滚蛋吧！云端 DDoS 攻击

企业在转向云端是需要构建最安全的系统架构。根据云安全联盟(CSA)的报告《The Notorious Nine: Cloud Computing Top Threats in 2013》，针对企业云部署最常见的攻击就是分布式拒绝服务(DDoS)攻击。在最近的一篇博文中，亚马逊探讨了客户如何在他们的亚马逊Web服务(AWS)虚拟私有云(VPC)中使用安全群组和访问控制，从而减少攻击面，同时设计了一个云架构来保护企业免受DDoS攻击。反抗云中DDoS的概念能成真吗?本篇技巧将会解析核心概念和技术，基础架构和安全团队可以实践，从而减少当今云环境中企业所面临的DDoS攻击风险。

减少公开暴露

绝对没有一种方法能够完全消除分布式拒绝服务攻击的威胁，理解这一点很重要。为了有效地阻击DDoS攻击并维护云服务的可用性，要运用一些核心的概念。首先，企业需要减少全部公开暴露环境。对于AWS环境，通常是在VPC中设置安全群组和私有网络。亚马逊有很好的终端概述——对于流量的方向指向具体的虚拟机以及与之相关的服务——或者网络安全群组。

准备扩展和冗余

弹性和可扩展要防患于未然，确保扩展和冗余在分布式拒绝攻击期间可以按需使用，尤其是在多个地理区域的情况下。任何运行在云中的虚拟机实例都需要保证网络资源可用。

亚马逊用具体实例规模提供了加强网络，允许更多的每秒封包数从这些系统发出或者收到，从而改善性能。亚马逊提供了其弹性负载均衡(ELB)服务，对所有运行中的实例扮演一个前端的角色，也能够基于你的负载均衡需求分配流量到系统中。

微软针对所有的Azure提供了域名系统(DNS)和网络负载均衡，Rackspace提供了控制流量流的专属云负载均衡。对于开启新服务和在云端扩展设置自动触发器是另外一种常见方式，可以提供资源弹性。在一篇减少DDoS攻击的白皮书中，亚马逊建议使用其Auto Scaling功能，在具体的实例度量上设置触发器，比如CPU利用率、网络流量和服务状态检查——从而自动化流量扩展和针对实例的负载均衡。

利用内容加速网络

利用内容交付网络(CDN)，比如AWS CloudFront、Azure Content Delivery Network或者第三方服务，比如来自Akamai或者CloudFlare的服务，来代理流量并执行“包洗涤”动作，在云资源受到明显影响之前帮助防御和减少DDoS攻击。这些CDN通过多边网络节点分散流量，可以按需缓存和分发内容。

大多数的CDN可以限制来自或者接收一个具体的国家或者区域的流量。Amazon CloudFront可以实施Origin Access Identity，严格限制对于Simple Storage Service的访问，具体的用户通过CloudFront提供服务，而非直接访问，针对分布式拒绝服务攻击。还有很多其他的中介服务或者平台可以减少 DDoS攻击，包括来自Imperva、Qualys和Barracuda这样的厂商的Web应用防火墙设备和服务。

分布式拒绝服务攻击防御

除了上面列出的这些关键概念，还有另外一种方法企业可以用来保护他们的基础设施。亚马逊建议使用DNS控制，比如Route 53服务来帮助控制DDoS。Route 53功能，诸如shuffle分片或者分布式DNS请求、anycast routing、alias record set——这是一种独立的DNS记录，可以在运行中快速改变，指向CloudFront或者ELB结点，以及私有DNS(仅限内部)，可以帮助提供更多的灵活性和控制能力。

除了所有的这些功能，云提供商建议企业要认真追踪和监控云用例模式，开发健全的常规行为基准线，如果DDoS发生了，要积极主动的度量和控制响应。

本文作者：张培颖

来源：51CTO