选择正确的DDoS解决方案：按需云服务

迁移到云端的优势

与部署独立硬件设备相比，迁移到云端有许多优势：

• 保护基于云的应用程序：托管在云中的应用程序无法通过本地设备保护，因此需要基于云的保护。
• 更大容量：随着容量 DDoS 攻击变得越来越大，许多攻击很容易超过典型企业级 DDoS 缓解设备的容量。在这种情况下，云服务将能够提供可以吸收这些攻击的备份容量。
• 较低的管理：与基于本地的设备相比，经常使用云服务需要更少的管理开销和人员。
• 成本更低：虽然 DDoS 缓解设备需要大量的前期资本成本 (CAPEX)，但基于云的 DDoS 缓解服务往往成本更低，并且可以通过持续订阅模式付费。这允许客户根据他们的需要扩展（或收缩）他们的服务。此外，此类支出通常被归类为运营费用 (OPEX)，这对许多公司来说更容易分配。
• 但是，应该注意的是，由于控制级别较低，以及与可能限制组织迁移到云的能力的监管要求的潜在冲突，云的便利性逐渐减弱。

按需：在您需要时提供 DDoS 保护

基于云的 DDoS 保护的第一个模型是按需模型。在按需模型下，流量通常在平时（即未受到攻击时）直接流向主机。但是，一旦识别出 DDoS 攻击，流量就会重新路由到云 DDoS 缓解服务，该服务会清除攻击流量并仅将干净的流量传递到源服务器。顾名思义，这种类型的保护仅在需要时才按需激活。

优点和缺点：

• 和平时期没有延迟：按需服务的一大优势是，当您没有受到攻击时，在 “和平时期” 没有延迟。流量仅在攻击期间被转移，在攻击持续时间内。
• 更低的成本：按需服务往往比购买专用的 DDoS 缓解设备以及始终在线的云服务更便宜。这可以为预算不多的客户提供有效保护。
• 简单：按需的基于云的服务易于维护，平时无需管理。

但是，按需模型存在某些缺点：

• 检测时间：按需服务的最大缺点可能是它不能 100% 地提供保护。大多数按需服务根据流量阈值检测 DDoS 攻击。只有达到一定的流量阈值后才会激活保护，这可能需要几分钟来积累数据和分析。在此期间，服务器可能会暴露。
• 分流时间：分流开始后，可能需要一些时间才能完成分流。转移时间由两个因素组成：开始转移所需的时间，以及转移通过 BGP 或 DNS 表传播所需的时间。虽然使用自动或程序化（基于 API）的转移技术可以最大限度地减少转移时间，但传播时间通常不在提供商的直接控制范围内。
• 分流时的延迟：一旦流量被分流，所有到源服务器的请求都流经云 DDoS 缓解提供商的网络，这可能会增加交易的延迟。延迟量可能取决于清理中心的位置、与源服务器的距离以及连接质量。然而，这种延迟只有在转移发生时才会继续，一旦转移结束就会恢复正常。

注意事项：

就像购买基于前提的设备（以及永远在线和混合模型，将在后面介绍）一样，是否使用按需保护模型的选择取决于组织的特定用例和需求：

• 延迟：使用按需服务在平时不会产生额外的延迟，因此对于延迟敏感的应用程序，按需服务可能是有效的。
• 攻击频率：您被攻击的频率如何？如果您只是很少受到攻击（或根本没有），那么按需服务可能是一种经济高效的解决方案，可以在未雨绸缪的情况下保护您。但是，如果您的服务器不断受到攻击，那么不断转移流量可能不是很有效，并且永远在线或混合服务可能会更好。
• 任务关键型应用程序：您的应用程序是任务关键型的吗？按需服务通常需要几分钟的时间进行检测和转移步骤，在此期间服务器保持暴露状态。如果您可以吸收这种暴露而不会造成重大伤害，那么按需服务就可以了。但是，如果您无法承受哪怕一瞬间的停机时间，那么永远在线或混合解决方案可能会更好。