本文是此係列文章的最後一篇,探討了防禦DDoS攻擊的各種替代方法,以及如何為企業選擇最佳的解決方案。此係列文章的第一篇介紹了本地硬件解決方案,第二篇討論了按需雲解決方案,第三篇介紹了永遠在線的雲解決方案。最後一篇將探討結合了硬件和雲端組件的混合DDoS解決方案。
混合防護措施:兩全其美的方法
本地解決方案完全依賴於本地硬件設備,按需和永遠在線的解決方案是完全基於雲的,而混合模式則是將本地硬件設備和可擴展容量結合在一起,可以應對大流量攻擊。
在正常的業務過程中,流量直接流向數據中心。本地設備將檢查攻擊流量,並攔截多數攻擊。然而,如果檢測到可能擊垮設備(甚至完全擁塞管道)的大規模攻擊,流量就會轉發到雲端清洗中心。清洗中心將攔截攻擊流量,只將潔淨流量發回給客戶。一旦攻擊結束,流量就會轉發回已經恢復正常功能的設備。
混合DDoS防護措施為企業提供了兩全其美的解決方案:本地解決方案的低延遲和高控制能力,以及雲端解決方案的可擴展容量。
優缺點:
和其它部署模型一樣,選擇混合DDoS防護解決方案也有一定的優缺點:
最佳防護質量:混合防護措施是多數安全分析人員推薦的最佳方法,因為該措施結合了低延遲和高容量,可以實現關鍵業務服務防護。然而,混合DDoS防護模式也有許多缺點:
管理開銷:本地解決方案通常會引發更高的管理開銷和人員需求,同時需要隨時保持本地和雲端防護措施的同步和一致性。成本:由於混合方案整合了硬件設備和雲服務,他們的綜合成本往往比完全的雲服務要高。注意事項:
與其他模式一樣,是否選擇使用混合防護措施取決於企業的具體用例和需求:
威脅現狀:企業數據中心的威脅現狀如何?如果企業數據中心運行著關鍵業務應用,承擔不起任何降級的代價,那麼混合解決方案確實是企業的最佳選擇。控制:企業對控制能力和管理有多重視?一些企業很重視控制能力和可配置性,因此本地設備很適合他們。受監管行業:企業處於受監管行業嗎嗎?如果是,將工作負載遷移到雲端的指導方針是什麼?由於混合解決方案提供了本地設備的安全性和雲的可擴展性,因此,對受監管企業而言,混合解決方案是很好的解決方案。最適合的企業是哪些?
考慮到混合模式的優缺點,此模式對以下幾類客戶(和用例)來說是最適合的:
數據中心防護:現擁有數據中心,而且在數據中心中運行著許多需要提供保護的服務的客戶。關鍵業務應用:需要持續防護而且即使在短時間內也不能降級的關鍵業務應用。對延遲敏感:需要快速(或實時)響應,並且對延遲的容忍度很低的服務。受監管行業:處於受監管行業的企業,在將工作負載遷移到雲端會受到限制。然而,混合解決方案不太適合某些用例:
雲託管應用:託管在公有云(如AWS或Azure)中的應用,針對這些應用,沒有物理數據中心來放置設備。對此類應用而言,就需要雲端解決方案。自助式選擇,而非固定菜單
正如在此係列文章的開篇文章中提到的,DDoS防護措施是一種自助式選擇,而非固定菜單。有很多可以提供不同防護程度和成本的DDoS防護措施提供商。每種模式都有各自的優缺點;客戶有很多選擇,每個客戶都可以為他們的特定用例選擇最佳的解決方案。