DDoS防御：選擇CDN還是混合策略

在各種DDoS防御方案中，有些企業會選擇內容交付網絡（即CDN）服務商。CDN服務商固然在分布和帶寬方面有優勢，可以幫助抵御DDoS攻擊，但作為專用托管型DDoS服務同樣存在缺點。

一方面，安全并非CDN提供商關注的重點。CDN核心業務是內容和應用的交付。攻擊調查、對策開發和威脅情報對他們來說是次要任務。另外，CDN提供商可能缺乏相應的專業技術來研究、分析和了解攻擊的性質并提前提出安全建議。

CDN的首要保護對象是所托管的服務。如果遇到勢不可擋的超大規模攻擊（這種攻擊目前越來越常見），CDN可能無法保護所有客戶的資產，部分客戶必定會受到威脅。CDN啟動自動應對時還通常會造成合法流量遭受攔截。由于CDN DDoS緩解策略經常利用靜態篩選器和Web應用程序防火墻(WAF)，在保護云服務方面通常缺乏靈活性和智能性。

“永遠在線”(Always On) 并非永遠都好

CDN承諾的“永遠在線”保護看起來很好，但深入研究會發現一些問題。“永遠在線”可能意味著緩解系統持續監視所有流量，并主動檢查和自動觸發攔截（“永遠緩解”），或只監視流量并被動檢查，按需檢測可能的攻擊并觸發緩解操作（“永遠監視”）。了解兩者之間的差異，以及提供商提供哪一種服務十分重要。

如果是“永遠緩解”，則需要最大程度地緩解攻擊并同時降低對合法流量的影響，兩者之間的平衡問題值得評估。“永遠在線”緩解的間接負面影響不僅僅是誤報。不必要的流量檢查還可能會造成服務延遲。在“永遠監視”情況下，用戶可能會喪失對攻擊檢測策略和響應時間的可見性。用戶或許能夠避免不必要的緩解，但另一方面，也會錯過相關攻擊提示。此外，旨在檢測容量攻擊的“永遠在線”解決方案也有可能錯過小規模的應用層攻擊。

“永遠在線”保護模型需要復雜的流量均衡以緩解DDoS攻擊同時保護客戶的正常操作。這并非微不足道，在最近觀察到的大規模攻擊情況下，可能會對未受攻擊的客戶造成緩解影響，或者將受攻擊的客戶隔離為整個CDN容量中的各個子集。客戶應仔細評估永遠在線提供商是否具有可擴展架構來緩解對部分客戶的攻擊，同時對其他客戶不造成任何影響。

混合DDoS解決方案

越來越多的行業分析師和專家將混合安全解決方案作為DDoS保護的最佳實踐。混合策略包括永遠在線的本地部署、專門的檢測系統，以及具有按需使用、基于云端緩解功能的緩解系統。大多數攻擊規模較小，能通過本地檢測和緩解。本地設備對應用程序流量的熟悉程度也高于CDN DDoS解決方案，因此能夠更好地識別流量模式中的異常情況。只有在攻擊明顯超過本地設備的容量時才會自動觸發云端緩解。因此，云組件沒有必要“永遠在線”，從而節省成本并節約容量，更好地防御實際攻擊。

成本可能是CDN DDoS 提供商的主要優勢之一。但混合解決方案會更經濟。虛擬技術可取代昂貴的硬件。混合解決方案可在DDoS專家支持下部署為完全托管服務，降低內部IT空間和安全人員需求，從而降低整體成本。

另外，CDN解決方案通常主要依賴于自動操作。如今的攻擊者異常狡猾。盡管自動檢測和緩解功能至關重要，還需要思維和智慧都超越惡意操作者的富有經驗的專業團隊才能阻止攻擊。由于具有強大的威脅情報網絡和深入的研究計劃，混合技術解決方案的有效性將高出許多倍，這些優勢更有可能在專業的DDoS安全專家中找到，而不是將安全作為次要因素的一般CDN提供商。

此外，混合解決方案更為經濟適用，具有意想不到的成本效益。如今，本地防御可以采取虛擬方式。通過利用完全托管服務，可以降低人員需求，從而削減整體成本，用戶只需為實際使用的云容量買單。