选择最佳DDoS解决方案三部曲之二—-按需云服务

此系列文章研究了DDoS防护措施的各种选项，帮助企业选择最适合他们的解决方案。此系列文章的第一篇介绍了本地DDoS缓解设备。本文将概述按需的云端解决方案。后续文章将介绍永远在线和混合解决方案。

[[228658]]

迁移到云端的优势

与部署单独的硬件设备相比，迁移到云端有很多优势：

保护云端应用：本地设备无法保护托管在云中的应用，因此需要基于云的防护措施。
容量更大：随着大流量DDoS攻击的规模变得越来越大，许多攻击都很容易超过典型的企业级DDoS缓解设备的容量。在这种情况下，云服务能够提供可以化解这些攻击的备用容量。
管理开销更低：与使用本地设备相比，频繁使用云服务所需的管理费用和人员都更少。
成本更低：DDoS缓解设备需要大量的前期资本支出(CAPEX)，而云端DDoS缓解服务的成本往往更低，并且可以以持续订阅的模式支付费用。这就使得客户可以根据自己的需求扩展(或收缩)他们的服务。此外，这些支出通常被归类为运营费用(OPEX)，对很多企业而言，这更容易分配。

然而，应该指出的是，云的便利性是根据更低级别的控制以及与可能限制企业向云端迁移能力的监管需求的潜在冲突而逐渐减少的。

按需：需要时才启用的DDoS防护

云端DDoS防护措施的第一个模式就是按需模式。在这种模式下，和平时期，流量通常会直接流向主机(即：未遭受到攻击)。然而，一旦确定了DDoS攻击，流量就会转发到云端DDoS缓解服务，该服务可以清洗攻击流量，并且只会将洁净流量传递给源服务器。顾名思义，这种类型的防护措施只会在需要时按需启动。

优缺点：

然而，按需模式也有一定的缺陷：

检测时间：按需服务的最大缺点可能就是不能提供100%的防护。多数按需服务可以根据大容量的流量阈值检测DDoS攻击。只有达到一定的流量阈值时，才会启动防护措施，这可能需要几分钟来累计数据并加以分析。在此期间，服务器可能就会被暴露。
转发时间：从开始转发到完成转发，可能需要更多的时间。转发时间由两个因素组成：开始转发的时间以及通过BGP或DNS表格传播所需的时间。尽管可以使用自动化或可编程(基于API)的转发技术将转发时间降至最低，但传播时间通常会脱离提供商的直接控制。
转发期间的延迟：一旦流量开始转发，所有对源服务器的请求都要通过云DDoS缓解提供商的网络发送，这就可能增加交易延迟。延迟的数量取决于清洗中心的位置、与源服务器之间的距离以及连接质量。然而，这一延迟只有在发生转发时才会继续，一旦转发结束，就会恢复正常。

注意事项：

就像购买本地设备(以及接下来要讨论的永远在线和混合模式)一样，是否选择使用按需防护模式取决于企业的具体用例和需求：

延迟：使用按需服务不会增加和平时期的延迟，因此对于那些对延迟敏感的应用而言，按需服务是有效的。
攻击频率：企业多久遭受一次攻击?如果企业只是偶尔遭受到攻击(或根本不会遭受到攻击)，那么在遭受到攻击时，按需服务可能就是一种比较划算的解决方案。然而，如果企业服务器经常遭受到攻击，那么不间断地转发流量可能并不是很有效，永远在线或混合服务可能会更好。
关键业务应用：企业应用是否是关键业务应用?按需服务通常需要几分钟时间来执行检测和转发步骤，在此期间服务器仍处在暴露状态。如果企业能在不引起重大损害的情况下化解这一风险，那按需服务就很好。然而，如果企业承担不起哪怕片刻的宕机代价，那么永远在线或混合解决方案可能会更好。

最适合的企业是哪些?

考虑到按需云端DDoS防护模式的优缺点，以下几类客户(或应用)可以选择这一解决方案：

然而，同样地，这种解决方案不太适合某些企业和应用类型：

持续遭到攻击的企业：持续遭到攻击的企业或应用，经常需要转移流量。在这些情况下，永远在线或混合服务可能更合适。
关键业务应用：关键业务应用必须始终可用，且无法承受任何停机时间的代价。由于按需DDoS防护措施通常需要几分钟来检测和转移，这可能就会导致可用性的短暂中断。如果这一个主要问题，那么永远在线或混合解决方案可能会更好。

对不需要持续防护的企业而言，按需云DDoS防护模式是一种比较划算的解决方案。对需要持续保护措施的客户而言，永远在线和混合云服务可以为他们提供这一类型的防护措施。本系列的下一篇文章将重点讨论这些替代方案以及最适合哪些企业使用。

文章来源网络，作者：运维，如若转载，请注明出处：https://shuyeidc.com/wp/121485.html<