著眼於現代化企業持續推展數位應用,雲端原生架構已成為必然的趨勢,F5基於擅長的應用交付控制器(ADC)技術,建構分散式雲服務平台(Distributed Cloud Services,簡稱XC)。
XC平台不僅具備部署Kubernetes容器叢集的能力,同時具備DDoS攻擊緩解、網頁應用程式防火牆(WAF)、惡意機器人防禦、API安全等技術,以防範Layer 3到Layer 7的惡意攻擊。
DDoS手法轉變繞過資安偵測
F5台灣資深技術顧問歐自強指出,隨著數位應用方式日趨多元,企業IT演進到混合雲/多雲架構,安全性將成為影響營運業務的重要關鍵。根據F5日前發布的「2023年DDoS攻擊趨勢分析報告」報告統計,發現五大要點值得留意。第一,針對應用層的DDoS攻擊有著165%的驚人增長;第二,科技產業是受攻擊最嚴重的領域;第三,DDoS攻擊事件的總數下滑了9.7%;第四,相對於2020年,攻擊頻寬峰值上升了216%;第五,可以預見到更多的應用層級以及多向量的DDoS攻擊。
其中針對2022年的DDoS攻擊事件總數減少9.7%,歐自強認為,這個變化相當有趣,進一步的研究揭示,這其實是由於攻擊手法的改變所導致。他進一步說明,在DDoS攻擊的分類上,主要有四種型態。第一種是頻寬塞爆攻擊;第二種是通訊協定攻擊,如SYN Flood等,目的在於消耗網路基礎設施與系統資源;第三種是應用層攻擊,常見的有HTTP GET Flood、TLS重新協商、DNS查詢等方式;最後一種是多向量攻擊。
實際上,2022年的DDoS攻擊事件總數之所以減少,原因是被計入到多向量攻擊。攻擊者發動多向量的DDoS,須結合多種技術來增加有效性和複雜度。例如利用已知的漏洞、應用程式邏輯的弱點進行滲透,使得偵測機制難以辨識,提高攻擊成功機率。從DDoS攻擊趨勢分析報告中統計,針對應用層的攻擊次數成長高達165%,可發現攻擊者的戰略、技術與程序(TTP)的變化。
隨著自動化工具的普及,攻擊者開始轉向更技術性的攻擊,例如針對Layer 7發動,並利用合法存取請求來掩護非法行為,這使得傳統的防禦設備難以判斷真偽。這也是為何攻擊者開始使用多向量攻擊,以彌補單一攻擊手法的不足。
攻擊型態以應用層為主流
企業面對頻寬消耗、多向量的DDoS攻擊,大多採用內容遞送網路(CDN)服務供應商提供的流量清洗協助處理。CDN藉由在全球多個網路接入點(PoP)建置邊緣伺服器,及時過濾與攔阻惡意封包,使得頻寬資源耗盡式攻擊的成本變高。隨著數位化、雲端化的應用服務蓬勃發展,潛藏的漏洞或弱點數量變多,對攻擊者而言,轉向針對應用層發動DDoS攻擊反而更具成本效益。
歐自強觀察,自從2016年Mirai病毒出現,大規模感染網路攝影機,因而創造出令人印象深刻的Tbps等級DDoS攻擊。這也代表惡意攻擊者已有能力藉由大規模的殭屍網路來癱瘓標的,屆時恐影響數位化營運業務正常運行,所幸多年來Tbps等級的攻擊次數相當罕見。
根據F5的2023年DDoS攻擊趨勢分析報告統計,殭屍網路近三年創造的最高峰值,2020年為200Gbps、2021年1.4Tbps、2022年800Gbps。儘管前述提到,2022年相對於2020年攻擊頻寬峰值上升了216%,但是就F5實驗室分析三年來所有峰值的散佈圖來看,超過600Gbps攻擊量的事件數量並不多,大部分的DDoS攻擊都低於200Gbps規模。
因此歐自強認為,較貼近實際狀況的推論,應是攻擊者根本無須耗用過多資源即可達到癱瘓的效果。就F5監測的調查報告統計,頻寬消耗類型的DDoS攻擊規模,目前以1Gbps到10Gbps為主流,已足夠癱瘓攻擊標的。
全球自建邊緣運算節點建立防護網
從產業類別來看,DDoS攻擊影響最深的三大產業分別為科技業、金融業與政府機構。歐自強說明,不同產業受到的攻擊型態有所不同。儘管高峰值的攻擊型態仍然存在,但已經不再是主流,特別是金融業。台灣的金融機構投入了大量的資源來發展資訊安全防護,包括採用CDN或由電信營運商提供的攻擊流量清洗服務。攻擊者為繞過資安偵測機制,改以針對應用層發動攻擊,且這種情況正逐年增加。對此,F5設計的分散式雲架構XC,正可協助緩解應用層DDoS攻擊的風險。
F5 XC在全球26個主要PoP自建專屬服務端點,並透過F5的全球骨幹網路(Global Network)進行溝通,擁有超過17Tbps的網路流量清洗能力。歐自強指出,XC相較於傳統CDN架構的差異,在於XC可在客戶端自建一個稱為Customer Edge(CE)的服務節點,這個節點具備邊緣運算能力。
CE只要掛載到Hypervisor環境啟用即可。上線後會自動找到距離最近的PoP節點,建立節點之間的IPSec網路傳輸通道,這樣一來,部署在不同公有雲的應用服務,以及國際分公司,甚至是異地災備,都可以安全地互通。
歐自強強調,儘管DDoS攻擊威脅始終為數位應用服務無法迴避的風險,手法也更趨刁鑽難以精準識別,但透過CE機制,即使資源網站曝露,也能確保資源網站的安全。應用服務所產生的網路封包都需要通過CE檢查,即便再強大的DDoS攻擊,也只能癱瘓CE節點,而不能影響到實際運行的網站資源。
XC架構的另一個主要優勢是提供了先進的安全功能。與傳統的CDN只能提供基本的WAF功能相比,XC提供了一套全面的安全機制。例如,它內建了F5的最新人工智慧(AI)防護機制,這個機制可以自動學習並調整保護策略,有效地抵禦包括零時差攻擊在內的各種威脅。同時,XC支援自定義安全策略,企業可以根據應用服務的需求或網路環境調整安全配置。
此外,XC還具有完整的可視化功能。利用其提供的網路流量分析工具,企業IT或資安人員可深入洞察網路行為,進而追蹤潛在的資安問題。可視化能力不僅可以幫助企業提前發現問題、降低爆發攻擊事件,亦可達到網路應用加速的效果,兼顧用戶存取體驗。
若當前的網頁應用程式已採用微服務架構開發,且部署在Kubernetes容器叢集,可選擇把應用就近部署到F5 XC的PaaS平台。例如企業最容易遭受到攻擊的入口網站,不僅藉此確保用戶存取體驗,更關鍵的是解決應用伺服器位址曝露問題,徹底杜絕外部惡意組織運用自動化工具發動滲透、DDoS攻擊的機會。
文章來源:網管人