保護面向公眾之網路基礎架構的新模式
透過基於雲端的安全性實施縱深防禦
攻擊者越來越多地將面向公眾的網路基礎架構作為攻擊目標。2024 年初,基於 DNS 的分散式阻斷服務 (DDoS) 攻擊(長期以來一直是此類基礎架構的威脅)年增了 80%。勒索 DDoS 攻擊也連續一年逐季成長。總體而言,截至 2024 年中期,DDoS 攻擊年增了 20%。
這些攻擊使一系列關鍵應用程式和服務面臨風險,從面向客戶的行動應用程式和合作夥伴入口網站,到 VPN 服務和電子郵件。除了中斷營運之外,各種類型的 DDoS 攻擊還可能導致嚴重的資料外洩。
傳統硬體防火牆和其他內部部署應用程式難以跟上時代步伐。這些系統有嚴重的局限性,不僅可能使組織面臨安全漏洞,還會使安全管理變得更加複雜。
為了保護面向公眾的網路基礎架構,組織必須擺脫這些舊式系統。採用現代雲端安全策略的公司在阻止攻擊和維護這項重要基礎架構的正常運作方面取得了更大的成功。
硬體型網路安全設備的局限性
如今,組織必須保護其面向公眾的網路基礎架構免受各種威脅。攻擊者可能會執行偵察和連接埠掃描,嘗試找出能夠在開發或安裝修補程式之前加以利用的漏洞。
許多組織也會遭遇多種類型的 DDoS 攻擊。例如,巨流量 DDoS 攻擊會傳遞大量需要處理的流量。通訊協定 DDoS 攻擊使用 SYN 洪水攻擊等技術,建立伺服器無法處理的工作階段數量。應用程式層 DDoS 攻擊利用與應用程式層通訊協定的通訊來造成阻斷服務。
傳統防火牆等基於硬體的解決方案無法充分抵禦這些威脅。首先,它們的可視性有限:無法監控所有企業流量。
其次,它們的容量有限且缺乏彈性,這意味著它們無法輕鬆擴展以應對巨容量威脅。例如,2023 年 2 月,Cloudflare 偵測到了數十起超大容量 DDoS 攻擊。其中最大的一次攻擊峰值達到每秒超過 7,100 萬個請求,這是當時規模破紀錄的攻擊。這些攻擊針對的是熱門遊戲提供者、加密貨幣公司、代管服務提供者以及雲端運算平台。大多數巨流量攻擊的規模都遠不及此,但基於硬體的傳統解決方案甚至無法應對這種規模的巨流量攻擊。
為了彌補防火牆的局限性,組織通常會新增「防火牆協助程式」。他們可能會部署內部部署設備來保護應用程式,例如 Web 應用程式防火牆 (WAF);新增清除中心,在流量到達組織之前對其進行篩選;或使用 ISP 篩選來吸收攻擊流量。
但這些協助程式也存在著自身的問題。它們會降低使用者體驗,並增加管理複雜性。如果協助程式以實體設備的形式實現,它們可能還會面臨與硬體防火牆相同的關鍵問題:它們無法充分擴展以阻止大規模攻擊。
透過基於雲端的安全性實施縱深防禦
面向公眾的網路基礎架構可以透過分層或縱深防禦安全策略獲得更好的保護。其中一層應在傳入流量到達企業網路基礎架構之前對其進行篩選。該篩選器不應基於靜態硬體設備。它必須能夠動態擴展,才能承受最大規模的全球攻擊。
基於雲端的安全性可以提供更具彈性、可擴展的資源來防禦這些威脅。具體而言,全球連通雲在統一的平台中提供雲端原生安全性和網路服務,可以為現代的分層策略提供合適的功能組合。
全球連通雲的全球網路是面向公眾的網路基礎架構的第一道防線。該網路可以分散和吸收威脅流量,同時讓組織更好地瞭解他們所面臨的情況。例如,Cloudflare 的網路容量 388 Tbps 遠大於有史以來最大的 DDoS 攻擊。
Cloudflare 還緩解了具有極高封包速率和 HTTP 請求速率的 DDoS 攻擊。例如,2024 年 9 月,Cloudflare 緩解了超過一百次超大流量 DDoS 攻擊,其中許多攻擊的流量超過每秒 20 億個封包或每秒 3 TB (Tbps)。最大規模的攻擊高峰達到 3.8 Tbps。
全球連通雲還可以提供額外的邊緣安全服務,以建立縱深防禦。防火牆和 DDoS 篩選可以防禦已知和新興威脅,包括巨流量攻擊。應用程式安全服務可以保護應用程式和 API 免受 DDoS 攻擊、漏洞、供應鏈攻擊、機器人和詐欺的侵害。
全球連通雲服務的可組合性提供了急需的敏捷性和靈活性。組織可以根據需要新增或調整安全服務,以防禦新的威脅並擴展 Zero Trust 策略。
推進網路和安全轉換
面向公眾的網路基礎架構對於現代企業至關重要——但它容易遭受基於設備的硬體解決方案無法充分解決的威脅。採用全球連通雲作為分層雲端策略的基礎,可以幫助您的組織克服傳統解決方案的限制。您可以篩選和封鎖各種威脅,有效保護網路基礎架構並支援面向公眾的網路需求�。
將面向公眾的網路從傳統設備遷移到基於雲端的安全系統,也可以幫助您推進更大規模的網路和安全轉換。透過將更多網路和安全性遷移到雲端,您將獲得更大的靈活性,更好地連接人員、應用程式和網路。而且,您可以更輕鬆地整合新的安全功能,以防禦不斷演變的威脅。最終,這些轉換可以幫助增強業務敏捷性和促進創新,同時控制 IT 複雜性。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
深入探討這個主題。
請閱讀《瞭解雲端交付的網路保護的作用》白皮書,深入瞭解全球連通雲如何保護面向公眾的網路基礎架構。
重點
閱讀本文後,您將能夠瞭解:
面向公眾的網路基礎架構面臨哪些主要威脅
基於硬體的防火牆有哪些限制
為什麼基於雲端的安全性可以更好地保護面向公眾的網路