企業在轉向云端是需要構建最安全的系統架構。根據云安全聯盟(CSA)的報告《The Notorious Nine: Cloud Computing Top Threats in 2013》，針對企業云部署最常見的攻擊就是分布式拒絕服務(DDoS)攻擊。在最近的一篇博文中，亞馬遜探討了客戶如何在他們的亞馬遜Web服務(AWS)虛擬私有云(VPC)中使用安全群組和訪問控制，從而減少攻擊面，同時設計了一個云架構來保護企業免受DDoS攻擊。反抗云中DDoS的概念能成真嗎?本篇技巧將會解析核心概念和技術，基礎架構和安全團隊可以實踐，從而減少當今云環境中企業所面臨的DDoS攻擊風險。

[[158685]]

減少公開暴露

絕對沒有一種方法能夠完全消除分布式拒絕服務攻擊的威脅，理解這一點很重要。為了有效地阻擊DDoS攻擊并維護云服務的可用性，要運用一些核心的概念。首先，企業需要減少全部公開暴露環境。對于AWS環境，通常是在VPC中設置安全群組和私有網絡。亞馬遜有很好的終端概述——對于流量的方向指向具體的虛擬機以及與之相關的服務——或者網絡安全群組。

準備擴展和冗余

彈性和可擴展要防患于未然，確保擴展和冗余在分布式拒絕攻擊期間可以按需使用，尤其是在多個地理區域的情況下。任何運行在云中的虛擬機實例都需要保證網絡資源可用。

亞馬遜用具體實例規模提供了加強網絡，允許更多的每秒封包數從這些系統發出或者收到，從而改善性能。亞馬遜提供了其彈性負載均衡(ELB)服務，對所有運行中的實例扮演一個前端的角色，也能夠基于你的負載均衡需求分配流量到系統中。

微軟針對所有的Azure提供了域名系統(DNS)和網絡負載均衡，Rackspace提供了控制流量流的專屬云負載均衡。對于開啟新服務和在云端擴展設置自動觸發器是另外一種常見方式，可以提供資源彈性。在一篇減少DDoS攻擊的白皮書中，亞馬遜建議使用其Auto Scaling功能，在具體的實例度量上設置觸發器，比如CPU利用率、網絡流量和服務狀態檢查——從而自動化流量擴展和針對實例的負載均衡。

利用內容加速網絡

利用內容交付網絡(CDN)，比如AWS CloudFront、Azure Content Delivery Network或者第三方服務，比如來自Akamai或者CloudFlare的服務，來代理流量并執行“包洗滌”動作，在云資源受到明顯影響之前幫助防御和減少DDoS攻擊。這些CDN通過多邊網絡節點分散流量，可以按需緩存和分發內容。

大多數的CDN可以限制來自或者接收一個具體的國家或者區域的流量。Amazon CloudFront可以實施Origin Access Identity，嚴格限制對于Simple Storage Service的訪問，具體的用戶通過CloudFront提供服務，而非直接訪問，針對分布式拒絕服務攻擊。還有很多其他的中介服務或者平臺可以減少 DDoS攻擊，包括來自Imperva、Qualys和Barracuda這樣的廠商的Web應用防火墻設備和服務。

分布式拒絕服務攻擊防御

除了上面列出的這些關鍵概念，還有另外一種方法企業可以用來保護他們的基礎設施。亞馬遜建議使用DNS控制，比如Route 53服務來幫助控制DDoS。Route 53功能，諸如shuffle分片或者分布式DNS請求、anycast routing、alias record set——這是一種獨立的DNS記錄，可以在運行中快速改變，指向CloudFront或者ELB結點，以及私有DNS(僅限內部)，可以幫助提供更多的靈活性和控制能力。

除了所有的這些功能，云提供商建議企業要認真追蹤和監控云用例模式，開發健全的常規行為基準線，如果DDoS發生了，要積極主動的度量和控制響應。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_91592.htm