后疫情时代网络攻击局势剖析

与疫情独特倒退的网络攻击

自从 2020 年以来，寰球突发新冠疫情，抗击疫情成为各国最紧迫的工作。不论是在疫情防控的相干畛域，还是在近程办公、教育、医疗及智能化制作等生产生存畛域，大量新型互联网产品和服务应运而生，在帮忙疫情防控的同时，也进一步推动了社会数字化转型的过程。

疫情与防疫工作进展的同时，相干 IT 零碎的安全漏洞、数据泄露、网络欺骗、勒索病毒等网络安全威逼日益凸显进去，有组织、有目标的网络攻击局势越来越显著，为网络安全防护工作带来更多挑战。

依据相干报告显示，与新冠疫情相干的网络钓鱼和恶意软件攻打数量急剧减少，从 2020 年 2 月份的每周有余 5000 次激增至每周超过 20 万次。此外，随着疫情高峰期已过，各国开始解除防疫封禁措施，攻击者也随之加大了与新冠疫情相干的攻打。与年初相比，年中时寰球所有类型的网络攻击总量减少了 34%。

DDoS 攻打低头，勒索（RDDoS）攻打流行

通过进一步分析攻击态势能够看到，在各种网络攻击形式中，DDOS 攻打依然是被黑客应用最多的攻击方式。

DDOS 攻打是一种通过海量分布式客户端模仿流量拜访业务，导致被攻打业务带宽和计算能力 被占满，而无奈提供服务的攻击方式。DDOS 攻打的目标也从最开始的歹意竞争、报复攻打等更多转化为勒索攻打。

在一份调查报告中显示：“2020 年第四季度，RDDoS 也就是 DDoS 勒索攻打数量激增，起因一方面是自称为 Fancy Bear 等多个黑客组织希图勒索全世界各种组织机构。黑客犯罪团伙开始尝试通过 DDoS 勒索攻打，来取得比特币模式的赎金。”

为了榨取更多的比特币赎金，RDDoS 勒索攻击者在攻打规模、频率和指标多样化方面一直进步规范。2021 年一季度检测到已知最大的勒索 DDoS 攻打，峰值带宽达到 800Gbps，指标是一家欧洲赌博公司。

能够看到 DDoS 攻击者始终在跨地区和跨行业方面进行多样化尝试。四年前，大多数 DDoS 攻打指标是游戏公司。现在，零售商、电信、ISP 服务商、金融企业和教育组织都成为了 DDoS 攻打的指标。从上面这张剖析图表中，咱们能够看到两头绿色的游戏行业被攻打占比，已逐步与其余行业拉平。

云平台成为首要攻打指标

随着各行业务一直开始应用云技术，产生在我国云平台上的网络安全和威逼事件数量始终放弃着较高的增长态势。有报告显示，国内云平台上的各类网络安全事件数量占比拟高，其中云平台上蒙受大流量 DDoS 攻打的事件数量占境内 DDoS 攻打事件的 74%。

其次，攻击者常常利用我国云平台发动网络攻击，在泛滥网络攻击事件中，云平台作为管制端发动的 DDoS 攻打事件数量，占境内所有 DDoS 攻打数的比重已高达 81.3%。云平台已成为了次要的网络攻防战场。

2021 年，国家推出了新的《数据安全法》，加上之前颁布的等保合规等平安制度也在进一步贯彻落实中，这表明国家对网络安全、数据安全也越来越器重，企业构建本人的平安体系已迫不及待。

平安产品介绍

那么面对后疫情时代一直倒退的网络攻击态势，以及愈演愈烈的 RDDOS 勒索攻打，青云科技又将为咱们的用户提供怎么的平安能力来应答网络安全威逼与挑战？

如何利用云计算易于部署、疾速迭代以及弹性伸缩的劣势，将挑战转化为进步组织平安能力的时机？这是近年来青云科技在一直尝试和致力的方向。

在过来一年中，随着更多用户抉择青云、抉择拥抱云计算，各行各业上云的用户都须要借助云的平安能力来构建平安架构。那么青云也倾力打造了数款网络安全产品，来帮忙用户构建他们的平安体系。

DDOS 防护 高防 IP

面对一直增长的 DDOS 攻打数量以及越来越高的攻打峰值，企业已无奈依附传统储备带宽加 洽购荡涤设施的形式来应答。

青云高防 IP 服务，采纳的专用高防机房，用户将共享 TB 级海量防护带宽资源，联合云化的流量荡涤集群，为用户提供海量 DDOS 防护能力。

集群内置了高性能网络流量监测零碎，实时监测黑客对用户高防 IP 发动的攻打，从而疾速启动荡涤零碎进行大流量封堵，同时保障业务实时可用。对于复杂多变的利用 CC 攻打，咱们还提供了专门针对游戏业务的游戏 CC 进攻，以及其余应用层 CC 攻打防护，满足多样化的攻打类型防护。

并且，高防 IP 服务外部为用户提供云平台负载平衡能力，来承受通过荡涤之后洁净的回源流量，并转发给源站。最大化缩小对源站的流量压力。

高防 IP 后盾提供运维治理界面，不便用户实时查看攻打状况，并作出相应调度。

要害能力

总结一下，青云高防 IP 服务要害能力包含：

第一，即时易用性。 反对多运营商线路接入，防护各线路攻打流量的同时，最大化保障所有用户的失常业务拜访。当产生攻打时用户能够疾速接入。而随着攻打等级的逐渐晋升，用户通过弹性防护带宽能够立刻晋升防护能力。

第二，防护能力强。 全国 7 个以上荡涤节点，攻打流量就近引入荡涤节点，整体时延小于 50 毫秒。总体防护带宽 4T，复线最大防护带宽高达 2TB。从 4 到 7 层全流量 DDOS 攻打进攻，反对多种利用 CC 攻打防护。

第三，接入便捷。 反对域名 DNS 指向接入，用户只须要批改 DNS 配置即可。对于非网站类业务例如游戏、视频等，反对 IP 接入，用不同端口回源不同服务。

第四，高可靠性。 不同机房流量切换，以及跨机房线路调度能力，放弃链路通顺。高防专家 7*24 小时服务，为蒙受简单攻打的用户提供专家反对，保障业务稳固运行。

劣势

同时高防 IP 具备单 IP 超大带宽性能劣势，单 IP 最高可达 2TB 防护带宽，实时下单购买实时开明防护带宽。最大可按需定制 7T 防护带宽。

另外，荡涤零碎具备高稳定性劣势，单台荡涤设施能力靠近 2TB。采纳运营商级别硬件设施，运行更加稳固，单荡涤机房节点提供相当于 70 台物理服务器集群的荡涤能力。

采纳机器学习业务模式，默认反对 60 多种进攻模型，并依据业务流量进行周期性自学习，能够将学习后果主动利用到进攻阈值。通过机器学习全网业务模型，依据失常业务流量特色反推攻打流量特色，从而精准辨别失常流量和攻打流量，用人机辨认的形式封禁攻打源。

并且，高防 IP 有海量的情报分析过程，每周自动更新特色库，对于新型攻打将进行实时抓包 提取攻打特色。

利用场景

高防 IP 的典型利用场景，包含传统棋牌类游戏客户，这类业务通常须要面对大流量攻打防护，以及四层 CC 攻打防护。

而互联网金融、电商以及大数据分析网站，除了大流量防护，则更多须要七层 CC 防护能力。

政府与企业的互联网进口、门户网站等等，个别不须要太高的防护带宽，须要根底的七层 CC 防护，以根本满足等级爱护要求、网络安全法合规要求即可。

CFW 云防火墙

接下来是咱们行将上线的云防火墙产品，这是一款纯 SaaS 化的云防火墙，以服务化的形式让用户能够更不便的接入业务流量。实现同一用户在不同分区、不同公有网络的公网 IP 资产，对立的在云防火墙控制台进行治理和监控。

用户开启云防火墙服务后，会主动同步云资产到云防火墙控制台，用户只需一键开启防护，即可实现业务流量接入。

利用云防火墙弱小的利用流量剖析能力，用户能够细化配置从云内到云外、和从云外到云内的利用拜访拦挡规定。规定可配置的维度不仅包含了源和目标 IP、端口等 5 元组信息，同时借助高性能的 DPI 深度包解析能力，对利用流量进行辨认，并设置利用协定的拦挡规定，让用户更精准的设置流量拦挡策略。

另外，策略也反对工夫维度管制，反对在不同时间段设置不同的拦挡策略，满足业务高峰期、低峰以及应急场景下的不同防护策略规定。

除了更精细化的拜访拦挡策略，云防火墙也提供了丰盛的 IDPS 入侵防护能力。据 Gartner 报告指出企业面临的网络攻击中有 70% 来自应用层，传统防火墙以及利用安全设备性能繁多，面对简单的应用层攻打往往顾此失彼

而 QingCloud 云防火墙在蠕虫病毒、后门程序、木马病毒、特务软件、Web 攻打、拒绝服务等攻打的进攻方面，具备了欠缺的检测、阻断、限流、审计报警等进攻性能。

咱们的平安团队也在随时关注着业界最新发现的安全漏洞和来自用户反馈的攻打特色信息，在第一工夫做出响应和提供更新，实时欠缺攻打特色库，提供及时、全面的入侵进攻规定。

另外，平安产品事件日志也是平安运维中的重要参考，平安工程师须要通过平安日志实时把握攻打状况，并对防护策略做出调整。借助云防火墙日志零碎用户能够查问剖析安全事件日志，或将日志发送到集中的日志治理平台，实现对立的平安运维治理。

同时，借助云平台的弹性扩容能力，用户能够按需的开明防护带宽。云平台将按用户购买的 规格为云防火墙调配计算和网络资源，为用户节省开支的同时满足不同等级的防护需要。

当用户业务快速增长的时候，能够降级云防火墙规格，实现更高防护能力。相较于传统安全设备一次性洽购、一次性投资的形式，以及动辄须要批改网络架构的扩容操作，云平台最大化满足了用户弹性扩容需要，同时帮忙用户节俭了不必要的性能冗余开销。

KMS 密钥治理服务

网络安全最终的目标还是保障业务数据的平安与可用，数据加密是保障业务数据安全的无效方法。

而在数据加密过程中，加密操作自身往往并不简单，简单的是加密密钥的长久化保留、以及如何防止密钥泄露。

为了解决用户的数据安全加密需要，以满足等保合规中的数据安全要求，青云提供了云原生的 KMS 密钥治理服务。以跨区高可用部署的形式，为用户提供一站式密钥治理解决方案。

KMS 的次要性能包含用户主密钥也就是 CMK 的创立和治理，用户能够为不同业务 以及 云服务创立 CMK。利用自定义 CMK，用户能够定义本人的云主机、云硬盘、镜像等 云资源的加密密钥，合乎等保合规的同时减少了数据安全性。

在应用用户主密钥 CMK 对云资源进行加密的过程中，密钥不会被发送到云平台以外，而是通过用户主密钥，实时产生一个 加密业务密钥，对资源进行加密。

而 CMK 自身在 KMS 服务中会被用户的根密钥进行加密保留，仅在应用过程中以明文模式加载至内存中。层层加密从而最大化防止主密钥被裸露的危险。

同时，KMS 反对对用户主密钥的别名设置，以及主动的轮转周期。当密钥达到应用周期时，能够通过别名手动更新密钥内容，或者设置主动轮转，到期主动更换密钥内容。

以上种种密钥性能除了能够通过控制台页面进行操作以外，KMS 还提供全量的 API 接口，用户能够通过 API 实现所有密钥操作。不便用户在利用开发过程中应用 KMS 提供的密钥治理性能。

用户无需本人手动部署独立的 KMS 服务。

而联合密码机计划 KMS 能够提供金融级的密钥爱护能力。

托管与审计

通过应用 KMS 密钥治理服务，咱们为用户提供齐全托管式的密钥治理计划。不须要额定的服务器，或者专门的密钥零碎的保护人员。

简化了加密过程，用户在利用开发中 能够专一于业务开发，不须要关注密钥的平安存储、和简单的多层密钥管理体系。

通过 KMS 的密钥操作日志，用户能够对密钥的应用状况进行审计，找出违规的密钥应用操作。

而密钥在整个应用过程的继续加密存储，使得密钥内容能够不被泄露。

联合别名与主动轮转性能，用户能够定时主动或手动刷新密钥内容。

利用场景

KMS 典型的利用场景包含等保测评，合乎相干的业务数据保密性要求，同时满足云计算拓展要求中用户自定义密钥的能力。

在金融客户中，能够联合外置 加密机打造金融级三级密钥管理体系，全方面撑持智能卡加密、卡明码加密传输、终端替换工作密钥，以及业务零碎节点间的工作密钥加密爱护等场景。

对于开发者而言，KMS 能够为 K8s Secret 对象类型的落盘加密 提供密钥。

须要本地加解密数据的利用，KMS 反对以信封加密的形式提供数据密钥，用户能够在本地保留加密后的数据密钥。而一些 SSL 私钥、敏感配置文件能够应用在线加解密 API 接口，来疾速实现文件的加解密。

QingCloud 云原生的网络防护计划

以上就是咱们的平安新产品介绍局部，上面与大家分享几个罕用的网络防护计划与最佳实际。

DDOS 高防 TB 级海量带宽防护

首先，咱们举荐用户将容易蒙受 DDOS 攻打的业务接入高防 IP。

当用户将业务 IP 切换到高防 IP 时，会依据用户的抉择为其开启某个运营商专用大流量线路、或者 BGP 多线线路，将流量就近引入高防荡涤节点。

高防节点外部对流量进行分布式荡涤，按不同协定类型开启四层到七层流量荡涤。防护能力包含 SYN Flood、ACK Flood、UDP Flood、ICMP Flood、以及连贯耗尽攻打等多种泛洪攻打类型，并对七层利用开启 CC 攻打防护。

荡涤过后的失常业务流量将返回云平台，用户能够将回源地址绑定到负载平衡上，通过一层负载后，将流量转发至其余云服务器主机，保障业务实时可用。

SaaS 化 云防火墙，双向入侵防护

通过高防 IP 的一道荡涤之后，能够开启云防火墙作为云内的防护入口。

利用云防火墙的 IDPS 入侵检测能力，能够及时发现一些小流量的入侵尝试，并收回告警提醒。您也能够开启入侵检测拦挡，将攻打拦挡在云防火墙之外。

开启云防火墙后不仅能够拦挡云外的攻打流量，还能够及时发现云内的后门程序外联，防止黑客通过后门程序窃取用户数据或作为入侵内网的跳板。

当用户通过安全事件日志发现疑似入侵、或疑似木马病毒后，能够及时设置内访外、或外访内的拦挡规定，在破绽被修复前迅速将可能的攻打排除在业务之外，将危险和损失管制在最小范畴。

虚构网络整体平安隔离机制

CFW 云防火墙还能够联合平安组、公有网络 ACL、以及云内虚构路由器等性能实现多层次的网络隔离和入侵检测

当客户拜访业务 的流量通过公网 IP 达到云环境，未开启防护的流量会通过虚构路由器转发达到指标网络，而开启防护的公网 IP 流量则被引入至云防火墙。

云防火墙外部 别离有进口方向和入口方向 的应用层访问控制模块，对流量进行拦挡。并检测 入侵流量，实时拦挡疑似的攻击行为。

通过云防火墙拦挡规定后，流量将通过公有网络的 ACL 规定。在这里用户能够设置不同网络之间的拜访规定，仅容许必须的网络间互访。

最初，通过用户设置的平安组规定能够细化的配置主机的拜访策略。对主机的上行和上行流量别离设置不同的 IP/ 端口组。仅裸露必须的业务端口。而外部服务端口能够通过源地址规定，限定仅内网地址拜访。

多重防护 构建云原生平安

联合以上多个平安产品与计划，咱们为用户提供了多重网络安全防护能力，构建起云原生的平安体系。

云外的攻打将先后通过，DDOS 高防的流量荡涤、云防火墙的七层访问控制规定以及入侵检测、Web 利用防火墙的 Web 攻打特色检测、公有网络 ACL 访问控制规定、以及用户自定义 平安组策略等，多道进攻线，构建起层层网络安全屏障。

作者

方明 青云科技参谋产品经理

本文由博客一文多发平台 OpenWrite 公布！