云安全新趨勢:如何防御新型DDoS攻擊
責編:admin |2014-10-28 12:05:30在最近的一次的大型醫療組織安全會議上,我有幸看我曾經幫助設計的私有云基礎設施的日志。他們向我展示了一組有趣的數字,我覺得看似可能來自的DDoS攻擊。安全管理員以及在不同的組織中的同事們也見識了很多DDoS攻擊他們的系統的事實。
在過去的幾個月里,已經有更多的DDoS攻擊世界各地的IT基礎架構。這些攻擊已經從簡單的規模攻擊轉變為更為復雜的東西。現在,攻擊者使用的是應用程序層和HTTP攻擊一個組織的特定目標。
設想一下:云DDoS攻擊比以往任何時候都大。Arbor Networks第九屆年度全球基礎設施安全報告清楚地說明了這一點,2013年最大的DDoS攻擊達到309 Gbps。ATLAS數據證實了報告,2013年監控的攻擊量超過20 Gb / sec,是2012年的8倍。2014年被廣泛報道的NTP反射攻擊就超過300 Gbps +,二月初的多重攻擊超過100 Gbps。
幸運的是我的朋友和他的組織,這個基于SQL應用程序阻止了相關攻擊。為什么因為他們有一個部署在虛擬設備應用程序防火墻。這個防火墻是專門監控目標應用程序,所以這次襲擊被阻止并記錄。
云DDoS攻擊可不是鬧著玩的。現在大規模系統依賴于云環境,一個單獨的組件可能會導致級聯故障。這就是下一代安全和DDoS設備要解決的問題。
事實很簡單:更多的組織將業務遷移到云平臺上,需要有新類型的安全最佳實踐來保護他們的環境。數據泄漏和安全漏洞也會給公司的形象造成很大的傷害。越來越多的組織開始投入巨資在下一代安全行業,目的就是減輕可能的DDoS攻擊。
該怎么辦:
下一代安全工具和防火墻必須具備真實和強大的云層可見性
集成虛擬安全到你的數據中心
DLP、 IPS/IDS引擎需要更加強大并且在你的數據架構中具有細粒度可見性
不管一個公司是否托管自己的云環境或使用托管提供商,必須評估新的安全措施是否有效地防止云DDoS攻擊。虛擬安全設備現在可以部署在網絡的任何地方,用以保護不同類型的內部系統。這個范圍可以囊括一個特定的操作系統服務到一個完整的應用程序。
同時,新的物理存儲設備正在將數據相關性和安全掌握在自己的手中。
最后,這里面有一個非常重要的部分,因為針對應用程序、內部資源以及各種數據點攻擊的增加,需要有更多的應用程序和安全團隊之間的協作。應用程序開 發人員和管理員必須有效地溝通,以及需要安全團隊如何操作。這意味著他們必須理解網絡、端口和服務配置。不正確設置應用程序——尤其是如果它面向WAN ——將會產生非常嚴重的后果。
這是一個變化的領域。在云計算領域無疑最為突出。然而,就像任何新技術一樣,總是有很多新的安全問題。我們需要繼續尋找下一代安全技術,以支持云的廣泛運用。