DDoS 防護 企業的需求
DDoS 簡介
首先先簡單介紹一下DDoS是什麼,DDoS是分散式阻斷服務攻擊(distributed denial-of-service attack)也是一種常見惡意網路攻擊,利用大量的網路流量資源,使目標伺服器不堪負荷,從而導致目標伺服器、服務和網站停止服務。
簡單來說,可以想像是靠著大量殭屍裝置不停的訪問你的網站,造成網站無法發揮作用。
就像是搶五月天演唱會的票,購票網站會突然卡住造成普通頁面瀏覽的不行。
這種攻擊目標不限於網頁,像是應用程式、APP、股票交易平台都有可能是對象。
至於這些殭屍裝置是怎麼來的,駭客透過先植入木馬入侵其他受害者電腦、IoT設備或是購買便宜雲端VM,駭客平常不發動攻擊時,這些裝置也一如既往給原使用者使用,一旦發動攻擊只要下指令,一般受害者電腦也成為了攻擊武器,俗稱「肉雞」。
DDoS 是現代的世界大戰
現今的資訊發達,時不時就會有大型公司被DDoS攻擊造成XXX的新聞。
大型企業、投資證券業、金融業更是受到駭客攻擊的常客,因此政府開始規範了一些法規,包含明訂資訊單位需在內部的事前準備,以及事情發生時的通報流程和最後事後處理,因此如果只是一般的導流防禦還不夠的,還需要配合紀錄日誌檔案來做之後對上級機關的報告。
像是美國國家標準與技術局(National Institute of Standards and Technology, NIST)所制定的資安事件應變程序生命週期,就有提到於DDoS攻擊過後需有紀錄日誌檔案,以利爾後備查使用。
目前 DDoS 防禦企業使用的模式
| 常駐型防護(Always on) | 動態防護(On demand) |
|---|---|
| 常駐型防護(Always on)常駐代表即使沒有發生DDoS攻擊,網路流量平常也會自動於清洗中心設備進行過濾,對於DDoS防護會是即時反應。用戶不用擔心線上服務會因為遭受攻擊導致停擺,單位服務會有最高的服務水平。 | 動態防護通常是先有自動偵測告警,一旦DDoS攻擊時,告知客戶發生攻擊現象並徵得用戶同意後(依據合約與付費條款),再將網路流量導至清洗中心設備過濾。通常反應時間會在30分鐘以後,才會開始執行。單位服務會遭受攻擊影響導致中斷,常有攻擊後續事件新聞發酵陣痛。 |
公有雲的 DDoS 防禦方案比較
| 品牌 | Microsoft Azure | Google GCP | Amazon AWS | |||
|---|---|---|---|---|---|---|
| 公有雲 |  |  |  | |||
| 方案 | Azure DDoS 保護 | Google Cloud Armor | AWS Shield | |||
| 模式 | Always on | On demand | Always on | On demand | Always on | On demand |
| 付費 方式 | 月繳 | 即付即用 | 月繳/一年約 | 即付即用 | 月繳/一年約 | 即付即用 |
| 價格 費用 | 每月US$2,944 | 無 | 每月US$3,000 | 無 | 每月US$3,000 | 無 |
| 資料傳出使用費另計 | 資料傳出使用費另計 | 資料傳出使用費另計 | 資料傳出使用費另計 | 資料傳出使用費另計 | 資料傳出使用費另計 | |
| 保護 資源 | 100項 | — | 100項 | — | 1000項 | — |
| 以上來源取自於網路資料202209 https://cloud.google.com/armor/pricing https://aws.amazon.com/tw/shield/pricing/ https://azure.microsoft.com/zh-tw/pricing/details/ddos-protection/ ※保護資源超過會另計費用 | ||||||
在公有雲上,有保持彈性的即付即用模式,用多少付多少的概念很合理,但對於企業來說資安防護的預算會無法掌握,有時可能因為單一事件費用遽增,設想一下,如果今天公司帳單突然變成七萬元,這時候資安長就很難跟公司解釋,更別說還要提出一份報告,而且面對威脅時,資安人員必須當下反應發現,來手動做設定,反應時間便沒有常駐型方案來得即時,所以接下來下個章節就會提到更適合的產品品牌,對於事後發生時報告紀錄會比較容易匯出整理的。
DDoS 常見的業者
| 品牌 | 中華電信 | Cloudfare | imperva | Edgio | |
|---|---|---|---|---|---|
 |  |  |  | ||
| 方案 | DDoS防護服務 | Enterprise 方案 | DDoS Protection | App Security | |
| 模式 | Always on | On demand | Always on | Always on | Always on |
| 付費 方式 | 年約 | 月繳基本費 防護啟動收費 | 月繳/一年約 | 年繳/一年約 | 月繳/一年約 |
| 方案 模式 | 採專案報價 | 月繳基本主動監控與通報 | 採專案報價 | 採專案報價 | 每月US$2,200 |
| 資料傳出使用費另計 | 加購DDoS防護處理費 依資料傳出使用費 動用才計費 | 1TB網路傳輸量方案 (起) | 20Mbps乾淨流量(起) | 1TB網路傳輸量方案(起) | |
| 保護 網域 | 自訂 | 5項 | 自訂 | 自訂 | 自訂 |
| 受保護 流量 | 專案處理 | 30G以下 | 1Tbps以上,無限流量 | 1Tbps以上,無限流量 | 1Tbps以上,無限流量 |
| 以上來源取自於網路資料202209 https://www.cloudflare.com/zh-tw/plans/#overview https://www.imperva.com/blog/affordable-ddos-protection/ | |||||
政府公家單位常使用
因為符合法規,可以交付紀錄日誌等報告,所以目前一般大型企業、政府比較會採取的模式是購買Cloudfare、imperva、Edgio專案的年約,其他預算比較有限的單位也會選擇中華電信的DDoS防護,但一般來說,僅是偏向應付要求,因為我們都知道真正發生攻擊時,30G的保護流量還是有機會被攻破的,尤其是近年來的攻擊事件,因此承受流量這點也是企業需要考量進去的。
價格費用昂貴,方案品牌眾多,該如何選擇?
齊瑞科技多年來作為政府機關、企業的資安解決方案顧問,依照各個機關擬定適合的方案,在有效的預算內滿足客戶規格上的需求,除此之外,資安也可以全權委外給齊瑞科技作為託管,託管的情況下,企業在方案的價格上會較為優惠,且更不需要額外的資安人力來隨時監控資安狀況,一旦公司受到攻擊,齊瑞科技第一時間會進行反應,和直接抵禦攻擊,並在攻擊過後給予完整的報告內容於單位,以便單位去上繳稽查報告。聯絡我們!
更多建議指南
還需要更多資安建議,不妨與我們聯繫,免費和我們索取2022年DDoS防禦對策的白皮書,感謝觀看!聯絡我們
齊瑞科技 | 您網路安全的守門員
齊瑞科技擁有專業超過20年IT團隊,提供全方位解決方案,應用領域包含政府、教育、金融、醫療、電商、遊戲、科技。並導入國際知名公有雲服務與機房代管,串聯私有雲、混和雲,因應日新月異資安問題,亦有CDN、DDoS及弱點掃描,致力於帶給您最佳解決方案!
針對各個企業齊瑞科技除了提供上述各大業者的方案以外,也有提供DDoS託管的模式,由齊瑞科技單一窗口與客戶簽約,管理企業所要保護的資源,選擇適合的防禦業者品牌來代管,價格會比企業自行購入經濟,且由齊瑞科技監控防護,節省IT維運成本,並能在第一時間作障礙排除和調整設定,定期由齊瑞科技提供報告,以便相關單位之稽查。
