DDoS防御：選擇CDN還是混合策略

在各種DDoS防御方案中，有些企業(yè)會選擇內(nèi)容交付網(wǎng)絡(luò)（即CDN）服務(wù)商。CDN服務(wù)商固然在分布和帶寬方面有優(yōu)勢，可以幫助抵御DDoS攻擊，但作為專用托管型DDoS服務(wù)同樣存在缺點(diǎn)。

一方面，安全并非CDN提供商關(guān)注的重點(diǎn)。CDN核心業(yè)務(wù)是內(nèi)容和應(yīng)用的交付。攻擊調(diào)查、對策開發(fā)和威脅情報(bào)對他們來說是次要任務(wù)。另外，CDN提供商可能缺乏相應(yīng)的專業(yè)技術(shù)來研究、分析和了解攻擊的性質(zhì)并提前提出安全建議。

CDN的首要保護(hù)對象是所托管的服務(wù)。如果遇到勢不可擋的超大規(guī)模攻擊（這種攻擊目前越來越常見），CDN可能無法保護(hù)所有客戶的資產(chǎn)，部分客戶必定會受到威脅。CDN啟動自動應(yīng)對時(shí)還通常會造成合法流量遭受攔截。由于CDN DDoS緩解策略經(jīng)常利用靜態(tài)篩選器和Web應(yīng)用程序防火墻(WAF)，在保護(hù)云服務(wù)方面通常缺乏靈活性和智能性。

“永遠(yuǎn)在線”(Always On) 并非永遠(yuǎn)都好

CDN承諾的“永遠(yuǎn)在線”保護(hù)看起來很好，但深入研究會發(fā)現(xiàn)一些問題?！坝肋h(yuǎn)在線”可能意味著緩解系統(tǒng)持續(xù)監(jiān)視所有流量，并主動檢查和自動觸發(fā)攔截（“永遠(yuǎn)緩解”），或只監(jiān)視流量并被動檢查，按需檢測可能的攻擊并觸發(fā)緩解操作（“永遠(yuǎn)監(jiān)視”）。了解兩者之間的差異，以及提供商提供哪一種服務(wù)十分重要。

如果是“永遠(yuǎn)緩解”，則需要最大程度地緩解攻擊并同時(shí)降低對合法流量的影響，兩者之間的平衡問題值得評估。“永遠(yuǎn)在線”緩解的間接負(fù)面影響不僅僅是誤報(bào)。不必要的流量檢查還可能會造成服務(wù)延遲。在“永遠(yuǎn)監(jiān)視”情況下，用戶可能會喪失對攻擊檢測策略和響應(yīng)時(shí)間的可見性。用戶或許能夠避免不必要的緩解，但另一方面，也會錯(cuò)過相關(guān)攻擊提示。此外，旨在檢測容量攻擊的“永遠(yuǎn)在線”解決方案也有可能錯(cuò)過小規(guī)模的應(yīng)用層攻擊。

“永遠(yuǎn)在線”保護(hù)模型需要復(fù)雜的流量均衡以緩解DDoS攻擊同時(shí)保護(hù)客戶的正常操作。這并非微不足道，在最近觀察到的大規(guī)模攻擊情況下，可能會對未受攻擊的客戶造成緩解影響，或者將受攻擊的客戶隔離為整個(gè)CDN容量中的各個(gè)子集?？蛻魬?yīng)仔細(xì)評估永遠(yuǎn)在線提供商是否具有可擴(kuò)展架構(gòu)來緩解對部分客戶的攻擊，同時(shí)對其他客戶不造成任何影響。

混合DDoS解決方案

越來越多的行業(yè)分析師和專家將混合安全解決方案作為DDoS保護(hù)的最佳實(shí)踐?；旌喜呗园ㄓ肋h(yuǎn)在線的本地部署、專門的檢測系統(tǒng)，以及具有按需使用、基于云端緩解功能的緩解系統(tǒng)。大多數(shù)攻擊規(guī)模較小，能通過本地檢測和緩解。本地設(shè)備對應(yīng)用程序流量的熟悉程度也高于CDN DDoS解決方案，因此能夠更好地識別流量模式中的異常情況。只有在攻擊明顯超過本地設(shè)備的容量時(shí)才會自動觸發(fā)云端緩解。因此，云組件沒有必要“永遠(yuǎn)在線”，從而節(jié)省成本并節(jié)約容量，更好地防御實(shí)際攻擊。

成本可能是CDN DDoS 提供商的主要優(yōu)勢之一。但混合解決方案會更經(jīng)濟(jì)。虛擬技術(shù)可取代昂貴的硬件。混合解決方案可在DDoS專家支持下部署為完全托管服務(wù)，降低內(nèi)部IT空間和安全人員需求，從而降低整體成本。

另外，CDN解決方案通常主要依賴于自動操作。如今的攻擊者異常狡猾。盡管自動檢測和緩解功能至關(guān)重要，還需要思維和智慧都超越惡意操作者的富有經(jīng)驗(yàn)的專業(yè)團(tuán)隊(duì)才能阻止攻擊。由于具有強(qiáng)大的威脅情報(bào)網(wǎng)絡(luò)和深入的研究計(jì)劃，混合技術(shù)解決方案的有效性將高出許多倍，這些優(yōu)勢更有可能在專業(yè)的DDoS安全專家中找到，而不是將安全作為次要因素的一般CDN提供商。

此外，混合解決方案更為經(jīng)濟(jì)適用，具有意想不到的成本效益。如今，本地防御可以采取虛擬方式。通過利用完全托管服務(wù)，可以降低人員需求，從而削減整體成本，用戶只需為實(shí)際使用的云容量買單。