全球最大內容交付網絡(Content
Delivery Network, CDN)營運商Akamai,近期為客戶推出增值安全解決方案 Kona Site
Defender。
Akamai金融服務首席策略師Rich
Bolstridge笑言:「以往客戶對Akamai的印象,不外乎CDN服務,兼具保安功能。如今Akamai可正式宣布,為客戶提供獨立的安全方案Kona,不必捆綁內容加速服務。」
其實Akamai承載全球30%互聯網流量,每季皆會由平台蒐集並分析數據,發布全球網絡狀況報告,加上擁有分布世界的網絡基建,於互聯網安全方面可謂獨具優勢。
防禦DDoS與應用層攻擊
近來分布式拒絕服務攻擊(DDoS)屢現本港,成為資安關註焦點。DDoS是以耗
盡頻寬或伺服器資源,最終令服務中斷的攻擊手法。對講求分秒必爭的金融服
務行業,DDoS所致業務與名譽損失難以估計。Bolstridge強調:「針對企業的資安威脅已無時不在,企業需要Always On的保安措施。」
若利用Akamai分布廣泛的平台Intelligent Platform,則可輕易消解DDoS攻擊突發流量,因在現有路徑上提供原生防護,毋須重新定向路由,能減低如流量清洗(Traffic Scrubbing)所致延遲,且平台任一邊緣伺服器皆可執行決策,應對反應可說極為迅速。
Bolstridge引一真實攻擊案例指:「Akamai 一名證券交易客戶網站受攻擊時,流量劇增170倍,高達26Gbps,但Akamai 為其分流超過99%頻寬,令關鍵服務不致中斷。」現時最高DDoS流量,即當年美國及南韓政府所遇124Gbps攻擊,也正是由Akamai平台負擔緩解。
Kona Site Defender僅透過80與443埠,傳輸有效HTTP與HTTPS流量,避免眾多網絡層面攻擊,如SYN及UDP泛洪( Floods)。但現時的應用層攻擊也多集中於80與443埠,令傳統用於監測底層協議的資安系統難以察覺,讓攻擊輕易通行。Kona安全方案 包括Web應用防火牆(WAF),深層封包偵測(Deep
Packet Inspection)功能可深入解析,攔截HTTP請求走私(Request Smuggling)、資料隱碼(SQL Injection)及跨站腳本(Cross-Site Script)等攻擊,用戶並可通過Edge Control Portal自行設定規則。
Kona也可保護企業免受較為隱蔽的HTTP緩慢客戶端攻擊(Slow
Client Attack),如Slowloris利用不完整請求,令Apache或其他Web伺服器等待,從而佔用線程,甚至毋須大量封包,即使較小流量亦能實現DoS攻擊。
除可預設黑白名單外,WAF也具備速率控制(Rate
Control)功能,監測個別IP位置發送請求的頻率,基於IP位置進行封鎖。Bolstridge補充:「短時間內流量陡增在金融業界極為常見,需要平時數倍頻寬應付,企業往往難以迅速響應。2010年5月6日Dow Jones指數異動,數分鐘內竟重挫近千點,引來大批網絡瀏覽,Akamai協助客戶處理高出平日10倍的流量,僅不到Akamai日常網絡流量1% 。」Kona能自動偵測無惡意的高頻率請求,不致一並封鎖。
此外,Kona方案也集成DNS保安功能,eDNS可避免直接暴露真實伺服器。
優化應用遞送
Akamai也同時為企業用戶推出Terra Alta解決方案,可於企業現有網絡架構內迅速部署,透過Intelligent
Platform為各種終端隨時遞送應用程式,改善公共互聯網傳送效能。
Terra Alta並利用網絡冗餘數據刪除技術(Web
Deduplication),節省應用遞送所須頻寬,同時以Akamai Instant功能,根據網絡分析數據,預先存取用戶可能讀取的網頁,令響應速度大幅提升。據悉,Terra將於四月中升級支援IPv6。
讀者可至以下網址觀看Akamai的模擬攻擊測試:
http://www.akamai.com/html/ms/rsac.html
沒有留言:
發佈留言