摘要:2年前,不少技术圈的朋友,读过论坛里的一篇解读文章:DDoS,阿里为什么要走自己的一条路(https://bbs.aliyun.com/read/271764.html?pos=13),文章讲述了阿里巴巴为什么决定研发自己的DDoS清洗系统,阿里云DDoS防护业务的诞生,以及阿里云Anti-DDoS产品团队 在云上DDoS检测、防御的一些思考。
2年后,Forrester发布Now Tech: DDoS Mitigation Solutions, Q2 2018报告,阿里云、A10 Networks、Akamai、Arbor和Radware进入“第一市场阵营” —— 诞生3年,年轻的我们与老牌DDoS服务提供商一起,共同接受全球市场的检验。这也意味着,全球大型企业开始认可云上DDoS防护的综合实力。
回望成长历程,2年前那篇博文中有一句话让人感触颇深: “在长期跟DDoS对抗中,我们踩过无数的坑,走过无数弯路。但在这个过程中,也积累了更多的对抗经验”。实战,是所有安全产品最重要的成长之道。
如今,Anti-DDoS已是企业安全产品/服务中的“刚需”。就像Forrester在Now Tech报告中所说:数字化转型中,企业对应用、云、网络宽带依赖程度只会越来越高,DDoS防护越来越成为保持业务收入、连续性、企业体验的基础堡垒。
然而,许多企业对于DDoS服务选型仍处于“盲目期”。对此,Forrester建议企业去多看看服务提供商的规模、功能,从两个维度,结合企业自身的体量、风险、预算来选。结合报告的内容,本文会对阿里云DDoS 防护的技术亮点,和成长思考,做一一解读。
注:Now Tech报告收集两百多家CSO或CIO的真实需求,划定主流厂商的名单和分类,最后从规模、功能、技术三个维度全面评估明星厂商。
从Now Tech报告出发。Forrester把全球主流DDoS服务商分为:CDN /DNS Providers,DDoS Pure Plays,Security Vendors和Service Providers(云+运营商)这四种,并指出了各自的优劣对比。主要强调了DDoS缓解方案的四大所需能力(也是企业应该考虑的四大指标):
对业务的深度理解:互联网中任何业务都存在被攻击的风险,只有对业务的理解更深入才能针对不同业务提供更精细有效的防护方案,保障业务在DDoS防护的同时平稳无感知运行,真正达到防护的目的。
DDoS攻击威胁检测能力:从企业角度,DDoS攻击是被动无预知地发生的,并且攻击是突发的,所以,如何快速检测攻击并清洗攻击流量是DDoS缓解方案的核心能力之一。
全球化部署:DDoS攻击之所以称之为‘分布式’拒绝服务攻击,正是因为DDoS攻击是从互联网中各个区域汇聚起来针对同一个受害目标,造成资源不对等堵塞业务入口或耗尽有限的计算资源。所以,更好的DDoS防护方案,也需要全球化部署来‘分布式’地对抗各个区域产生的攻击,为被保护的全球化业务提供最佳方案。
防护方案完整度:近些年来,云化DDoS防护方案逐渐凸显了其自身的优势,于此同时,部署在企业机房出口的传统DDoS防护方案,也是整体防护流程中能与云端防护形成互补的重要组成部分。
在这四大能力的打磨上,阿里云DDoS防护的技术、业务,走的是一条100%自研、自成长的道路。虽然对外商业化的时间是3年,但10多年对内保障的经历,让我们厚积薄发,借助云上优势,做到业界领先(https://www.aliyun.com/product/ddos)。
一、从保护阿里到保护客户:从业务实战中来,再到业务实战中去创新
阿里巴巴最早的DDoS防护系统是从电子商务淘系业务保障中发展而来的,随后又相继保障了像支付宝、优酷、新浪微博、陌陌、还有高德地图等翘楚企业,业务遍及全行业。
经过多年实践验证和技术积累之后,孵化出了阿里云DDoS高防产品,可轻松应对不同行业的各种复杂需求和场景。如今,我们在技术、业务和架构上,还不断保持着“实战、创新”的基因。从去年开始,我们正在发挥自身云计算的优势,针对政府、金融、游戏、互联网的多维需求,推出“一体化方案”。
例如游戏行业,我们借助阿里云自研“弹性安全网络”技术,推出了深入游戏业务的解决方案‘游戏盾’ —— 游戏盾独有的“分层而治”的思想,使用端上的秒级调度技术,让黑客在庞大的游戏盾安全大网中找不到攻击的目标,不用储备海量的带宽,也可以让业务的影响降低到很小的地步。(游戏盾的三次技术演进:https://linux.cn/thread-16530-1-1.html)
在架构上,基于阿里云CDN平台,结合 DDoS高防清洗资源,形成了一张分布式的安全加速网络,兼顾加速和大流量清洗防护需求。
二、清洗技术完全自主研发,根据业务需求快速更新迭代
基于自有技术,阿里云DDoS防护在云上构建了三大系统:检测、清洗、调度。
DDoS攻击检测系统:
自主研发DPI集群流量检测系统Beaver,提供DPI级别的秒级攻击检测能力,为攻击发现和攻击分析提供了最细粒度的数据基础,强大的集群可针对T级流量达到秒级识别攻击的能力,这也是阿里云可以更快的清洗大流量攻击的前提。
DDoS大流量清洗系统:
自主研发的T级清洗系统集群AliGuard,可以针对各种DDoS攻击类型提供相对应的防护算法。Aliguard部署在阿里巴巴多个业务场景中,其中丰富的防护算法和运营系统,可以高效的处理海量攻击,这套体系最为创新的地方在于其极高的效率,常见的流量型攻击几乎可以全自动做到100%的清洗。
智能调度系统:
实时流量检测,业务监测,自主研发的智能调度系统,可以根据线路质量实时地自动调度流量到最优转发线路,最快速度避免各级网络拥塞或突发的链路抖动对企业业务的影响,并具备多地灾备机房调度能力,实现机房级别的分钟级切换。
三、战略布局全球,将云的优势发挥到极致
目前,阿里云在全球18个地域建立了43个可用区,为全球数十亿用户提供可靠的计算支持,是亚洲规模最大的云计算平台 —— DDoS防护能力也成了全球企业的必备。目前,阿里云DDoS防护网络已经覆盖了全球主要区域,共13个大流量清洗中心,总清洗能力大于10Tbps。
云服务提供商中,在国内阿里云首家提供BGP高防,实现对超大流量攻击的防御;在海外,阿里云通过Anycast技术,整合分布式清洗能力并提高了业务的可用性,为全球企业保驾护航。
除了全球部署以外,阿里云的Anti-DDoS还有一大特点就是“默认防护”。也就是说,企业上云之后,就具备基础的“抗DDoS架构”,通过快速接入云上DDoS防护产品,就能快速开启能力,不用等,没有天花板。
攻击威胁情报也是基于云的优势实现的。阿里云每天抵御16亿次攻击,这些攻击特征背后的黑客情报,僵尸网络信息,输入到机器学习算法模型中,生成最新的攻击特征的分析,制定相应的防护策略。
四、厂商携手构筑生态链,实现云上云下结合
DDoS攻击是资源与资源的对抗,更是人与人的对抗。当黑客手中掌握着全球的僵尸网络资源,在对抗中往往需要联合更多的厂商一起协同,这也是作为服务商的一份责任。
阿里云非常重视全球合作伙伴的拓展,包括中国电信、中国联通、香港电讯盈科(PCCW)、绿盟、安恒在内的运营商和服务商,均与阿里云在Anti-DDoS领域达成紧密合作,一起为企业提供专业、一体化服务。(http://www.g.com.cn/tech/20523107/)
总结
目前,阿里云DDoS防护产品平均每天抵御 3000+起DDoS攻击事件,2017年,成功抵御的最大攻击峰值为758.6Gbps。然而,数字对我们来说,只是昨天的一个脚印而已,真正需要我们关注的是未来的威胁,和如何解决它。
我们发现,近几年来,随着反射型DDoS攻击的爆发,发起大流量DDoS攻击的成本越来越低,攻击也越来越大 —— 意味着攻防资源上的不平等情况将进一步被放大。
作为服务商,一方面,DDoS防护需要能调动全球资源,用分布式的方法,处理分布式的攻击;另一方面,要深入到行业、业务本身,“低到泥土中去”,才能想出创新的办法,提炼出有针对性的方案。最终,阿里云的DDoS防护想带来的改变是:撬动DDoS攻防的天平,让企业用更小的成本,在更安全的互联网中拓展业务。http://finance.jrj.com.cn/tech/2017/08/17152222954754.shtml