近日,2022 CCS 成都网络安全大会顺利结束,防御盾云安全工程师欧阳鹏进行了《云上业务网络安全防御体系建设和应用案例》的议题分享。他基于防御盾云安全团队的实践案例,讲述防御盾网络防护解决方案如何帮助企业构建起纵深DDoS/CC防御体系,并结合业务实际场景给出最佳防护方案。
防御盾长期关注并重视用户的信息安全。近几年数字技术与实体经济加速融合,泛互联网、金融、游戏等行业繁荣发展,引来黑产团伙觊觎。在各大企业中,随着自身业务规模不断扩大、客户群体不断增加,面临的网络安全威胁也不断增多。其中DDoS攻击和应用层CC攻击更为频发,这些攻击往往会导致公司业务中断、瘫痪,不仅严重影响公司业务正常运营,更会损害公司的口碑与收入。
云上业务遭受DDoS攻击威胁
欧阳鹏在分享中以真实实践案例作为了切入点。某网络科技有限公司的业务主要基于云上开展,为各大网络站点提供行为验证、身份验证、安全情报等验证服务。该公司业务在同行业中有较高的市场占有率,服务的目标客户企业遍布金融、直播、教育等多个领域。
随着该公司市场占有率上升与客户群体扩大,面临的网络安全威胁也不断增多,最显著的是该公司业务长期遭受DDoS和应用层CC攻击。这些攻击多次导致该公司业务出现中断、瘫痪,严重影响公司业务的正常运营,损害公司产品的口碑与收入。
DDoS攻击现状分析
在此过程中,该公司尝试接入过不少云安全厂商提供的解决方案,但在反复的测试、试用过程中,都难以实现高效、全面、让业务满意的防护效果。主要原因有以下4个方面:
该公司业务本身属于业务安全范畴,在安全行业与能力上已有一定程度的积累,面临这些网络安全问题时,对具体的安全防护方案与技术能力有更高的标准与要求;
公司业务本身受攻击的频率极高,业务场景复杂,这对项目整体的防护策略与方案提出更大的挑战;
业务自身有一些定制、自研的底层协议,需要在防护策略、防护算法上进行适配兼容,避免造成误伤;
业务的服务场景对时延敏感,丢包容忍度低,这都需要防护方案能做好适配防护,以达到满意效果。
构建纵深防御体系
防御盾云安全团队结合这些客户业务场景中常见的痛点、难点,为客户提供了防御盾网络防护解决方案:
1.构建网络防护纵深防御体系
防御盾网络防护解决方案基于自主研发的防护引擎和DDoS、WAF等防护产品构建多层防御体系,对3至7层攻击流量分层而治,对不同场景攻击流量分层治理,并结合端侧特征实现攻击流量的精准识别,从而实现防护的高效与可靠性;同时该方案使用自主研发的新型防护算法,并结合传统防护策略,能够有效抵御TCP四层CC攻击、TCP反射攻击、TCP中间盒攻击等多种攻击手法,为客户业务提供优质防护体验。
2.事中有效防护
在防护过程中,该方案依托海量带宽储备资源与优质的BGP线路,为业务提供T级的BGP DDoS防护能力。其能够让攻击流量在被系统检测识别后能被率先清洗、过滤,保障正常流量回注到源站,让业务免遭大规模流量攻击的同时享受优质的网络质量。
3.事前预警与事后分析
在事前预警和事后分析方面,该方案可以为客户提供完备的数据可视化与安全事件告警能力,帮助客户构成防护DDoS、应用层CC攻击的纵深防御体系。
在接入防御盾网络防护解决方案后,已为该客户业务累计防护近百次DDoS攻击。其中,最高攻击峰值突破300Gbps,防御包括SYN flood,ACK flood等在内的多种攻击,包括业界难以有效防护的TCP反射、TCP四层CC、应用层CC等攻击手段,均被防御盾网络防护解决方案有效解决,保障业务能够稳定运行。
防御盾的纵深防御体系
优势复制,为云上业务保驾护航
防御盾网络防护解决方案具备三大优势,能够有效解决DDoS、应用层CC攻击等问题:
1.先进全面的防护架构
防御盾网络防护解决方案具备先进全面的防护架构,能够解决客户云上业务在面临攻击时防护资源不足、对抗能力薄弱、防护场景覆盖不全面等问题。同时,防御盾网络防护解决方案能够为业务提供量身打造的防护策略,除了内置的防护能力与策略外,能提供贴身定制的四层DDoS与七层CC防护策略,适配业务的各类网络参数、配置等定制化需求。
2.灵活兼容易部署的防护方案
防御盾网络防护解决方案,能够依托纵深防御体系与灵活的策略定制能力,实现对各类客户业务场景和需求的兼容。
同时防御盾网络防护解决方案的防护思路与方案能够立足业务场景,基于客户业务面临的攻击频次、规模来提供最匹配的防护方案。该方案还可基于业务的定制化逻辑、场景(例如底层协议的改动),在防护策略与方案上进行有效的适配兼容,方便业务进行接入、测试、防护,极大降低客户业务防护成本。
3.感知、防护、管理一体化,攻击可溯源
防御盾网络防护解决方案可以帮助客户实现感知、防护、管理一体化,包括对流量的实时、自动分析、自动防护;提供丰富的可视化能力与策略配置、管理能力,让客户能对整体攻防情况进行全面掌控。同时该方案具有攻击溯源的能力,依托7x24专家服务、智能数据分析、防护数据可视化等能力,为业务实现攻击溯源进行有效支撑。
防御盾网络防护解决方案
防御盾网络防护解决方案具有很好的可复制性与兼容性,可以适配各类业务场景,为客户的云上业务保驾护航。在未来,防御盾云安全还将持续结合字节跳动内部安全防护体系、最佳实践和技术创新,为企业用户提供更为全面的网络安全解决方案。