自從 2020 年以來,全球突發新冠疫情,抗擊疫情成為各國最緊迫的任務。不論是在疫情防控的相關領域,還是在遠程辦公、教育、醫療及智能化制造等生產生活領域,大量新型互聯網產品和服務應運而生,在幫助疫情防控的同時,也進一步推進了社會數字化轉型的進程。
疫情與防疫工作進展的同時,相關 IT 系統的安全漏洞、數據泄露、網絡詐騙、勒索病毒等網絡安全威脅日益凸顯出來,有組織、有目的的網絡攻擊形勢越來越明顯,為網絡安全防護工作帶來更多挑戰。
根據相關報告顯示,與新冠疫情相關的網絡釣魚和惡意軟件攻擊數量急劇增加,從 2020 年 2 月份的每周不足 5000 次激增至每周超過 20 萬次。 此外,隨著疫情高峰期已過,各國開始解除防疫封禁措施,攻擊者也隨之加大了與新冠疫情相關的攻擊。與年初相比,年中時全球所有類型的網絡攻擊總量增加了 34%。
通過進一步分析攻擊態勢可以看到,在各種網絡攻擊方式中,DDoS 攻擊仍然是被黑客使用最多的攻擊方式。
DDoS 攻擊是一種通過海量分布式客戶端模擬流量訪問業務,導致被攻擊業務帶寬和計算能力 被占滿,而無法提供服務的攻擊方式。DDoS 攻擊的目的也從最開始的惡意競爭、報復攻擊等更多轉化為勒索攻擊。
在一份調查報告中顯示:“2020 年第四季度,RDDoS 也就是 DDoS 勒索攻擊數量激增,原因一方面是自稱為 Fancy Bear 等多個黑客組織企圖勒索全世界各種組織機構。黑客犯罪團伙開始嘗試通過 DDoS 勒索攻擊,來獲得比特幣形式的贖金。”
為了榨取更多的比特幣贖金,RDDoS 勒索攻擊者在攻擊規模、頻率和目標多樣化方面不斷提高標準。2021 年一季度檢測到已知最大的勒索 DDoS 攻擊,峰值帶寬達到 800Gbps ,目標是一家歐洲賭博公司。
可以看到 DDoS 攻擊者一直在跨地域和跨行業方面進行多樣化嘗試。四年前,大多數 DDoS 攻擊目標是游戲公司。如今,零售商、電信、ISP 服務商、金融企業和教育組織都成為了 DDoS 攻擊的目標。從下面這張分析圖表中,我們可以看到中間綠色的游戲行業被攻擊占比,已逐漸與其他行業拉平。
隨著各行業務不斷開始使用云技術,發生在我國云平臺上的網絡安全和威脅事件數量一直保持著較高的增長態勢。有報告顯示,國內云平臺上的各類網絡安全事件數量占比較高,其中云平臺上遭受大流量 DDoS 攻擊的事件數量占境內 DDoS 攻擊事件的 74%。
其次,攻擊者經常利用我國云平臺發起網絡攻擊,在眾多網絡攻擊事件中,云平臺作為控制端發起的 DDoS 攻擊事件數量 ,占境內所有 DDoS 攻擊數的比重已高達 81.3%。云平臺已成為了主要的網絡攻防戰場。
2021 年,國家推出了新的《數據安全法》,加上之前頒布的等保合規等安全制度也在進一步貫徹落實中,這表明國家對網絡安全、數據安全也越來越重視,企業構建自己的安全體系已刻不容緩。
QingCloud 云原生的網絡防護方案
下面與大家分享幾個常用的網絡防護方案與最佳實踐。
DDoS 高防 TB 級海量帶寬防護
首先,我們推薦用戶將容易遭受 DDoS 攻擊的業務接入高防 IP。
當用戶將業務 IP 切換到高防 IP 時,會根據用戶的選擇為其開啟某個運營商專用大流量線路、或者 BGP 多線線路,將流量就近引入高防清洗節點。
高防節點內部對流量進行分布式清洗,按不同協議類型開啟四層到七層流量清洗。防護能力包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood、以及連接耗盡攻擊等多種泛洪攻擊類型,并對七層應用開啟 CC 攻擊防護。
清洗過后的正常業務流量將返回云平臺,用戶可以將回源地址綁定到負載均衡上,經過一層負載后,將流量轉發至其他云服務器主機,保障業務實時可用。
SaaS 化 云防火墻,雙向入侵防護
經過高防 IP 的一道清洗之后,可以開啟云防火墻作為云內的防護入口。
利用云防火墻的 IDPS 入侵檢測能力,可以及時發現一些小流量的入侵嘗試,并發出告警提示。您也可以開啟入侵檢測攔截,將攻擊攔截在云防火墻之外。
開啟云防火墻后不僅可以攔截云外的攻擊流量,還可以及時發現云內的后門程序外聯,避免黑客通過后門程序竊取用戶數據或作為入侵內網的跳板。
當用戶通過安全事件日志發現疑似入侵、或疑似木馬病毒后,可以及時設置內訪外、或外訪內的攔截規則,在漏洞被修復前迅速將可能的攻擊排除在業務之外,將風險和損失控制在最小范圍。
虛擬網絡整體安全隔離機制
CFW 云防火墻還可以結合安全組、私有網絡 ACL、以及云內虛擬路由器等功能實現多層次的網絡隔離和入侵檢測
當客戶訪問業務 的流量通過公網 IP 到達云環境,未開啟防護的流量會經過虛擬路由器轉發到達目標網絡,而開啟防護的公網IP流量則被引入至云防火墻。
云防火墻內部 分別有出口方向和入口方向 的應用層訪問控制模塊,對流量進行攔截。并檢測 入侵流量,實時攔截疑似的攻擊行為。
通過云防火墻攔截規則后,流量將通過私有網絡的 ACL 規則。在這里用戶可以設置不同網絡之間的訪問規則,僅允許必須的網絡間互訪。
最后, 通過用戶設置的安全組規則可以細化的配置主機的訪問策略。對主機的上行和下行流量分別設置不同的 IP/ 端口組。僅暴露必須的業務端口。而內部服務端口可以通過源地址規則,限定僅內網地址訪問。
結合以上多個安全產品與方案,我們為用戶提供了多重網絡安全防護能力,構建起云原生的安全體系。
云外的攻擊將先后經過,DDoS 高防的流量清洗、云防火墻的七層訪問控制規則以及入侵檢測、Web 應用防火墻的 Web 攻擊特征檢測、私有網絡 ACL 訪問控制規則、以及用戶自定義 安全組策略等, 多道防御線,構建起層層網絡安全屏障。
