DDoS安全專輯丨共構最佳實踐，增強全流程防御韌性

周期性沖上熱搜的“宕機”、“崩了”關鍵詞背后，經(jīng)常是由于超負荷流量壓力所致。從云安全視角出發(fā)，并行于真實峰值流量的另一源頭，很有可能是長期存在、常態(tài)進化的DDoS攻擊。

一直以來，在化解DDoS這種大量灌注惡意流量的攻擊威脅時，Akamai不遺余力、整合創(chuàng)新，花費大量時間、精力與客戶展開協(xié)作，提升惡意流量監(jiān)控的可見性，助力客戶構建安全防御DDoS的彈性架構。

智能DDoS保護參考架構

當下在混合云、多云環(huán)境中，應用程序遍及數(shù)據(jù)中心、公共云基礎設施和托管設施。面對泄洪般的DDoS攻擊，快速、智能的流量控制策略才能發(fā)揮保護效能。由此，Akamai在打造DDoS保護架構層面，充分發(fā)揮了自身在云安全與云分發(fā)的優(yōu)勢，自動甄別真實流量，及時攔截潛在風險。

DDoS防護邏輯

客戶端依據(jù)Akamai DNS服務執(zhí)行DNS查找，該服務可以盡可能地吸收DDoS攻擊

·客戶端依據(jù)Akamai DNS服務執(zhí)行DNS查找，該服務可以盡可能地吸收DDoS攻擊

·邊緣服務器自動檢查CDN流量是否存在DDoS、Web應用程序和爬蟲等多重攻擊威脅

·通過指定邊緣服務器篩選CDN流量，來支持客戶丟棄潛在風險來源的流量，并攔截攻擊

·非CDN流量根據(jù)邊界網(wǎng)關協(xié)議（BGP,Border Gateway Protocol）通告，直接路由至源

·客戶通過Akamai凈化中心的靈活方式控制流量，通過主動緩解控制或安全運營中心緩解

·Akamai基于CDN云分發(fā)和DDoS凈化服務，全面保護從云到端基礎設施的應用程序

從云到端的參考架構圖

全面制定DDoS保護計劃

當DDoS攻擊洶涌而至，缺失詳細的保護預案，企業(yè)很可能會陷入數(shù)小時或數(shù)天的混亂局面。規(guī)避恐慌、有序運維，制定全面的DDoS保護計劃勢在必行。建議參照如下步驟，為您的組織制定DDoS緩解預案。

八大最佳實踐

1、多維預測單點故障

對網(wǎng)站、Web應用程序、API、DNS和源服務器以及數(shù)據(jù)中心和網(wǎng)絡基礎設施的潛在故障點，提前進行預測

2、驗證供應商服務能力

若DDoS攻擊致使公司所屬互聯(lián)網(wǎng)服務供應商的客戶群陷入威脅，先遭受流量沖擊的網(wǎng)站可能會無限期關閉

3、請不要高估基礎設施

在惡意流量沖擊下，以往良好表現(xiàn)的邊緣網(wǎng)絡可能會出現(xiàn)資源不足，如峰值DDoS流量可超過600 Gbps

4、確定保護范圍及后果

預想DDoS攻擊造成的網(wǎng)絡癱瘓影響，多角度圈定API、DNS、網(wǎng)頁應用程序、數(shù)據(jù)中心等方面保護范圍

5、劃定可接受緩解周期

針對不同場景需求，選擇始終在線的基于CDN的DDoS即時性保護和按需提供的DDoS凈化兩種服務

6、前置DDoS保護服務

亡羊補牢，過于被動。在攻擊前與DDoS保護服務提供商交流，為可能遇到的所有DDoS場景做好準備

7、制定DDoS操作手冊

一套涵蓋響應流程、升級路徑、角色職責的標準化操作手冊，有助于企業(yè)組織增強對DDoS攻擊的可控程度

8、使用桌面演練驗證效果

通過年度桌面演練，可以審查攻擊場景，通過確保正確實踐的過程，以此校準操作手冊的實際效果，更新優(yōu)化

深度緩解DDoS全球威脅

云安全領域，Akamai長年獲評Forrester DDoS緩解領導者，在爬蟲管理、WAF和零信任方面?zhèn)涫苷J可。在DDoS攻防博弈過程，Akamai積累了一整套覆蓋整個生態(tài)系統(tǒng)的多層防御，從而提高應對復雜威脅的韌性。

產品矩陣上，Akamai App&API Protector、Edge DNS、Prolexic等產品均可根據(jù)應用場景、應用程序要求，構建專門的DDoS應對策略，簡化惡意攻擊管控難度，保證從云到端的數(shù)字化資產免受多源攻擊。

近期，全新Akamai Connected Cloud大規(guī)模分布式邊緣和云平臺正式上線，全部數(shù)據(jù)中心都具備高級DDoS抵御措施，大幅增強了云計算、云安全、云分發(fā)的整體服務力度。結合嶄新的Akamai全球流量監(jiān)測服務與智能化產品，將支持企業(yè)組織在擊破DDoS等復雜威脅時，安全可靠、事半功倍，在全球范圍內進一步保護數(shù)據(jù)、員工、系統(tǒng)和數(shù)字化體驗。