先来看一组数据:艾默生网络能源与Ponemon研究院研究发现,IDC意外宕机平均每分钟总成本从2010年的5617美元增加到现在的8851美元;单个IDC宕机的平均成本从2010年的505502美元增加到现在740357美元;IDC最高宕机从2010年的505502美元增加至2409991美元。IDC宕机是一件几乎无法避免但大家又不想看到的事情。
那么数据中心宕机的幕后黑手都有哪些呢?UPS系统故障,包括UPS主机和电池故障,是数据中心意外宕机的首要原因,占所有发生故障的1/4;另外一项让人细思极恐,网络犯罪所导致的数据中心故障增长最快,从2010年占2%增长到到现在的22%,而DDoS攻击便是网络犯罪的元凶首恶。
在国内,中国电信的数据显示,2015年共发生DDos攻击17.9298万次,攻击总流量达到276,531.562Tb。那么在如此频繁的攻击之下,IDC如何抵御网络犯罪而造成的宕机是一个不得不考虑的问题 。
IDC的DDoS防御
众所周知,IDC具备优质机房、充足带宽以及骨干网高速互联的优势,为企业提供互联网高速接入、服务器托管等业务,但行业内竞争日趋激烈,出于商业竞争、打击报复和网络敲诈等诸多原因,导致数据中心遭遇DDoS攻击的频率逐渐升高,进而导致客户受到牵连,造成严重的商业损失。
而对于IDC来说,其流量防御分为两种,一种是内外网边界流量防御(南北向流量防御)和内网流量防御(东西向流量防御),DDoS防御属于前者。通常情况下,IDC会在边界网关处部署入侵防御设备、防火墙、DDoS防御设备等硬件设备来抵御黑客入侵。现阶段,IDC的出口带宽普遍能达到100G规模,甚至1000G规模也已经出现,在这样带宽规模的支持下,配合上其BGP的能力,IDC很容易将常见的DDoS攻击化解。
但是这样的南北向防御体系是有缺陷的。
第一,硬件防御的特性就决定了这种防御模式不会特别灵活:IDC需要持续手动调整防御策略、对设备进行维护更新才能够动态跟踪黑客的攻击特点,否则防御设备会因为配置策略问题而失去应有的防御效果,这就对于IDC的安全人员要求较高。
第二,IPS难以发现针对应用层的DDoS攻击,一旦黑客试图写入代码级的非法命令来消耗应用层的资源达到拒绝服务的目的,这样的防御体系能够起到的作用就不是很大了,然而目前混合型DDoS攻击(网络层+应用层)是最为主流的攻击方式。
第三,虽然IDC拥有足够的带宽,但是仍然架不住DDoS攻击的量大;前段时间美国断网事件的攻击峰值据说达到了1.2Tbps,中国电信的数据显示,有4.1%的攻击流量峰值超过100Gbps,而这部分攻击将会有能力造成硬件防御设备因为带宽耗尽而锁死,从而致使数据中心宕机。
智卓安全的解决方案
正是在这样的形势下,IDC希望寻找专业的安全厂商给予足够的支持,安全厂商也在研发新的解决方案。新兴的网络安全公司---智卓安全,引起了笔者的注意;这是一家专注研究抗DDoS服务的网络安全公司,旗下产品智卓云盾可以针对7层网络协议进行全方位的DDoS防御。这样一家初创公司在GITC2016会议期间,成功帮助主办方抵御了峰值达到187Gbps的UDP Flood攻击,保障了大会的顺利进行,获得了主办方及众多参展商的认可与好评。
那么对于IDC来说,智卓安全可以提供哪些防御方案呢?
第一,为IDC建设防御节点。用户不需要重新部署任何软硬件,具备相当高的灵活性。一方面,智卓安全可以通过SaaS的方式提供7x24小时的运维服务,帮助用户及时调整防御策略;另一方面,防御节点的秒级响应机制给了用户极大的弹性空间;用户可以在需要防御的时候及时接入防御节点,这样可以极大的降低用户防御资源的消耗。但是,这种方式仍然会受制于IDC的出口带宽。
第二,为IDC提供云防护。智卓安全在全国建立起分布式的防御节点,整体防护带宽超过1T,对于攻击流量直接就近牵引、防护和回注,具有明显的分布式防护特点。当单一节点受到大流量攻击失效时,智卓安全会迅速调度分布式节点进行分布式防御,因此单节点的失效并不影响整体安全防护性能。该节点原来负责的攻击防护区域的攻击流量自动切换到其他最近节点防护,切换速度在50毫秒左右,对于业务影响几乎为零。
第三,定制化安全解决方案。智卓安全可根据用户不同需求进行定制化安全防护策略,根据节点、带宽等个性化需求,定制一套最贴合企业自身业务的解决方案。现阶段,DDoS云防御成本并不是一个小到可以忽略不计的数字。相反,对于某些中小IDC来说,大流量的防御价格甚至可能有些难以接受。因此,定制化的防御策略的高资源利用率可以尽可能地降低用户的安全成本。不过定制化并不是谁想做就能做到,智卓安全拥有大量十年以上网络安全经验的安全专家和安全分析团队,足够为用户提供深层次的业务分析,从而定制出对应的安全策略。
目前,智卓安全已经和上海网域网等IDC企业达成了合作,为其提供专业的DDoS防御服务。
IDC企业面对越来越复杂的网络攻击,IDC除了需要加强自身边缘设备的健壮性之外,还应该考虑与本地边缘设备以及类似智卓安全的DDoS云防御服务供应商紧密合作,加强自身网络安全防御机制。
