In che modo LBaaS / DBaaS o "auto-ridimensionamento" aiutano a proteggere da DoS?

2

Faccio questa domanda come seguito di questa domanda in cui ho chiesto come proteggere dai tipi più semplici di attacchi DoS (ad esempio attacco a una sola macchina / fino a 5 macchine livello di rete ) senza utilizzo di servizi di terze parti come un CDN, dato che è improbabile che io vada con un DDoS (anche se le risposte alla mia domanda dimostrano che DDoS è probabilmente come un semplice DoS, in questi giorni, a causa di vari servizi che aiuterebbero anche un singolo attaccante a lanciare un DDoS)

Il mio ingegnere di hosting provider mi ha detto che stanno sviluppando strumenti che potrebbero raggiungere il mio desiderio, almeno in parte, in futuro, sebbene questi strumenti siano ora sperimentali e lungi dall'essere rilasciati in qualsiasi forma. L'ingegnere ha menzionato i seguenti tre tipi di strumenti senza spiegare come ognuno di essi potrebbe contribuire a ridurre il rischio per il fenomeno che ho appena descritto:

  1. LBaas (non so cosa significhi)
  2. DBaaS (Database come servizio)
  3. "ridimensionamento automatico" (non so cosa significhi)

Supponendo di aver capito correttamente, in che modo uno di questi strumenti può aiutare a prevenire qualsiasi tipo di DoS di rete, se non del tutto?

    
posta user9303970 12.05.2018 - 17:56
fonte

2 risposte

3

LBaaS si riferisce probabilmente a Load Balancing as a Service (LBaaS).

Con una soluzione LBaaS, il traffico verso il tuo sito raggiungerà l'endpoint LBaaS e poi trasferito alla server farm che serve il sito. In un ambiente con scalabilità automatica, il numero di server (in genere Macchine virtuali) aumenta o diminuisce in base al carico del traffico.

Le soluzioni LBaaS integrano i meccanismi di prevenzione DDoS monitorando gli stati dei pacchetti e altri meccanismi di rilevamento. In combinazione con DBaaS e la scalabilità automatica, quando il carico sale (in uno scenario DDoS), le istanze di back-end scalano anche per gestire il carico aggiuntivo.

Questo ovviamente non presuppone che le soluzioni Anything-as-a-service possano gestire un carico infinito. Cioè, un servizio supportato dal cloud non può prendere attacchi DDoS della scala di Tbps (come è stato recentemente dimostrato).

    
risposta data 13.05.2018 - 02:21
fonte
1

Sandyp ha già pubblicato una risposta succinta, quindi questo è in gran parte supplementare.

Per utilizzare sia LBaaS che DBaaS, la tua applicazione deve supportare quel modello.

In genere, ciò comporta la creazione di cluster e / o bilanciamento del carico. Anche se questa non è la cosa più difficile da realizzare, non puoi trarre vantaggio da queste tecnologie se non l'hai progettata per questo. (La maggior parte delle app aziendali funzionerà in questi giorni, ma sembra che tu stia implementando la tua applicazione.)

Il costo è più variabile con ridimensionamento.

Con la scalabilità orizzontale, il tuo fornitore di servizi cloud farà ruotare altre VM e assegnerà risorse aggiuntive secondo necessità, ma in genere pagherai per tali risorse in conformità con il tuo contratto di servizio. Queste tariffe possono variare in modo selvaggio.

A volte la scalabilità di emergenza è disponibile a costi minimi; a volte no. Le tariffe possono variare dalla tariffa del contratto standard al più alto tasso su richiesta. Con la maggior parte delle CDN, la mitigazione DDoS è inclusa, quindi ci sono raramente costi imprevisti. Chiedi al tuo provider per informazioni specifiche.

Supponendo che tu abbia un'applicazione in grado di supportare la scalabilità, si tratta di una questione di costi e compromessi.

Con i CDN, devi configurare le tue risorse per utilizzare il loro trasporto / caching e devi fidarti di loro. In cambio, i CDN di fascia più alta offrono in genere protezione, latenza e velocità di protezione DDoS migliori rispetto ai fornitori di servizi cloud. (Non hai menzionato la latenza o il throughput come preoccupazioni, quindi queste sono incluse solo per completezza.)

Dovresti anche informarti sul tempo di attivazione o di risposta dal tuo fornitore di servizi cloud. Con i CDN, è molto veloce e sempre disponibile. I provider di servizi cloud variano e alcuni offrono ridimensionamento configurabile.

Ad esempio, puoi configurare quando ridimensiona, per quanto tempo dopo il picco fino a quando le risorse aggiuntive non scendono, se c'è un limite di velocità o un limite massimo sul provisioning automatico, se c'è un limite monetario sul provisioning automatico, ecc. .

Non ho esperienza personale con DigitalOcean, quindi non ho idea di quali siano le opzioni disponibili.

    
risposta data 15.05.2018 - 20:12
fonte

Leggi altre domande sui tag