保护面向公众的网络基础设施的全新安全模型
采用云安全策略,实施纵深防御
攻击者日益将面向公众的网络基础设施作为攻击目标。基于 DNS 的分布式拒绝服务 (DDoS) 攻击同比增长了 80%,此类攻击长期以来一直是公共基础设施面临的主要威胁。勒索 DDoS 攻击数量在过去一年也出现季度环比增长。总体而言,截至 2024 年年中,DDoS 攻击数量同比增长了 20%。
这些攻击导致一系列关键应用和服务面临风险,例如面向客户的移动应用、合作伙伴门户,以及 VPN 服务和电子邮件。除了扰乱运营之外,各种类型的 DDoS 攻击还可能导致严重的数据泄露。
传统硬件防火墙和其他本地应用难以跟上时代的步伐。这些系统存在严重的局限性,可能使企业容易受到攻击,同时也让安全管理复杂化。
为了保护面向公众的网络基础设施,企业必须摆脱传统系统的局限性。采用基于云的现代化安全策略的公司,在阻止攻击并保持重要基础设施正常运行方面更加成功。
基于硬件的安全设备的局限性
如今,企业必须保护其面向公众的网络基础设施,抵御各种威胁。攻击者可能会进行侦察和端口扫描,企图在补丁开发或安装之前发现未来可加以利用的漏洞。
许多企业还会遭遇多种类型的 DDoS 攻击。例如,容量耗尽型 DDoS 攻击发送超负荷流量供处理。协议型 DDoS 攻击使用 SYN 洪水等技术,耗尽会话数量。应用层 DDoS 攻击利用与应用层协议的通信,导致拒绝服务。
像传统防火墙这类基于硬件的解决方案,无法充分抵御这些威胁。首先,它们的可见性有限:无法监测所有企业流量。
其次,它们的容量有限且缺乏弹性,也就是说,无法轻松扩展此类解决方案来应对容量耗尽的威胁。例如,2023 年 2 月,Cloudflare 检测到数十次超大流量 DDoS 攻击。最大流量峰值达到每秒 7100 万个请求,这在当时是有记录以来规模最大的一次攻击。这些攻击针对的目标包括一家热门游戏提供商、加密货币公司、托管提供商,以及云计算平台。大多数容量耗尽攻击都达不到这样的规模,但即便是一小部分这样规模的容量耗尽攻击,基于硬件的传统解决方案也无法应对。
为了弥补防火墙的局限性,企业通常会添加“防火墙助手”。它们可能会部署本地设备来保护应用,例如 Web 应用防火墙 (WAF);添加清洗中心,在流量到达企业网络之前对其进行过滤;或者使用 ISP 过滤来吸收攻击流量。
但是,这些助手会带来其自身的问题。它们可能会降低用户体验并增加管理复杂性。如果以物理设备的形式部署防火墙助手,它们可能也会面临与硬件防火墙相同的关键问题:无法充分扩展以阻止大规模攻击。
采用云安全策略,实施纵深防御
通过分层或纵深防御的安全策略,可以更好地保护面向公众的网络基础设施。其中一层策略应用于在入站流量到达企业网络基础设施之前,对入站流量进行过滤。过滤条件不应基于静态硬件设备。它必须能够动态扩展,以便使其能够承受全球最大规模的攻击。
基于云的安全方法可提供更有弹性、可扩展的资源来抵御这些威胁。具体来说,全球连通云在统一平台上提供云原生安全和网络服务,可以为现代化分层安全策略提供适当的功能组合��。
全球连通云的全球网络是保护面向公众的网络基础设施安全的第一道防线。它可以分散和吸收威胁流量,同时让企业更好地了解自身面临的威胁。例如,Cloudflare 拥有 388 Tbps 网络容量,远超有史以来最大的 DDoS 攻击。
Cloudflare 也缓解过具有极高包速率和 HTTP 请求率的 DDoS 攻击。例如,2024 年 9 月,Cloudflare 缓解了超过一百次超大流量 DDoS 攻击,其中许多攻击的流量超过每秒 20 亿个数据包和每秒 3 TB/秒 (Tbps)。最大攻击的流量峰值达到 3.8 Tbps。
全球连通云还可以提供额外的安全服务,供在边缘环境中使用,以构建纵深防御。防火墙和 DDoS 过滤可防范已知的新兴威胁,包括容量耗尽攻击。应用安全服务会保护应用和 API 安全,抵御 DDoS 攻击、漏洞利用、供应链攻击、机器人程序和欺诈。
全球连通云服务的组合式架构可提供亟需的敏捷性与灵活性。企业可以根据需要添加或调整安全服务,以抵御新兴威胁和扩展 Zero Trust 策略。
推进网络和安全转型
面向公众的网络基础设施对现代化企业至关重要,但它容易遭受基于设备的硬件解决方案无法充分应对的威胁。采用 Cloudflare 全球连通云作为分层云安全策略的基础,可以帮助企业克服传统解决方案的局限性。企业可以过滤和阻止各种威胁,有效保护网��络基础设施并满足面向公众的网络需求。
从传统的设备安全转为采用云安全策略来保护面向公众的网络,这也有助于企业推进更大规模的网络和安全转型。通过将更多网络和安全迁移到云端,企业可以提高连接人员、应用和网络的灵活性。此外,还可以更轻松地整合新的安全功能,以抵御不断演变的威胁。最终,这些转型有助于提高业务敏捷性并促进创新,同时控制 IT 环境的复杂性。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读《了解云交付网络保护的作用》白皮书,进一步了解 Cloudflare 全球连通云如何保护面向公众的网络基础设施。
关键要点
阅读本文后,您将能够了解:
面向公众的网络基础设施面临哪些主要威胁
基于硬件的防火墙有哪些局限性
为什么云安全策略能够更好地保护面向公众的网络