لقد اكتفيت من الاستيقاظ على أجهزة الإنذار في الثالثة صباحاً، فقسم الأعمال هناك يتصل بشكل محموم ليسأل عن سبب عدم إمكانية فتح الموقع، وقسم التشغيل والصيانة هنا يحدق في شاشة المراقبة ويقول إن حركة المرور تتدفق مرة أخرى - حرب الهجوم والدفاع في الصناعة المالية واضحة ومملة للغاية. لكن الصداع الأكبر ليس مكافحة القراصنة، هو مواجهة تلك الكومة من المؤشرات الصعبة، ولكن يجب أيضًا السماح للمستخدمين الحقيقيين بالوصول إلى سرعة التحليق، فالصعوبة تشبه السماح للفيلة بالقفز على الباليه.
في العام الماضي، أحد عملاء البنك على المستوى الثالث من الحماية المتساوية، ألقت وكالة التقييم كلمات مباشرة: “أنت لا تقوم بعزل وتسريع الموارد الثابتة، لم تشهد استراتيجية التخفيف من DDoS تعديلًا ديناميكيًا، واجهت حقًا هجمات ضخمة بالتأكيد لا يمكن أن تصمد”. نتيجة لذلك، اضطروا إلى استخدام الدفاع التقليدي العالي خلال فترة التصحيح، وارتفعت شكاوى المستخدمين بشأن زمن الوصول، وكادت الإدارة المالية تحسب تكلفة حركة المرور تتقيأ دماً - هذا “الأمن” على حساب التجربة هو ببساطة خداع للذات.
الأمان والخبرة في مجال الخدمات المالية ليسا ببساطة مسألة اختيارتتطلب الحماية المتساوية 2.0 بشكل صريح “استمرارية الأعمال والقدرة على التحكم في الموارد”. الحماية المتساوية 2.0 في المتطلبات الواضحة لـ “استمرارية الأعمال وقدرات التحكم في الموارد”، لا يكفي الضوء لحمل المعركة، ولكن أيضًا لضمان الوصول السلس للمستخدمين العاديين. لقد اختبرت العديد من برامج البائعين، ووجدت أن العديد مما يسمى بـ "شبكة CDN عالية الدفاع" هو في الواقع تنظيف قذيفة ، وعقدة أقل، وجدولة جامدة، ونقل مشفر وضغط تحسين ذاكرة التخزين المؤقت لم يكن جيدًا.
في وقت لاحق، طرح فريقنا خطة، الفكرة الأساسية هي: جدولة ذكية لحركة مرور الهجوم إلى مركز التنظيف، المستخدمين العاديين المتصلين مباشرة بعقدة التسريع؛ الموارد الثابتة جميع التخزين المؤقت على الحافة وبروتوكولات تهريب الطلبات الديناميكية إلى المصدر؛ تشفير TLS 1.3 بالكامل إلى جانب الشهادة المثبتة لمنع الاختطاف من رجل في الوسط. تم قياسها لتحمل 800 جيجابت في الثانية من الهجمات المختلطة، بينما انخفض وقت تحميل الشاشة الأولى بمقدار 401 تيرابايت في الثانية.
أولاً، دعونا نتحدث عن تفاصيل تطبيق متطلبات الحماية المتساوية. من الواضح أن الحماية المتساوية 2.0 في تطبيق مستوى الأمان تتطلب “القدرة على مكافحة هجمات الحرمان من الخدمة”، لكن العديد من الوحدات تعتقد أن شراء عنوان IP عالي الدفاع في نهاية الأمر - وهو خطأ كبير. أصبحت أنواع الهجمات الآن كلها مختلطة الوضع: هجمات CC مختلطة مع فيضان TCP، وحتى مختلطة مع هجمات HTTP البطيئة، والاعتماد فقط على تنظيف حركة المرور لا يمكن منعها.
يجب أن يكون تكويننا متعدد الطبقات:
تستخدم الطبقة الأولى جدولة DNS للقيام بفرز الهجمات، ويتم توجيه مقاطع IP الخبيثة مباشرةً إلى مركز التنظيف، ويتم حل المستخدمين الشرعيين إلى عقدة التسريع. لا تستخدم DNS المجاني هنا، فتأخير الحل وثبات TTL سيقتلك. يوصى باستخدام DNS الذكي الخاص بـ CDN07، والذي يدعم حلّ المقاطعات الفرعية والمشغل الفرعي، ويمكن تبديله ديناميكيًا وفقًا لحالة المحطة المصدر.
الطبقة الثانية من حماية WAF في عقد الحافة، يجب تحديث قاعدة القواعد في الوقت الفعلي. أوصي بشدة بالقواعد المخصصة: على سبيل المثال، بالنسبة لواجهات التداول المالي، قم بتحديد عدد الطلبات في الثانية لعنوان IP واحد، وإذا تجاوز الحد المسموح به، فسيظهر اختبار CAPTCHA أو يحظره مباشرةً. مثال على التكوين (استنادًا إلى Nginx):
الطبقة الثالثة هي الشهادات وعمليات النقل المشفرة. تتطلب الحماية المتساوية “سلامة الاتصال”، ويجب تشغيل TLS 1.3، وتعطيل مجموعات التشفير الضعيفة. في العام الماضي، تم خصم نقاط من إحدى شركات الوساطة لاستخدامها TLS 1.0. يوصى أيضًا بإضافة التحميل المسبق لـ HSTS لمنع هجمات تجريد SSL. أوسون السحابية (08Host) CDN في هذا الصدد للقيام بذلك بشكل مطلق تمامًا، ودعم مجموعة التشفير المخصصة وربط OCSP، ويمكن تقليل زمن الاستجابة بأكثر من 20 مللي ثانية.
تحسين تجربة المستخدم هي نقطة الاختبار الخفيةالحل التقليدي كله يعود إلى المصدر. المواقع المالية لا تنقل العشرات من ملفات JS / CSS، الحل التقليدي هو الحل التقليدي كله يعود إلى المصدر، ووقت استجابة عالٍ واستهلاك عرض النطاق الترددي. البرنامج الخاص بي هو: موارد ثابتة مجزأة ذاكرة تخزين مؤقت دائمة، وملفات HTML مع ذاكرة تخزين مؤقت على الحافة من 5 إلى 10 ثوانٍ (مع الأخذ في الاعتبار تحديثات المحتوى الديناميكي). تم قياس التحميل الأول للشاشة من 3 ثوانٍ إلى 1.2 ثانية، وتوفير سنوي في تكلفة النطاق الترددي بالملايين.
يجب أن تكون استراتيجية التخزين المؤقت دقيقة:
تسريع ديناميكي لهذه القطعة، استخدمنا بروتوكول CDN5 الخاص بالعودة إلى المصدر، وتحسين TCP + مضاعفة الإرسال، أسرع بمرتين من بروتوكول HTTP التقليدي بالعودة إلى المصدر. خاصةً بالنسبة لمواقع تداول الأوراق المالية، فإن كل 100 مللي ثانية من التأخير في واجهة الطلب يمكن أن يقلل من معدل تذبذب المستخدم بمقدار 7% (بيانات حقيقية).
لا تؤمن بـ “الحلول بنقرة واحدة”.”يتباهى أحد البائعين المعروفين بأن شبكة CDN الخاصة بهم يمكنها التكيف تلقائياً مع جميع السيناريوهات. يتباهى بائع معروف بأن شبكة CDN الخاصة بهم يمكن أن تتكيف تلقائيًا مع جميع السيناريوهات، ونتيجة لذلك، وجدنا أن تغطية العقد لم تكن كافية عندما اختبرناها، وغالبًا ما كان يتم إرسال المستخدمين الغربيين إلى العقد الشرقية. أخيرًا تم تغييره لاستخدام برنامج CDN07 للتقارب: الموارد الثابتة مع 08Host (العقد الرخيصة)، واجهة المعاملات الأساسية للذهاب إلى خطوط CDN5 عالية الدفاع، واستراتيجية الجدولة مع محرك ذكي ذاتي التطوير لاتخاذ القرار - الرسوم الشهرية لتوفير 40%، وتأثير العكس أكثر استقرارًا.
يجب أيضًا مواكبة المراقبة والتسجيل. في انتظار المتطلبات الأمنية الخاصة بـ “يمكن تتبع الأحداث الأمنية”، قمنا بجمع سجلات الارتباط بالكامل: من طبقة CDN إلى WAF إلى محطة المصدر، جميع سجلات الطلبات في البحيرة في الوقت الفعلي، باستخدام ELK لتحليل نمط الهجوم. بمجرد أن وجدنا أنه في الساعة 2:00 صباحًا هناك دائمًا واجهة مسح IP أجنبية في الوقت المناسب، وإضافة قواعد المصادقة بين الإنسان والآلة، لتجنب حدث تسرب البيانات.
أخيرًا، أود أن أتحدث عن الفوضى في الصناعة: بعض البائعين قاموا بتعبئة العقد الخارجية على أنها “تسريع عالمي”، وارتفع زمن الوصول الفعلي إلى 300 مللي ثانية +؛ هناك ما يسمى “حماية غير محدودة” في الواقع، عرض نطاق ترددي زائد، واجهت حقًا هجومًا كبيرًا ثقبًا أسود مباشرة. يوصى حقًا ببناء بيئة الاختبار الخاصة بك لاختبار الضغط: محاكاة الهجمات المختلطة لمعرفة تأثير التخفيف، واستخدام WebPageTest لقياس سرعة التحميل في مناطق مختلفة.
إن الصناعة المالية للانخراط في شبكة CDN عالية الدفاع تشبه تركيب زجاج مضاد للرصاص لحاملات الأموال - سواء لحمل الرصاص، ولكن أيضًا لا يمكن أن يشعر الركاب بالملل. ويكمن التوازن في: استخدام بنية متعددة الطبقات لنزع فتيل ضغط الهجوم، واستخدام الحوسبة المتطورة لتحسين تجربة المستخدم، واستخدام استراتيجيات تكرارية تعتمد على البيانات. الآن تم توحيد برنامج عملائنا: منصات صغيرة ومتوسطة الحجم مع تسريع CDN07 كامل الموقع + WAF، والتبادلات الكبيرة مع CDN5 الدفاع العالي + استضافة الموارد الثابتة 08Host، وما إلى ذلك.
لا يوجد شيء اسمه إصلاح الأمن لمرة واحدة، ففي الشهر الماضي، ظهر نوع جديد من هجمات الانعكاس على Memcached، وقمنا بتعديل عتبات معلمات TCP بين عشية وضحاها. اليقظة والتكرار المستمر هما المعنى الحقيقي للأمن المالي.
