迁移到云端的优势
与部署独立硬件设备相比,迁移到云端有许多优势:
-
保护基于云的应用程序:托管在云中的应用程序无法通过本地设备保护,因此需要基于云的保护。
-
更大容量:随着容量 DDoS 攻击变得越来越大,许多攻击很容易超过典型企业级 DDoS 缓解设备的容量。在这种情况下,云服务将能够提供可以吸收这些攻击的备份容量。
-
较低的管理:与基于本地的设备相比,经常使用云服务需要更少的管理开销和人员。
-
成本更低:虽然 DDoS 缓解设备需要大量的前期资本成本 (CAPEX),但基于云的 DDoS 缓解服务往往成本更低,并且可以通过持续订阅模式付费。这允许客户根据他们的需要扩展(或收缩)他们的服务。此外,此类支出通常被归类为运营费用 (OPEX),这对许多公司来说更容易分配。
- 但是,应该注意的是,由于控制级别较低,以及与可能限制组织迁移到云的能力的监管要求的潜在冲突,云的便利性逐渐减弱。
按需:在您需要时提供 DDoS 保护
基于云的 DDoS 保护的第一个模型是按需模型。在按需模型下,流量通常在平时(即未受到攻击时)直接流向主机。但是,一旦识别出 DDoS 攻击,流量就会重新路由到云 DDoS 缓解服务,该服务会清除攻击流量并仅将干净的流量传递到源服务器。顾名思义,这种类型的保护仅在需要时才按需激活。
优点和缺点:
-
和平时期没有延迟:按需服务的一大优势是,当您没有受到攻击时,在 “和平时期” 没有延迟。流量仅在攻击期间被转移,在攻击持续时间内。
-
更低的成本:按需服务往往比购买专用的 DDoS 缓解设备以及始终在线的云服务更便宜。这可以为预算不多的客户提供有效保护。
-
简单:按需的基于云的服务易于维护,平时无需管理。
但是,按需模型存在某些缺点:
-
检测时间:按需服务的最大缺点可能是它不能 100% 地提供保护。大多数按需服务根据流量阈值检测 DDoS 攻击。只有达到一定的流量阈值后才会激活保护,这可能需要几分钟来积累数据和分析。在此期间,服务器可能会暴露。
-
分流时间:分流开始后,可能需要一些时间才能完成分流。转移时间由两个因素组成:开始转移所需的时间,以及转移通过 BGP 或 DNS 表传播所需的时间。虽然使用自动或程序化(基于 API)的转移技术可以最大限度地减少转移时间,但传播时间通常不在提供商的直接控制范围内。
-
分流时的延迟:一旦流量被分流,所有到源服务器的请求都流经云 DDoS 缓解提供商的网络,这可能会增加交易的延迟。延迟量可能取决于清理中心的位置、与源服务器的距离以及连接质量。然而,这种延迟只有在转移发生时才会继续,一旦转移结束就会恢复正常。
注意事项:
就像购买基于前提的设备(以及永远在线和混合模型,将在后面介绍)一样,是否使用按需保护模型的选择取决于组织的特定用例和需求:
-
延迟:使用按需服务在平时不会产生额外的延迟,因此对于延迟敏感的应用程序,按需服务可能是有效的。
-
攻击频率:您被攻击的频率如何?如果您只是很少受到攻击(或根本没有),那么按需服务可能是一种经济高效的解决方案,可以在未雨绸缪的情况下保护您。但是,如果您的服务器不断受到攻击,那么不断转移流量可能不是很有效,并且永远在线或混合服务可能会更好。
-
任务关键型应用程序:您的应用程序是任务关键型的吗?按需服务通常需要几分钟的时间进行检测和转移步骤,在此期间服务器保持暴露状态。如果您可以吸收这种暴露而不会造成重大伤害,那么按需服务就可以了。但是,如果您无法承受哪怕一瞬间的停机时间,那么永远在线或混合解决方案可能会更好。
