في الآونة الأخيرة، جاءني العديد من الأصدقاء من المصانع الكبيرة وطرحوا عليّ نفس السؤال: هل يمكن نشر شبكة CDN عالية الدفاع بشكل خاص؟ لأكون صادقًا، لو طُرح هذا السؤال قبل خمس سنوات، كنت سأقول “لا تفكر في الأمر، اذهب إلى النوم”. لكن الوضع في ذلك الوقت والآن مختلف تمامًا.
عندما كانت الشبكات المدمجة عالية الدفاع هي في الأساس منتج موحد، كانت موارد عقدة مزود الخدمة مجمعة في حزم لبيعها، إما أن تقبل الحزمة بأكملها أو تطلب المشورة. لكن الأمر الآن مختلف، فقد وجدت أن السوق انقسمت إلى طريقين مختلفين تمامًا - نموذج السحابة العامة والنموذج الخاص، مثل الفرق بين الترس الآلي واليدوي، ولكل منهما سيناريوهات تطبيق خاصة به.
لنبدأ بقضية حقيقية. في العام الماضي، تعرض أحد العملاء الماليين العام الماضي لضربة من DDoS لا يمكن أن يعتني بحياته الخاصة، فقد ارتفعت حركة المرور إلى 800G أو أكثر. استخدمت شبكة CDN السحابية العامة المعروفة، ونتائج الجانب الآخر مباشرةً للانخراط في تنظيف حركة المرور، وتم حفظ الأعمال، ولكن التأخير ارتفع إلى 300 مللي ثانية +، وكاد هاتف شكوى المستخدم ينفجر. لاحقًا، علمت أن مجمعات الموارد السحابية العامة تعطي الأولوية للعملاء من كبار الشخصيات عند مواجهة هجمات كبيرة، وعلى العملاء العاديين الانتظار في طابور وانتظار الجدولة.
هذا هو جوهر المشكلة - شبكة CDN السحابية العامة عالية الدفاع هي في الأساس عبارة عن مجموعة موارد مشتركة متعددة المستأجرين، ومن المحتم أن يكون هناك تدافع على الموارد في حالة حدوث هجوم. لا تنظر إلى التزام مزود الخدمة بحماية قيمة السماء، بل إلى اللحظة الحرجة، فقد لا تكون أولويات عملك في اللحظة الحرجة جيدة مثل الحزمة السنوية لملايين العملاء الكبار.
تُعد شبكات CDN عالية الدفاع التي يتم نشرها بشكل خاص حلاً ذا أبعاد مختلفة تماماً. ببساطة، يتم نشر عقد CDN مباشرةً في غرفة الخادم الخاص بك أو مركز الاستضافة المخصص لك، وتكون جميع موارد الحوسبة وعرض النطاق الترددي والحماية حصرية. هذا يشبه استئجار فيلم دون القلق من أن يستأجر شخص ما مقعداً معك أو أن ينشر جارك الفشار عليك.
ولكن لا تصدق أن “النشر الخاص مناسب لجميع المؤسسات” هذا النوع من الهراء. لقد رأيت أكثر الحالات المثيرة للشفقة هي حالة تجارة إلكترونية متوسطة الحجم تستمع إلى فليمفلور المبيعات، بشدة على شبكة CDN المخصخصة، ونتائج التكلفة الأولية البالغة ثمانمائة ألف، ثم يتعين عليها دفع رسوم الصيانة السنوية البالغة 40%. أخيرًا وجدوا أن أعمالهم لا ترقى حتى إلى مستوى الحاجة إلى الموارد الحصرية، فقط لإنفاق المال لشراء الراحة النفسية.
يوجد الآن في السوق بعض مزودي الخدمة لدعم النشر الخاص، ولكن طريقة تحقيق الكثير من الاختلافات. على سبيل المثال، CDN5 تشارك في برنامج الكل في واحد للأجهزة والبرامج، مباشرة لك لإرسال بعض الخوادم المخصصة؛ CDN07 اللعب هو نموذج ترخيص برمجيات خالص، مما يسمح لك بنشر أجهزتهم الخاصة؛ 08Host أكثر مطلقة، تشارك في نموذج سحابة هجينة، عادة مع السحابة العامة، اللحظة الرئيسية لتفعيل تحويل العقدة الخاصة.
عندما يتعلق الأمر بالتنفيذ التقني، فإن أكبر مشكلة بالنسبة لي هي مشكلة مزامنة العقدة. تتم مزامنة تكوين شبكة CDN السحابية العامة على مستوى العالم، لكن عمليات النشر الخاصة يجب أن تهتم بمزامنة البيانات بنفسها. أتذكر مرة واحدة إلى منصة فيديو للقيام بالترحيل، فقط لتحديث تكوين ذاكرة التخزين المؤقت كاد أن يتسبب في تعطلها:
هذا هو فقط مزامنة التكوين الأساسي فقط، تحتاج حقًا إلى مواجهة إصلاح الثغرة الأمنية العاجلة، يجب أن تكون جميع العقد متجددة التحديث. وبمجرد تفشي ثغرة Log4j، يقوم الفريق بين عشية وضحاها إلى أكثر من 40 عقدة خاصة عالمية لإصلاحها وتشغيلها وصيانتها يا أخي تقريبًا على الفور.
تكوين سياسة الأمان هي أيضاً مهمة تقنية. في حين أن شبكات CDN السحابية العامة عادةً ما تكون عبارة عن واجهة رسومية تعمل بالنقر والنقر، فإن عمليات النشر الخاصة غالباً ما تضطر إلى عدم الإعجاب بملفات التكوين مباشرةً:
ولكي نكون صادقين، فإن متطلبات هذا النوع من التهيئة لفريق التشغيل والصيانة أعلى من ذلك بكثير. في السابق، اعتقد أحد العملاء في السابق أن كل شيء سيكون على ما يرام إذا اشترى شبكة CDN مخصخصة، ونتيجة لذلك، وبسبب سوء التكوين الذي أدى إلى اعتراض خاطئ للمستخدمين العاديين، انخفضت الأشعة فوق البنفسجية مباشرةً بمقدار 30%.
مرة أخرى، هناك مسألة التكلفة. عادةً ما تتم فوترة CDN السحابية العامة وفقًا لحجم حركة المرور يمكن أيضًا التحدث عن الخصومات. لكن النشر الخاص للاستثمار الأولي يمكن أن يكون مخيفًا حتى الموت - عرض أسعار البائع الذي رأيته، سعر بدء العقدة الواحدة يبدأ من 500,000، لا يشمل تكاليف النطاق الترددي. عرض النطاق الترددي هو الرأس الكبير الحقيقي، رسوم سنوية حصرية للنطاق الترددي 100G تكفي لدعم العديد من فرق البحث والتطوير.
ومع ذلك، بالنسبة للمؤسسات ذات الاحتياجات الحقيقية، فإن هذه المدخلات تستحق أن يتم التعامل معها. شركة ألعاب على الإنترنت خصخصت شبكة CDN على الإنترنت، ووقت الاستجابة من 180 مللي ثانية إلى 40 مللي ثانية، ومعدل شكاوى اللاعبين مباشرةً 70%.
ينقسم الآن دعم النشر الخاص لمقدمي الخدمات الخاصة إلى ثلاث فئات تقريبًا: أولاً، بائعي أمن الشبكات التقليديين، مثل CDN5 هذا، الميزة هي أن القدرات الأمنية لهطول الأمطار عميقة، ولكن درجة المرونة تكاد تكون ذات معنى؛ ثانيًا، مزود الخدمة السحابية نيابة عن CDN07، مكدس التكنولوجيا جديد، ولكن من السهل ربطه بالبيئة؛ ثالثًا، 08استضافة هذا النوع من بائعي CDN المحترفين، فعال من حيث التكلفة، ولكن قد تكون استجابة الخدمة أبطأ بنصف إيقاع.
الاختيار أوصي العملاء عمومًا بالتركيز على عدة مؤشرات: أداء العقدة (قدرة معالجة الطلبات في الثانية)، ودقة الحماية (معدل الإيجابية الزائفة)، وقابلية التوسع (سواء كان التوسع السريع)، والأكثر أهمية - وقت الاستجابة لدعم التشغيل والصيانة. لقد رأيت أحد البائعين يلتزم بدعم 7 × 24 ساعة، وهو في الحقيقة خارج الخدمة ولكن عليه الانتظار ساعتين قبل أن يستجيب أحدهم، وكاد رئيس قسم التكنولوجيا لدى العميل أن يضع غرفة الخادم في نقطة.
كما أن نماذج النشر محددة للغاية. فالنشر البحت غير المتصل بالإنترنت مناسب للمؤسسات الحساسة للغاية للبيانات، ولكن التحديثات صعبة؛ أما النشر الهجين فهو أكثر عملية، حيث يتم توطين البيانات الرئيسية وإرسال تحديثات القواعد من السحابة عبر قناة مشفرة. يستخدم مشروع سحابي حكومي نموذجًا هجينًا يفي بمتطلبات الحماية المتساوية ويسمح بالوصول في الوقت المناسب إلى تحديثات معلومات التهديدات.
في هذه الأيام، حتى شبكات CDN يجب أن “تمنع زملاء الفريق”. يقول بعض مزودي الخدمة أن نشر الخصوصية، ولكن سراً سوف يسرقون البيانات مرة أخرى إلى السحابة. لذلك قبل التوقيع على العقد، تأكد من السماح للإدارة القانونية بتوضيح شروط العقد، خاصةً ملكية البيانات وسلطة التدقيق في التشغيل والصيانة لهذين الجزأين، وإلا فإن ذلك يعني إنفاق المال لحفر حفرة لأنفسهم.
وأخيراً، لأقول الحقيقة: إن خصخصة شبكة CDN عالية الأمان تشبه وجود حارس شخصي خاص، فهي بالفعل آمنة وحصرية، ولكن التكلفة لا تستطيع المؤسسة العادية تحملها. وفقًا لتجربتي، ما لم يتم استيفاء شرطين على الأقل من الشروط الثلاثة التالية، وإلا فلا داعي للتفكير في الخصخصة: متوسط حركة المرور اليومية التي تزيد عن 1 تيرابايت، أن يكون العمل يتضمن بيانات حساسة، وأن يكون قد تعرض لهجمات DDoS ذات مرة أكثر من 500G.
نسيت أن أذكر النقطة الأكثر أهمية - مجموعة المواهب. للانخراط في شبكة CDN الخاصة تحتاج على الأقل إلى اثنين من كبار مهندسي العمليات والصيانة، لفهم الشبكة وفهم الأمن يجب أن يكونوا قادرين على الضبط. رأيت الحالة الأكثر مأساوية هي أن المؤسسة حطمت عشرة ملايين عملية نشر لشبكة CDN خاصة، وأخيراً لأنه لن يكون هناك أحد للتشغيل والصيانة، يمكن فقط السماح للمهندسين الأصليين بالعمل عن بعد، وهو ما يعادل إنفاق ملايين الدولارات سنوياً لتكوين فريق غير مرئي.
إذن نعود إلى السؤال الأصلي: هل تدعم شبكات CDN عالية الدفاع عمليات النشر الخاصة؟ الإجابة هي نعم، ولكن تماماً مثل شراء سيارة رياضية مخصصة، يجب أن تكون قادراً على تحمل كل من المال والفريق. إذا كنت لا تزال ممزقًا بشأن الخصخصة، فاقتراحي هو العثور على CDN07 مزودي الخدمة هؤلاء لتجربة حل سحابي مختلط، مثل حجم الأعمال حتى التفكير في الخصوصية الكاملة. 08برنامج مرونة المضيف جيد أيضًا لدعم الانتقال السلس من السحابة العامة إلى النشر الخاص، لتجنب الاستثمار لمرة واحدة كبير جدًا.
بعد كل شيء، الأعمال ليست سباق تسلح، الحل الأنسب هو الأفضل. في بعض الأحيان، تضيف شبكة CDN السحابية العامة بضع طبقات إضافية من استراتيجية الأمان، ويمكن أن يحقق نفس الشيء نتائج غير متوقعة، فلا داعي حقًا “حصريًا” لكلمتين "حصريًا" لمطاردة عمياء عالية. وفر المال لتوظيف عدد قليل من مهندسي الأمن الإضافيين، ربما أكثر من أي برامج متطورة مفيدة.
