本文是此系列文章的最后一篇,探讨了防御DDoS攻击的各种替代方法,以及如何为企业选择最佳的解决方案。此系列文章的第一篇介绍了本地硬件解决方案,第二篇讨论了按需云解决方案,第三篇介绍了永远在线的云解决方案。最后一篇将探讨结合了硬件和云端组件的混合DDoS解决方案。
混合防护措施:两全其美的方法
本地解决方案完全依赖于本地硬件设备,按需和永远在线的解决方案是完全基于云的,而混合模式则是将本地硬件设备和可扩展容量结合在一起,可以应对大流量攻击。
在正常的业务过程中,流量直接流向数据中心。本地设备将检查攻击流量,并拦截多数攻击。然而,如果检测到可能击垮设备(甚至完全拥塞管道)的大规模攻击,流量就会转发到云端清洗中心。清洗中心将拦截攻击流量,只将洁净流量发回给客户。一旦攻击结束,流量就会转发回已经恢复正常功能的设备。
混合DDoS防护措施为企业提供了两全其美的解决方案:本地解决方案的低延迟和高控制能力,以及云端解决方案的可扩展容量。
优缺点:
和其它部署模型一样,选择混合DDoS防护解决方案也有一定的优缺点:
- 最佳防护质量:混合防护措施是多数安全分析人员推荐的最佳方法,因为该措施结合了低延迟和高容量,可以实现关键业务服务防护。
- 即时检测:由于流量在任何时候都要流经本地设备,因此设备可以立即检测到攻击。这是一种优势,尤其是对于在开始转发之前通常有一个检测和防护缺口的云端按需服务而言。
- 可扩展容量:混合模式的重要优势是在大规模的大流量攻击中可扩展的缓解容量。此类攻击能够击垮独立的硬件设备,甚至会拥塞整个通往数据中心的管道。拥有备份云容量的客户可以处理任何攻击,不管攻击规模如何。
- 低延迟:由于日常防护是由位于数据中心的本地设备直接处理的,因此混合解决方案可以实现低延迟。只有在出现攻击时流量才会转发到云端。这相对于即使在和平时期通常也会增加通信延迟的云端永远在线解决方案而言也是一个优势。
- 监管:处于金融或医疗等受监管行业的企业在将服务迁移到云端时会频繁受到限制。因此,混合解决方案在多数时候可以提供有效的本地设备,而在大规模攻击中则可以实现备份容量。
- 控制:拥有本地设备可以实现更好的控制能力和可配置性,特别是对于拥有独特网络拓扑或特定需求的企业而言。
然而,混合DDoS防护模式也有许多缺点:
- 管理开销:本地解决方案通常会引发更高的管理开销和人员需求,同时需要随时保持本地和云端防护措施的同步和一致性。
- 成本:由于混合方案整合了硬件设备和云服务,他们的综合成本往往比完全的云服务要高。
注意事项:
与其他模式一样,是否选择使用混合防护措施取决于企业的具体用例和需求:
- 威胁现状:企业数据中心的威胁现状如何?如果企业数据中心运行着关键业务应用,承担不起任何降级的代价,那么混合解决方案确实是企业的最佳选择。
- 控制:企业对控制能力和管理有多重视?一些企业很重视控制能力和可配置性,因此本地设备很适合他们。
- 受监管行业:企业处于受监管行业吗吗?如果是,将工作负载迁移到云端的指导方针是什么?由于混合解决方案提供了本地设备的安全性和云的可扩展性,因此,对受监管企业而言,混合解决方案是很好的解决方案。
- 成本:预算限制是什么,可用预算有多少?与独立的本地或云端解决方案相比,混合解决方案往往能够提供更高的防护质量,但这种防护措施的价格通常会更高。
最适合的企业是哪些?
考虑到混合模式的优缺点,此模式对以下几类客户(和用例)来说是最适合的:
- 数据中心防护:现拥有数据中心,而且在数据中心中运行着许多需要提供保护的服务的客户。
- 关键业务应用:需要持续防护而且即使在短时间内也不能降级的关键业务应用。
- 对延迟敏感:需要快速(或实时)响应,并且对延迟的容忍度很低的服务。
- 受监管行业:处于受监管行业的企业,在将工作负载迁移到云端会受到限制。
然而,混合解决方案不太适合某些用例:
- 云托管应用:托管在公有云(如AWS或Azure)中的应用,针对这些应用,没有物理数据中心来放置设备。对此类应用而言,就需要云端解决方案。
- 对价格敏感:没有太多预算分配给这些综合解决方案的企业。对这些企业而言,按需云解决方案通常是最佳选择。
自助式选择,而非固定菜单
正如在此系列文章的开篇文章中提到的,DDoS防护措施是一种自助式选择,而非固定菜单。有很多可以提供不同防护程度和成本的DDoS防护措施提供商。每种模式都有各自的优缺点;客户有很多选择,每个客户都可以为他们的特定用例选择最佳的解决方案。