是从某一台特定设备出来,另外的请求是从另外一台设备出来,这是我们所谓的设备指纹。
不光CDN,手机上网也是同样如此。通过基站进行IP地址转换,而通过设备指纹可以很好解决这个问题。
Radware设备指纹识别技术可以让Radware客户无需互联网协议IP地址就可以实现对最终用户设备的追踪。通过使用设备的多种特性进行设备的准确识别并与其它设备进行区分。Radware可以利用专利追踪技术生成设备信誉档案,档案中包括可以帮助用户检测并缓解分布式拒绝服务DDoS攻击、入侵和欺诈行为等威胁的历史行为信息。
精确的设备级检测可以实现更加有效的流量防护,能够识别那些可以规避基于IP地址的安全措施的数据流。这些数据流包括来自内容分发网络CDN并带有白名单列表中IP的的恶意流量、采用动态主机配置的流量(每次访问互联网时都会生成一个新的IP地址)。网络地址转换NAT设备允许多个设备共享同一个IP地址,同时,匿名代理服务也使在不影响合法用户/设备的前提下进行IP地址拦截变得非常困难,而设备指纹识别技术则可以很好地识别这些利用网络地址转换设备进行互联网访问的恶意用户。
目前的DDoS攻击量非常大,姚宏洲表示,为什么攻击量会突然上升那么多?实际上跟所谓的机器人攻击和肉机攻击有直接关系。从持续性的攻击行为,变成大概一个小时内的攻击行为。但是它可以在这么短的时间内实现如此大的攻击量,就是依靠僵尸网络(Botnet)实现统一的攻击行为。
针对目前大流量网络攻击,Radware推出全新攻击缓解平台DefensePro x4420,提供高达300Gbps/230Mpps的攻击防御处理能力。Radware的这一全新平台可以防御当前最棘手的高容量DDoS攻击,如:UDP反射攻击、分片泛洪攻击和OOS泛洪攻击等,同时还可以识别和缓解隐藏在多载体攻击中的复杂低容量威胁。
作为业界首个可以支持100Gb接口及每秒2.3亿个攻击包处理能力的专用攻击缓解平台,Radware DefensePro x4420支持多租户使用环境,可以为每个租户提供多达1000条主动安全策略、独立的处理能力和定制化的管理及报告功能。
云计算下的DDoS攻击
我们知道目前云计算、移动互联网、物联网等对于企业IT基础设施产生了巨大的影响,对应着企业安全也受到这些技术趋势的影响。比如物联网,姚宏洲表示,IoT物联网成为僵尸网络,带宽不大,但是请求比较多,请求的巨量直接实现服务的阻断和干扰。
另外,云计算的发展虽然给企业带了红利,但是企业应用的云端迁移让其脱离企业本地的安全体系,而云提供商并不具备这样的安全防护,从云端来的数据直接进入企业内部。这对于企业安全造成了很大的困扰。
所以,企业需要在云端部署安全解决方案,实现本地防护体系与云端互动。姚宏洲说,虽然目前市面上的安全厂商也推出了云端的解决方案,而其也实现了与本地的互动。但是他们的这种互动只是局限于通知联动的功能,如何实现防护信令和策略的同步才是本地物理的防护扩展到云端虚拟化环境的关键。这也是Radware云端安全策略的最大优势。
信息的沟通内容非常重要,姚宏洲以消防员接到失火通知为例,如果只是单纯告知失火,消防员并不能有针对性地灭火。当详细告知失火地址、失火时间、失火类型等信息,消防员才能提前准备好相应的有效设备进行快速灭火。对应企业安全也是如此,本地设备遭受攻击的详细信息被上传到云端,才能部署更为有效的防御手段。
安全策略同步派发到云端,或者是甚至有人在攻击云端的时候,你可以把这个信息,通知本地设备,这样形成一个防护网才能真正实现云端的防护。拿Radware设备指纹来说,如果有人攻击本地数据中心,我会记录他的设备指纹,然后把这个相同的设备指纹派发到云端防护设备,这样就可以很好地实现企业混合云环境的安全防护。
对于云端CSP如何实现自身的安全防护,姚宏洲给出了相应的建议。CSP应该保护好自身的基础设施,在保护基础设施以外,还可以再卖给他的客户,变成一个安全的增值服务,实现创收。
目前Radware针对CSP除了安全防护方案,还有页面加速及服务等级保障监控的方案。Radware会从两个方向来看,一个是应用交付,一个是应用安全,从这两个面实现应用保障。姚宏洲补充说,我们跟CSP的整合,最重要的是灵活度,也就是我们的API跟他们的业务的绑定。从应用交付和应用安全两个方面实现自动化的联动。另外,我们看到OpenStack在CSP中普及,Radware也提供了相应的API来实现与OpenStack的集成。
所以,Radware的安全设备不单单只是考虑到所谓的安全威胁防护,实际上也注重应用的保障跟其他第三方的开放整合。在商务模式上,Radware也是非常灵活的,可以根据客户需求进行定制,比如服务采用Radware,而品牌采用他们自己的,CSP可以据此提高ROI投资回报率,实现安全服务的拓展。
总结
目前DDoS攻击市场呈现了很多新的特征,Radware创新性将应用交付和应用安全进行整合,而从最大程度保障企业业务的连续性。
本文转自d1net(转载)