数据中心安全防护亟待突破近况

    针对系统缺陷的应用攻击已成为数据中心面临的主要威胁。而漏洞发现到攻击的时间跨度越来越短，甚至来不及打补丁。数据中心应如何应对由应用漏洞产生的安全威胁呢？谭杰认为，零日攻击的泛滥使得数据中心不能依赖单一功能的安全设备，尤其是仅仅基于特征防御的安全产品。例如WAF（Web应用防火墙）同时通过特征和行为对攻击进行防御，对Web服务的保护效果就好于IPS。用户需要的安全解决方案要集多种安全特性（防火墙、IPS、病毒防御、DLP、内容过滤等）于一身，并结合应用层防御技术（如Web应用防护、数据库安全等），各项安全技术有机结合，互相保护，时刻监控并防御APT攻击的各种入侵手段，打造一个全方位立体安全体系。

    陈怀临也提出了自己的看法。他认为，传统基于签名的检测方法对于零日攻击的防护并没有起到很好的效果。现在大家普遍使用Sandbox（沙盒）来进行模拟，通过虚拟现实的环境来检查未知恶意软件，对于未知威胁或者零日攻击的防护，借用大数据分析的方式，对行为进行主动识别，将是下一个发展方向。大数据与网络安全的结合也将是网络安全的下一个春天。当然，如果要将全部的判断都基于行为是否异常来进行，在建模和大数据的分析上都是难点。另外，由于防火墙必须是在主干路上的，因此对于性能和稳定性的要求都很高。虽然对于硬件平台也提出了新的挑战，但却是一个可行的方向，而Hillstone希望引领这个潮流。 事实上，一些安全软件厂商已经将基于行为的分析用作对于未知恶意软件的安全检查之中，并且效果很好。然而，由于大数据也只是新兴概念，基于大数据的行为分析究竟价值几何，还需要时间的验证。

[page]    本地防御和云清洗搭建DDoS防御网

    目前市场上很多厂商的防火墙中都含有Anti-DDoS功能，然而，防火墙和IPS是否可以有效保护网络设施免受DDoS侵害呢？石金利认为，如果防火墙中的Anti-DDoS功能不是单独的板卡，是不能防御DDoS攻击的。对于DDoS的防护，必须要使用专用的Anti-DDoS设备。作为电信运营商流量清洗业务的合作伙伴，合泰云天创始人郭庆表示，防火墙与入侵检测IPS通常串行部署在网络下游的网关位置，是基于状态检测的访问控制系统，本身就是 DDoS的一个攻击目标，在设备新建连接与状态连接耗尽时成为网络瓶颈。DDoS防护的最佳实践应该是：流量清洗中心与运营商BGP路由调度控制。

    石金利认为，如果防火墙中的Anti-DDoS功能不是单独的板卡，一旦开启DDoS防护功能，可能会对防火墙的基本转发，甚至会话表等资源造成巨大的消耗，造成性能极大下降。对于DDoS的防护，必须要使用专用的Anti-DDoS设备或者专门的板卡。对于满带宽的DDoS攻击，在链路上游对于流量的清洗是DDoS防御最为有效的方式。然而，从统计数据来看，数据中心发生的攻击90%以上不足以造成数据中心出口带宽拥塞，基本是以业务瘫痪型攻击为主，只有10%不到的攻击是将数据中心的链路完全拥塞的。

    因此，如果是应用型的DDoS攻击，由于流量在本地带宽控制以内，所以本地清洗即可，一旦遇到针对基础设施的大流量拥塞型泛洪攻击，在链路上游的清洗还是必要手段。最完美的方式是将数据中心侧和运营商侧进行联动，实现分层防御。即运营商侧管道拥塞型攻击，数据中心侧防范业务瘫痪型DDoS攻击。华为的 Anti-DDoS解决方案目前在运营商侧有广泛应用，结合数据中心侧的Anti-DDoS可以实现全网联动的“云清洗”战略。

    随着黑客技术发展、网络带宽的普遍增加、僵尸主机数量的不断扩大，现在的业务瘫痪型攻击也不再是以前的百兆级别的了。在2012年，发现数起千兆级别的 CC攻击，因此高性能是数据中心DDoS防护方案的重点。同时，对于攻击防护的设备精准度也必不可少。一方面，能够精准识别每一次攻击；另一方面，误判更是客户不能容忍的。现在，智能终端的普遍应用会给传统的防护设备带来更多的挑战，如何保证智能终端访问不受影响成为新的课题。

    郭庆认为，虽然造成链路瘫痪的攻击数量上少于出口带宽，但正是这种DDoS攻击对数据中心系统，甚至整个数据中心造成致命伤害。这时，数据中心需要考虑投入产出比，虽然不能一味地增加对于DDoS防护的投入。当问及数据中心在DDoS防护上的投入应该如何做预算时，郭庆说道：“数据中心一年受到DDoS大面积影响的总小时数期间损失利润的20%-30%作为流量清洗投资的预算较为合适。”

    他谈到在大规模DDoS攻击发生时，整个网络的上下游均出现故障，实现最佳的防御效果需要三个条件：1. 有经验和技能的清洗专家； 2. 与上游运营商的热线机制； 3. 快速检测攻击变化与应急灾备能力。云清洗是DDoS防护的大趋势，厉害的DDoS攻击者手法多，变化快，时常需要定制正则语法来清洗，大规模攻击的清洗位置越靠近上游越好。云清洗服务商需要具备自治域AS号进行BGP路由调度控制与DNS全网策略控制能力，才能带给客户良好的网络服务品质。

    他进一步阐述道：页面被篡改，数据泄露这种事情客户是不会找运营商的，一般是自己关起门来商量对策。所以运营商在上游只需清洗大流量攻击，清洗开通后的关键是防止误杀正常业务，这方面运营商需要专业的清洗技术服务。不过最近一些新型的攻击导致客户系统提供不了服务，如访问出错、页面访问缓慢，客户也会找到运营商一起判断处理。这些新型的攻击很多时候对性能有较大影响，严重的时候引起系统会宕机，有时很难快速分清现象根源，这也是需要专业清洗技术服务的原因。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!