ZTNA/SDP技术在DDoS防护领域的实践
2020-03-16 17:35:36 Author: www.aqniu.com(查看原文) 阅读量:350 收藏

ZTNA/SDP技术在DDoS防护领域的实践

星期一, 三月 16, 2020

自从2014年在云安全联盟峰会上提出了软件定义边界(SDP)的初始规范以来,SDP,也被Gartner称作零信任网络访问(ZTNA)的概念一直在不断发展。它的基本原理是在一个或一组应用程序周围创建基于身份和环境的逻辑访问边界,应用服务器被隐藏在一批SDP代理网关后面。在允许访问之前,代理验证指定参与者的身份,环境和是否遵守政策。这将使服务器不用暴露在公网中,大大降低了被攻击的可能性。

2019年,全球云安全联盟正式发布了”Software-Defined Perimeter as a DDoS Prevention Mechanism”,较为详细地介绍了SDP技术在Anti-DDoS方面的技术概要,以及针对具体的http flood、TCP SYN flood以及UDP反射攻击的具体防护原理。

传统的DDoS防御方案,是通过检测、转移、过滤等一系列步骤来缓解DDoS攻击,在攻击报文到达目标服务器前将其识别出来,一旦流量被识别出来有异常,就会被引导到过滤器,由过滤器决定是丢弃还是分析后放行。 这种方式需要增加入口带宽并在机房部署DDoS防护设备,基于已知的特征库,对访问服务器的流量进行规则匹配检测,并依靠网络带宽进行清洗来实现防御。

但是这种传统的方案只适用于对大流量攻击的缓解,对于畸形报文以及资源消耗性DDoS攻击,通常会被DDoS清洗设备放行很难被阻止。SDP从架构设计上就只允许真实的业务报文通过,同时丢弃垃圾报文。一般来讲,在SDP架构下真实服务器是被隐藏的,客户端与众多的SDP边缘节点联动,使得合法报文知道如何进入SDP网络,恶意流量将被SDP边缘节点丢弃。

被SDP保护的服务器在只允许被SDP控制器和SDP网关认为合法的报文进入,丢弃“非法”报文。SDP客户端和SDP边缘节点配合来识别“合法”报文。具体的实现机制是:

1. 部署大量的SDP网关来和终端连接,屏蔽客户服务器。

2. 终端用户必须通过一个唯一的终端标识码以及证书和加密密钥才能连接到服务器。

3. 用户通过预置在终端上的SDP客户端来建立与隐藏服务器的连接。

4. 客户端通过发送单包认证报文到SDP控制器和网关,由网关来检查用户本次连接的合法性。

5. 客户端发送的SPA信息与首次注册时收集到的终端信息进行对比。 如果设备和用户信息经验证都是合法的,用户则会被允许连接进入SDP网络。

6. SDP网关通知防护墙允许本次连接到隐藏服务器。

缔盟云于2017年研发的一款基于SDP理念的DDoS防护产品“太极盾”在技术实现上除了符合上述做法以外,还考虑到了SDP防御节点本身如果受到攻击,会导致被隐藏的服务器事实上无法提供服务的问题。同时,建立网络层隧道,降低应用层代理对业务的强耦合性,在敏捷性问题上做了较大的改进和增强,自上市以来,为累计2500万终端,近200万日活用户提供DDoS防护服务。率先将SDP理念在DDoS防护领域落地并取得成功。

太极盾防御DDoS原理及实现机制:

分布式部署SDP网关

在公有云上部署一系列SDP网关和SDP控制器,将服务器隐藏在后面。

验证设备

要实现零信任安全,要把控制扩展到设备级。终端用户需在请求中携带提供唯一的硬件标识码和客户端证书才能被授权进入。如果设备未经过验证,设备就不可信。如果用户用常用、可信设备访问,则有可信度。如果他使用一台越狱的手机或者模拟器来登录,那这个信任度就低。

验证应用

提取APP证书签名信息和设备指纹,确保仅合法终端和合法APP接入。客户端App中集成的太极盾SDK与SDP网关之间建立加密的IP隧道,只允许通过SDK接入的合法业务进入。

验证报文

应用创新的报文基因技术,确保每条报文都具备唯一的基因标识,SDP网关对每条报文进行可信验证,拒绝重放报文通过SDP网关进入网络。

自学习和自适应

SDP控制器收集用户的访问行为信息,形成日志数据库进行机器学习分析,进行设备访问策略的分类。

实践中总结的产品优点:

1. 去中心化:采用全云化的分布式架构,云防护节点可以做到自主调度,业务分流,无调度中心,全程无硬抗环节,完全摒弃了传统高防对带宽流量的依赖,防护无上限。

2. 彻底防御CC攻击:通过创新的报文基因技术,在用户与防护节点之间建立加密隧道,准确识别合法报文,阻止非法流量进入,因此能彻底防御CC攻击等资源消耗型攻击。

3. 全网BGP:超过16条线路的优质BGP网络环境,网络质量好。

4. 防御DNS攻击:客户端通过虚拟防护IP接入云防护节点,无需通过DNS服务器解析,因此黑客无法通过DNS服务器发起攻击或劫持。

5. 智能主动防御:可以智能识别并屏蔽恶意终端,使攻击处于自耗尽状态;智能调度云防护节点负载分担;基于细胞再生修复原理,云防护节点主动上线,自动接管业务,秒级切换。

本篇为缔盟云实验室原创文章,转载请注明出处。

基于SDP理念,构建弹性安全区域,打造一体化云安全平台


文章来源: https://www.aqniu.com/vendor/65225.html
如有侵权请联系:admin#unsafe.sh