針對DDoS攻擊,政務云在公網入口部署了DDoS識別系統,可以自動檢測到攻擊行為,并且針對被DDoS攻擊的流量直接牽引后進行流量清洗回注進行防御。
分布式拒絕服務攻擊(DDoS攻擊)是一種針對目標系統的惡意網絡攻擊行為,DDoS攻擊經常會導致被攻擊者的業務無法正常訪問,也就是所謂的拒絕服務。對于此類攻擊來說,用戶除了自己架構做好全面的防護以外,仍需做好業務監控和應急響應,特別是對于風險的預估和預判,通過這些信息可以提前采購適合的商業安全方案。
方案說明
在本方案中,雖然阿里云電子政務云已經提供了安全防護措施,但用戶仍舊需要選擇多款阿里云產品及其自帶的功能來構建安全體系:
- 配置安全組:盡量避免將非業務必須的服務端口暴露在公網上,從而避免與業務無關的請求和訪問。通過配置安全組可以有效防止系統被掃描或者意外暴露。
- 使用專有網絡(VPC,Virtual Private Cloud ):通過專有網絡VPC實現網絡內部邏輯隔離,防止來自內網肉雞的攻擊。
- 優化DNS解析:通過智能解析的方式優化DNS解析,可以有效避免DNS流量攻擊產生的風險。
方案優勢
- 高性價比:無需采購全套安全產品便可以防護住大部分的DDoS攻擊,且給后續情況惡化時的進一步彈性升級預留了充足的空間。
- 體系完善:不僅從云平臺的角度,更考慮到了客戶業務的多變性和個性化,從而不用“一棒子打死”的粗糙手法確保了安全卻影響了業務。這種細分顆粒度的安全管控和以白名單、黑名單以及專有網絡隔離、賬號隔離的方式來進行管理維護。
- 運維輕松:運維人員無需時刻關注集群情況,而是可以通過云監控等報警信息來保持高效運維,并且可以通設定預案來面對緊急情況,例如資源的彈性擴容,DDoS防護的彈性增加等等。
- 使用安心:阿里云的機房資源可以幫助任意客戶在海量DDoS到來時進行防御,無需擔心阿里云本身無法承受。