公有云安全共担模型 

 

随着数字化转型的加速,越来越多的企业和组织选择公有云作为其业务运营的平台。公有云以其灵活性、可扩展性和成本效益等优势,成为推动现代业务发展的重要力量。

然而,随着数据量的激增和网络威胁的日益复杂,公有云安全问题也日益凸显,而DDoS(分布式拒绝服务)攻击是网络安全中长期面临的严重威胁之一,DDoS攻击的规模、复杂性和频率都在不断增长,给企业和整个互联网生态系统带来了巨大的挑战。

本文将重点探讨公有云DDoS安全解决方案,希望帮助企业在享受公有云带来的便利的同时,确保数据和应用的安全。 

一、公有云安全共担模型 

租户使用公有云服务时,需要负责保护其在云上的应用、数据和配置的安全。云服务提供商负责保护云平台的基础设施,包括数据中心的物理安全、网络基础设施、存储和计算资源等。这就是安全共担模型,如华为云安全责任共担模型: 

 

华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。 

租户:负责云服务内部的安全,安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 

二、公有云安全整体架构

在公有云环境下,数据和应用的安全直接关系到企业的商业机密、客户信任和合规要求。一旦发生安全事件,不仅可能导致经济损失,还可能损害企业的声誉和市场地位。因此,构建一个安全可靠的公有云环境,对于任何希望在云上长期发展的企业来说,都是至关重要的。公有云提供了网络安全、应用安全、主机安全、数据安全等全面解决方案,公有云安全整体架构图如下: 

   

本次重点讨论网络安全中的DDoS防护方案。 

三、DDoS安全解决方案: 

1、什么是高防 

DDoS 是 Distributed Denial of Service 的简称,读D-DoS,翻译过来是分布式拒绝服务攻击。打个比方:某商店可以接待 100 名顾客同时购物,突然来了 800 个流氓光问不买,导致业务无法正常运行。 

2、DDoS攻击趋势分析 

  1. 流量更大,更加多元化 

    反射攻击时代来临,流行攻击包括NTP、SSDP、DNS、 Chargen等,攻击类型日益复杂,混合攻击比例大幅增长。 

  2. 有组织的黑客产业链 

    攻击流量和攻击工具明码标价,游戏、互联网金融、电商热门行业受灾严重,且攻击成本低廉,攻击、防御代价极不对称。 

  3. IoT和移动终端成为僵尸网络 

    使用IoT僵尸网络也可以发起大型攻击,入侵端侧摄像头形成僵尸网络,利用端侧摄像头发送大量攻击流量。 

3、华为云DDoS解决方案: 

     针对DDoS攻击,华为云提供多种安全防护方案,提供了DDoS原生基础防护(Anti-DDoS流量清洗)、DDoS原生高级防护和DDoS高防三个子服务。 

     如果您的业务服务器是部署在海外,可以使用DDoS高防国际版,且域名不需要进行备案即可接入高防服务,可提供无限流量防护,在亚太的新加坡、香港、印尼、台湾等都有清洗节点。 

4、高防原理架构: 

架构说明:DDoS 高防服务通过高防 IP 代理源站 IP 对外提供服务,将所有的公网流量都引流至高防 IP,进而隐藏源站,避免源站(用户业务)遭受大流量 DDoS 攻击。

5、购买说明: 

产品链接:

https://www.huaweicloud.com/intl/zh-cn/product/aad.html

购买重点参数说明:  

保底防护带宽:  

例如保底带宽 20G。就是我们购买的 DDoS 高防服务,其中包含 20Gbps 的保底防护带宽,那么无论你遭受多大规模的 DDoS 攻击,该服务都会确保你的服务器能够处理至少 20Gbps 的流量。无限防就是可以处理所有攻击的流量,确保业务正常运行。 

业务带宽: 

业务带宽是高防机房清洗后回源给源站的业务流量带宽。业务带宽是你的服务器或应用程序在正常情况下需要的带宽量,用于处理合法的业务流量,如用户访问、数据传输等。这是为了确保你的业务能够在没有攻击时保持正常的运行。 

6、接入说明: 

华为云DDoS高防国际版控制台暂时不对客户开放。如果客户要接入业务,需要提供源站域名/IP给华为云后台,所有防护配置和链路调优工作均由厂商来完成,后台会24小时监控流量情况,有攻击会及时通知客户进行业务确认,让客户省心省力,客户无忧。  

客户的源站 IP 必须是未暴露的,如果已经暴露需要让客户更换源站 IP。因为黑客是直接访问源站服务器的 IP 是不会经过高防服务的,无法通过高防 DDoS 去清洗流量,也无法查看攻击的流量。 

安全加固设置:  

把高防机房清洗后回源的 IP 段加入白名单,其他的 IP 都进行 block 封禁掉。在安全组中的“入方向”规则中设置,同时在安全组中设置相应的业务端口,其他没必要的端口一律不对外开放。 

7、华为云DDoS高防国际版优势: 

海量带宽 

具备无限流量的防御能力,能够抵御各类网络层、应用层的DDoS攻击。 

高可用服务 

全自动检测和攻击策略匹配,实时防护;业务流量采用集群分发,性能高,时延低,稳定性好。 

海外客户案例丰富 

已经有大量海外客户接入DDoS高防国际版,积累了丰富的实践经验,匹配各行各业客户防护方案。 

专业运营团队 

7*24小时运营团队随时应对;全程由产品后台工程师进行防御配置,进行全面的监控,为客户的业务保驾护航。 

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/50099.html

(0)
速盾高防cdn's avatar速盾高防cdn
上一篇 2024年5月9日 上午12:44
下一篇 2024年5月9日 上午12:51

相关推荐

  • net空间有哪些优势?

    你是否曾经听说过Net空间?它有着令人惊叹的功能和应用场景,让存储变得更加便捷和高效。相比其他存储空间,Net空间又有哪些优势呢?它的价格如何,还有哪些相关问题需要解答?接下来,让…

    问答 2024年4月1日
    0
  • 如何在nokia s60手机上安装应用程序?

    你是否曾经遇到过在Nokia S60手机上安装应用程序的困惑?或许你对于Nokia S60手机还不甚了解,但是它却是一款备受欢迎的手机品牌。随着科技的发展,应用程序在我们的生活中扮…

    问答 2024年4月8日
    0
  • 功率放大电路怎样设计?

    功率放大电路是网络行业中不可或缺的一部分,它可以将输入信号的能量放大,从而实现更强大的输出信号。但是,你知道如何设计一个高效的功率放大电路吗?今天,让我们一起来探究一下功率放大电路…

    问答 2024年4月19日
    0
  • 如何免流量使用手机导航?

    想要免流量使用手机导航?那么首先,你需要了解什么是手机导航。随着移动互联网的发展,手机导航已经成为人们出行的必备工具。但是,对于很多用户来说,每次使用手机导航都会消耗大量的流量。那…

    问答 2024年3月29日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注