在最近的一次的大型医疗组织安全会议上,我有幸看我曾经帮助设计的私有云基础设施的日志。他们向我展示了一组有趣的数字,我觉得看似可能来自的DDoS攻击。安全管理员以及在不同的组织中的同事们也见识了很多DDoS攻击他们的系统的事实。
在过去的几个月里,已经有更多的DDoS攻击世界各地的IT基础架构。这些攻击已经从简单的规模攻击转变为更为复杂的东西。现在,攻击者使用的是应用程序层和HTTP攻击一个组织的特定目标。
设想一下:云DDoS攻击比以往任何时候都大。Arbor Networks第九届年度全球基础设施安全报告清楚地说明了这一点,2013年最大的DDoS攻击达到309 Gbps。ATLAS数据证实了报告,2013年监控的攻击量超过20 Gb / sec,是2012年的8倍。2014年被广泛报道的NTP反射攻击就超过300 Gbps +,二月初的多重攻击超过100 Gbps。
幸运的是我的朋友和他的组织,这个基于SQL应用程序阻止了相关攻击。为什么因为他们有一个部署在虚拟设备应用程序防火墙。这个防火墙是专门监控目标应用程序,所以这次袭击被阻止并记录。
云DDoS攻击可不是闹着玩的。现在大规模系统依赖于云环境,一个单独的组件可能会导致级联故障。这就是下一代安全和DDoS设备要解决的问题。
事实很简单:更多的组织将业务迁移到云平台上,需要有新类型的安全最佳实践来保护他们的环境。数据泄漏和安全漏洞也会给公司的形象造成很大的伤害。越来越多的组织开始投入巨资在下一代安全行业,目的就是减轻可能的DDoS攻击。
该怎么办:
下一代安全工具和防火墙必须具备真实和强大的云层可见性
集成虚拟安全到你的数据中心
DLP、 IPS/IDS引擎需要更加强大并且在你的数据架构中具有细粒度可见性
不管一个公司是否托管自己的云环境或使用托管提供商,必须评估新的安全措施是否有效地防止云DDoS攻击。虚拟安全设备现在可以部署在网络的任何地方,用以保护不同类型的内部系统。这个范围可以囊括一个特定的操作系统服务到一个完整的应用程序。
同时,新的物理存储设备正在将数据相关性和安全掌握在自己的手中。
最后,这里面有一个非常重要的部分,因为针对应用程序、内部资源以及各种数据点攻击的增加,需要有更多的应用程序和安全团队之间的协作。应用程序开 发人员和管理员必须有效地沟通,以及需要安全团队如何操作。这意味着他们必须理解网络、端口和服务配置。不正确设置应用程序——尤其是如果它面向WAN ——将会产生非常严重的后果。
这是一个变化的领域。在云计算领域无疑最为突出。然而,就像任何新技术一样,总是有很多新的安全问题。我们需要继续寻找下一代安全技术,以支持云的广泛运用。