由四川省互聯(lián)網(wǎng)信息辦公室指導(dǎo),成都市互聯(lián)網(wǎng)信息辦公室,成都高新技術(shù)產(chǎn)業(yè)開發(fā)管理委員會(huì)聯(lián)合主辦,,成都無糖信息技術(shù)有限公司承辦的CCS" target="_blank">2022CCS成都網(wǎng)絡(luò)安全大會(huì)暨數(shù)據(jù)治理峰會(huì)在線上正式拉開序幕,。
在大會(huì)首日的云安全實(shí)戰(zhàn)分論壇上,字節(jié)跳動(dòng)火山引擎云安全工程師歐陽鵬分享了云上業(yè)務(wù)DDoS與應(yīng)用層CC攻擊防護(hù)實(shí)踐,。
該演講以火山引擎的具體云防護(hù)案例實(shí)踐展開,分享了案例的背景、解決方案,,以及對應(yīng)的案例延伸總結(jié)。從企業(yè)業(yè)務(wù)上云,,云上業(yè)務(wù)及SaaS化服務(wù)廣泛的抗D需求,,該實(shí)踐案例對于企業(yè)用戶而言,特別是復(fù)雜業(yè)務(wù)場景下抗D實(shí)踐具有一定的借鑒價(jià)值,。
案例背景
DDoS攻擊來勢洶洶,,云上業(yè)務(wù)面臨威脅
某網(wǎng)絡(luò)科技有限公司,SaaS化創(chuàng)業(yè)公司,,業(yè)務(wù)基于云上開展,。其業(yè)務(wù)主要為各大網(wǎng)站提供安全驗(yàn)證服務(wù),且市場占有率較高,,服務(wù)客戶遍布金融,、直播、教育,、電商等多個(gè)領(lǐng)域,。案例分享指出,該公司面臨的主要外在威脅是隨著其市場占有率的不斷提升,,以及客戶群體的擴(kuò)大,,針對平臺的DDoS和應(yīng)用層CC攻擊顯著增多。
難點(diǎn):分享指出該案例實(shí)踐的難點(diǎn)在于要防御手法多樣的DDoS,、CC攻擊,,頻繁和超大流量攻擊,其重點(diǎn)在于防護(hù)算法需足夠精細(xì),且要兼容到該企業(yè)業(yè)務(wù)各類特殊場景當(dāng)中,,對網(wǎng)絡(luò)質(zhì)量,、防護(hù)性能要求極高,同時(shí)要求防護(hù)方案具備豐富的攻防能力,。
解決方案
魔高一尺,,道高一丈,構(gòu)建縱深防御體系
在案例的解決方案介紹中,,我們看到,??火山引擎云防護(hù)構(gòu)建了梯級的防護(hù)能力,,包含網(wǎng)絡(luò)層攻擊防護(hù)引擎,、網(wǎng)絡(luò)層轉(zhuǎn)發(fā)引擎、應(yīng)用層攻擊防護(hù)引擎,、應(yīng)用層轉(zhuǎn)發(fā)引擎,,以及安全可視化&告警在內(nèi)的能力,為客戶搭建了縱深防御體系,。
“業(yè)務(wù)流量牽引至火山引擎提供的高防IP,,流量將通過火山引擎網(wǎng)絡(luò)安全系統(tǒng)分析清洗,最終實(shí)現(xiàn)攻擊流量攔截,。該系統(tǒng)內(nèi)部采用自主研發(fā)的DDoS,、WAF等防護(hù)產(chǎn)品組成的多層防御系統(tǒng),對3~7層攻擊流量進(jìn)行分層而治,,并提供完備的可視化數(shù)據(jù)和安全事件告警能力,。”
據(jù)介紹,,該解決方案亮點(diǎn)在于以下三點(diǎn):
1,、海量帶寬,T級防護(hù):核心的基礎(chǔ)能力,,從而讓業(yè)務(wù)免遭大規(guī)模攻擊的同時(shí)享受優(yōu)質(zhì)網(wǎng)絡(luò)質(zhì)量,,同時(shí)支持實(shí)時(shí)彈性擴(kuò)容以及自定義策略,滿足不同業(yè)務(wù)場景應(yīng)用需求,;
2,、多層防御,分層而治:自于自主研發(fā)的防護(hù)引擎搭建多層防御體系,,對不同場景攻擊流量分層而治,,從而提高系統(tǒng)防護(hù)性能和可靠性;
3,、算法創(chuàng)新,,精準(zhǔn)清洗:通過新型防護(hù)算法,例如TCP四層CC防護(hù)模型、TCP反向算法,、應(yīng)用層CC多維策略等,,并結(jié)合其他傳統(tǒng)防護(hù)策略有效覆蓋各類攻擊,提供優(yōu)質(zhì)防護(hù)體驗(yàn),。
案例應(yīng)用效果:據(jù)介紹,,該案例企業(yè)SaaS服務(wù)接入該火山引擎云防護(hù)系統(tǒng)之后,累計(jì)防護(hù)網(wǎng)絡(luò)攻擊近百次,,其中包括10次以上100G以上大規(guī)模攻擊,,也包含峰值突破300G攻擊,,均被有效防護(hù),。相比接入系統(tǒng)之前,該企業(yè)的在線業(yè)務(wù)穩(wěn)定運(yùn)行得到了充分保障,。
反思總結(jié)
優(yōu)勢復(fù)制,,為云上業(yè)務(wù)保駕護(hù)航
案例具有優(yōu)勢復(fù)制的延伸應(yīng)用,在總結(jié)防護(hù)經(jīng)驗(yàn)時(shí)演講者指出優(yōu)勢在于:
1,、立足業(yè)務(wù)場景:基于攻擊頻次與攻擊規(guī)模給出最佳防護(hù)方案,,方案適配業(yè)務(wù)底層協(xié)議,節(jié)約業(yè)務(wù)防護(hù)成本,;
2,、貼身策略制定:支持貼身策略定制能力,系統(tǒng)支持定制4層DDoS防護(hù)策略和定制7層CC防護(hù)策略,,防護(hù)策略靈活,,能更加適配企業(yè)苛刻的業(yè)務(wù)場景化能力需求;
3,、實(shí)現(xiàn)攻擊溯源:,??系統(tǒng)提供整體防護(hù)數(shù)據(jù)可視化能力,,最大程度協(xié)助業(yè)務(wù)實(shí)現(xiàn)攻擊溯源,。包括正常流量和異常流量,通過人工+智能的方式實(shí)現(xiàn)多樣化的數(shù)據(jù)分析,。
總體點(diǎn)評:案例對象我們完全可以猜測是哪家科技企業(yè),,針對類似的在線科技服務(wù)型企業(yè),保障其SaaS服務(wù)安全穩(wěn)定,,構(gòu)筑符合自身發(fā)展定位的抗D解決方案幾乎是企業(yè)健康發(fā)展的硬性標(biāo)準(zhǔn),。
從火山引擎提供的整體抗D防護(hù)方案來看,方案除了自身系統(tǒng)的強(qiáng)大的抗D,、抗CC攻擊資源及技術(shù)能力之余,,重點(diǎn)強(qiáng)調(diào)了自身防護(hù)架構(gòu)的靈活性,這種靈活性在于對復(fù)雜業(yè)務(wù)場景的優(yōu)化支持,以及通過持續(xù)防護(hù)的經(jīng)驗(yàn)數(shù)據(jù)積累所取得的策略調(diào)整能力和可視化能力,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
