DDOSクラウド保護プログラム、3つの要素と4つの提案！

CDN5がクラウドDDoS保護を提供する方法

DDOS攻撃に対応するため、CDN5は、ネイティブまたは統合された方法でターゲットを保護するために使用できるクラウド保護サービスを開発者に紹介します。 Defense-in-Depthネットワーク保護モデルの最外層として、DDoSクラウド保護サービスは、クラウドネットワークインフラ全体の可用性と回復力の向上に役立ちます。 
DDOSクラウド保護とは？
物理ハードウェアとローカルリソースに依存する従来の保護とは異なり、DDOSクラウド保護は、クラウドインフラストラクチャを活用し、分散クラウドリソースを使用してDDOS攻撃トラフィックを検出、軽減、吸収してDDOSを防御するセキュリティソリューションです。
クラウドベースのDDOS防御の仕組み：クラウドプロテクションセンターは、トラフィックをクラウドベースのクレンジングセンターにルーティングし、分析、検出、吸収を行い、悪意のあるトラフィックを遮断し、正当なトラフィックをソースに戻します。 クラウドプロテクションのレスポンスタイムは、トラフィックがまずクラウドを通過する必要があるため、従来のDDOSプロテクションに比べて比較的遅い。 しかし、クラウドベースの DDOS 防御の利点も以下のように明らかです：

柔軟なスケーラビリティ：DDOSクラウドプロテクションは、CSPの広範なインフラストラクチャをベースにしているため、動的にスケーリングしてメガアタックから保護する柔軟なスケーラビリティを提供します。

インテリジェントな検出：クラウドで開発された機械学習アルゴリズムと行動分析に基づいているため、ローカルの保護では見逃される可能性のあるアプリケーション層のDDOS攻撃にも正確に対処できる。

低コスト：CSPの豊富なリソースを活用することで、クラウドプロテクションはプロテクションコストを効果的に削減できます。

柔軟な展開: ISPの標準化された製品と比較して、DDOSクラウドプロテクションプロバイダーは、ユーザーの要件に応じてソリューションをカスタマイズすることができます。 

 DDOSクラウド・プロテクションを選択する際には、以下の要素を考慮する必要がある。

1.コスト：現在の市場には、量課金制と月額固定課金制がある。 基本的に、攻撃がなければ量課金制の方が当然費用対効果が高く、攻撃があれば量課金制の方が高額の請求につながる可能性がある。 また、DDOS防御のコストは、価格だけでなく、価格性能比を参照すべきである。
2.プロテクションプロバイダーのプロ意識：例えば、CDN5は長年DDOS攻撃と戦っており、一度も負けたことがありません。一方、他のサービスプロバイダーは新興企業に属していたり、DDOSプロテクションの経験が少なかったりするため、プレッシャーテストやトライアルの前に選択する必要があります。
 3.応答性。中国のユーザーは、可能な限り、プロの中国の技術サポート会社などのCDN5に選択した場合、サービスの安定した運用を確保するために、タイムリーな問題解決、24時間365日の応答サポートを提供することができます。

コアポイントは、DDoS攻撃を防ぐために

1.マルチレイヤーの保護を実装する 
約5-10年前、DDOS攻撃は一般的に3-4層（ネットワークトランスポート層を攻撃）であり、今日のDDOS攻撃は、異なる層（ネットワーク層、トランスポート層、セッション層、アプリケーション層）またはマルチレイヤ攻撃の組み合わせ全体に広がっている、さらには、攻撃者が偽造され、新しいメソッドのいくつかのバリエーションは、非常に複雑な攻撃を計画しています。 したがって、DDOSの予防は、CDNサービスプロバイダの選択は、サービスプロバイダは、スケーラビリティの柔軟性を持っている必要がある場合、マルチレイヤーの保護プログラムを実装する必要があります。 読む：一般的なDDoS攻撃の種類 
2.攻撃タイプのインテリジェントな識別 
一般的に、DDOS攻撃の3つの一般的なタイプは、レイヤ7、アプリケーション層とHTTPフラッディングであり、応答の手動分析に基づいて、非常に遅いですし、インテリジェントな識別が迅速に攻撃の種類を検出することができ、正の特性に応じて、特定のURLやトラフィック、IPアドレスをフィルタリングするなどの防御メカニズムを有効にすると、効果的にサービスの開始時に攻撃の影響を軽減することができます。
3.攻撃の表面への露出を減らす 
DDoS攻撃のリスクを最小限に抑えるためには、攻撃者への露出を減らすことが重要です。 効果的な戦略をいくつか紹介します： 
ソースIPを隠す：CDNにアクセスすることで、ソースIPの露出を隠す。
ネットワークの分離：例えば、ウェブサービスをパブリックネットワークに置き、データベースサービスをプライベートサブネットに置き、データベースは非所有のホストからアクセスできるようにする。 
地域制限：一部のサービスが提供されていない地域からの訪問者を制限する。
手続き上のセキュリティ：不要な機能を削除し、アプリケーションやウェブサイトを純粋な状態に保ち、あらゆる種類の不要なポートを削減する。 
4.ブラックホール・ルーティングの実装 
ブラックホール・ルーティングは、悪意のあるトラフィックがターゲットのネットワークやサーバーに到達する前に、そのトラフィックを遮断するために使用される技術です。 これには、「ブラックホール」として知られる空のインターフェイスにトラフィックを送信するようにルーターやスイッチを設定し、トラフィックを効果的にドロップすることが含まれます。 ブラックホール・ルーティングは通常、攻撃元として特定された特定のIPアドレスまたはサブネットからのトラフィックをブロックするために使用されます。 

この記事はCDN5技術部エンジニア／アンガスによって書かれました。