随着数字化转型的加速,越来越多的企业和组织选择公有云作为其业务运营的平台。公有云以其灵活性、可扩展性和成本效益等优势,成为推动现代业务发展的重要力量。
然而,随着数据量的激增和网络威胁的日益复杂,公有云安全问题也日益凸显,而DDoS(分布式拒绝服务)攻击是网络安全中长期面临的严重威胁之一,DDoS攻击的规模、复杂性和频率都在不断增长,给企业和整个互联网生态系统带来了巨大的挑战。
本文将重点探讨公有云DDoS安全解决方案,希望帮助企业在享受公有云带来的便利的同时,确保数据和应用的安全。
一、公有云安全共担模型
租户使用公有云服务时,需要负责保护其在云上的应用、数据和配置的安全。云服务提供商负责保护云平台的基础设施,包括数据中心的物理安全、网络基础设施、存储和计算资源等。这就是安全共担模型,如华为云安全责任共担模型:
华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。
租户:负责云服务内部的安全,安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。
二、公有云安全整体架构
在公有云环境下,数据和应用的安全直接关系到企业的商业机密、客户信任和合规要求。一旦发生安全事件,不仅可能导致经济损失,还可能损害企业的声誉和市场地位。因此,构建一个安全可靠的公有云环境,对于任何希望在云上长期发展的企业来说,都是至关重要的。公有云提供了网络安全、应用安全、主机安全、数据安全等全面解决方案,公有云安全整体架构图如下:
本次重点讨论网络安全中的DDoS防护方案。
三、DDoS安全解决方案:
1、什么是高防
DDoS 是 Distributed Denial of Service 的简称,读D-DoS,翻译过来是分布式拒绝服务攻击。打个比方:某商店可以接待 100 名顾客同时购物,突然来了 800 个流氓光问不买,导致业务无法正常运行。
2、DDoS攻击趋势分析
-
流量更大,更加多元化
反射攻击时代来临,流行攻击包括NTP、SSDP、DNS、 Chargen等,攻击类型日益复杂,混合攻击比例大幅增长。
有组织的黑客产业链
攻击流量和攻击工具明码标价,游戏、互联网金融、电商热门行业受灾严重,且攻击成本低廉,攻击、防御代价极不对称。
IoT和移动终端成为僵尸网络
使用IoT僵尸网络也可以发起大型攻击,入侵端侧摄像头形成僵尸网络,利用端侧摄像头发送大量攻击流量。
3、华为云DDoS解决方案:
针对DDoS攻击,华为云提供多种安全防护方案,提供了DDoS原生基础防护(Anti-DDoS流量清洗)、DDoS原生高级防护和DDoS高防三个子服务。
如果您的业务服务器是部署在海外,可以使用DDoS高防国际版,且域名不需要进行备案即可接入高防服务,可提供无限流量防护,在亚太的新加坡、香港、印尼、台湾等都有清洗节点。
4、高防原理架构:
架构说明:DDoS 高防服务通过高防 IP 代理源站 IP 对外提供服务,将所有的公网流量都引流至高防 IP,进而隐藏源站,避免源站(用户业务)遭受大流量 DDoS 攻击。
5、购买说明:
产品链接:
https://www.huaweicloud.com/intl/zh-cn/product/aad.html
购买重点参数说明:
保底防护带宽:
例如保底带宽 20G。就是我们购买的 DDoS 高防服务,其中包含 20Gbps 的保底防护带宽,那么无论你遭受多大规模的 DDoS 攻击,该服务都会确保你的服务器能够处理至少 20Gbps 的流量。无限防就是可以处理所有攻击的流量,确保业务正常运行。
业务带宽:
业务带宽是高防机房清洗后回源给源站的业务流量带宽。业务带宽是你的服务器或应用程序在正常情况下需要的带宽量,用于处理合法的业务流量,如用户访问、数据传输等。这是为了确保你的业务能够在没有攻击时保持正常的运行。
6、接入说明:
华为云DDoS高防国际版控制台暂时不对客户开放。如果客户要接入业务,需要提供源站域名/IP给华为云后台,所有防护配置和链路调优工作均由厂商来完成,后台会24小时监控流量情况,有攻击会及时通知客户进行业务确认,让客户省心省力,客户无忧。
客户的源站 IP 必须是未暴露的,如果已经暴露需要让客户更换源站 IP。因为黑客是直接访问源站服务器的 IP 是不会经过高防服务的,无法通过高防 DDoS 去清洗流量,也无法查看攻击的流量。
安全加固设置:
把高防机房清洗后回源的 IP 段加入白名单,其他的 IP 都进行 block 封禁掉。在安全组中的“入方向”规则中设置,同时在安全组中设置相应的业务端口,其他没必要的端口一律不对外开放。
7、华为云DDoS高防国际版优势:
海量带宽
具备无限流量的防御能力,能够抵御各类网络层、应用层的DDoS攻击。
高可用服务
全自动检测和攻击策略匹配,实时防护;业务流量采用集群分发,性能高,时延低,稳定性好。
海外客户案例丰富
已经有大量海外客户接入DDoS高防国际版,积累了丰富的实践经验,匹配各行各业客户防护方案。
专业运营团队
7*24小时运营团队随时应对;全程由产品后台工程师进行防御配置,进行全面的监控,为客户的业务保驾护航。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/50099.html
