في الآونة الأخيرة، جاءني العديد من الأقران يسألونني، لماذا نفس شبكة CDN الدفاعية العالية، لا يزال زمن انتقال موقع الويب الخاص بهم مرتفعًا، وتحدث حوادث أمنية بشكل متكرر؟ لقد ألقيت جملة مباشرة: لقد عفا الزمن على شبكة CDN التقليدية الخاصة بك منذ فترة طويلة، والآن لا تجمع بين الحوسبة المتطورة للعب، ببساطة ترتدي درعًا يعمل - ثقيلًا وبطيئًا.
في هذه الأيام، تبدأ هجمات DDoS على مستوى T دون أن تتحرك، وهجمات CC مثل الذباب. فقط الاعتماد على العقدة المركزية لنقل حركة المرور؟ ناهيك عن أن التكلفة لا يمكن أن تتحمل، والتأخير يمكن أن يسمح للمستخدمين بالنفاذ. لقد اختبرت برنامجًا تقليديًا، وجاء الهجوم، والعقدة المركزية مباشرة في غربال، ولا تزال عقد الحافة تشرب الشاي على مهل - لا تشارك على الإطلاق في الحماية الأمنية.
الأمر الأكثر إثارة للشفقة هو أن بعض البائعين يتباهون بـ “العقد العالمية”، في الواقع، العديد من العقد الطرفية ببساطة لا تملك قوة حوسبة، مجرد محطة ترحيل حركة المرور. يجب أن تذهب حركة المرور المهاجمة إلى منتصف الطريق حول العالم حتى يتم تنظيفها، وبالتالي تعود إلى المستخدم عندما تبرد الزهور الصفراء. لا تصدق أولئك الذين يبيعون مزودي خدمة CDN ذات النطاق الترددي فقط، فهم لا يستطيعون حتى معرفة الفرق بين حوسبة الحافة وتوزيع المحتوى.
في الواقع، جوهر المشكلة هو: تتراكم عقدة CDN التقليدية للأمان وضغط المعالجة على العقدة المركزية، بينما تكون العقد الطرفية خاملة. هذا مثل ترك حارس الأمن يقف عند بوابة المقر الرئيسي للشركة للتحقق من جميع زوار الفرع، لا يمكن أن تكون الكفاءة منخفضة؟
في العام الماضي، عانت محطة التجارة الإلكترونية لدينا من خسارة. خلال فترة الترقية عانى فجأة من هجوم CC، على الرغم من أن العقدة المركزية للحمل، ولكن يجب أن تعود جميع الطلبات إلى مصدر التحقق، مما أدى إلى ارتفاع تأخير طلب المستخدمين العاديين إلى أكثر من 3 ثوانٍ، والخسارة المباشرة لملايين الطلبات. لاحقًا، قمت بسحب سجلات حركة المرور لتحليلها ووجدت أن طلب 80% يمكن التحقق منه بالفعل في العقدة الطرفية.
يتمثل الحل الموثوق به الآن في إغراق قدرة الحماية الأمنية في عقد الحافة. بحيث يكون لكل عقدة حافة قدرة حوسبة وسياسة أمان معينة، قريبة من معالجة الطلب في نفس الوقت لإكمال الكشف الأمني. وهو ما يعادل تعيين حراس أمن لكل منفذ، وهو أمر سريع وآمن في نفس الوقت.
لقد قارنت بين ثلاثة حلول لمزودي الخدمة: CDN5 يركز CDN5 على قدرات حافة WAF، و CDN07 يركز على حوسبة وظيفة الحافة، و 08Host هو حل وسط بين التكلفة والأداء. وجدت أن وظيفة الحافة لـ CDN07 في معالجة المنطق المعقد في أفضل أداء، ولكن السعر أيضًا “جميل” حقًا.
عند الهبوط على وجه التحديد، أوصي باتباع استراتيجية دفاعية متعددة الطبقات:
تقوم الطبقة الأولى بإجراء عمليات التحقق الأساسية في العقد الأكثر تطوراً، مثل التحقق البشري والتحقق من سمعة بروتوكول الإنترنت. يمكن إجراء هذه العمليات الخفيفة الوزن بالكامل في العقدة الأقرب إلى المستخدم ثم يتم تحريرها إلى الطبقة التالية بعد اجتيازها.
نحن هنا نشارك مثالاً عملياً للتكوين، والذي يُستخدم لتصفية عناوين IP الضارة في البداية في عقد الحافة:
يقوم المستوى الثاني بالكشف المتعمق في عقد المستوى الإقليمي، مثل مطابقة قواعد WAF والتحليل السلوكي. تتمتع العقد على هذا المستوى بقدرة حوسبة أكبر ويمكنها تشغيل خوارزميات أمان أكثر تعقيداً.
والأهم من ذلك هو الطبقة الثالثة - فقط الطلبات التي لا يمكن الحكم عليها في العقد الطرفية يتم إرجاعها إلى العقدة المركزية. ويؤدي ذلك إلى تصفية ما لا يقل عن 90% من الطلبات الخبيثة، ويتم تقليل الضغط على موقع المصدر مباشرةً.
لقد اختبرت هذه البنية على 08Host، وتم تقليل زمن الاستجابة مباشرة من 200 مللي ثانية إلى أقل من 80 مللي ثانية. خاصة في جنوب شرق آسيا، لأن عقد الحافة المحلية لديها قوة حوسبة، فإن شعور المستخدم واضح بشكل خاص.
التحسن في الأمان أكثر إثارة للدهشة: من قبل، كان يجب التعامل مع مئات الآلاف من محاولات الهجوم كل يوم، أما الآن 80% يتم اعتراضها جميعًا في العقد الطرفية. أفضل جزء هو أن تكلفة عرض النطاق الترددي للخادم المصدر قد انخفضت بمقدار 60%، ولم يعد مديري يطاردني أخيرًا للحصول على فواتير عرض النطاق الترددي كل يوم.
على مستوى التعليمات البرمجية على وجه التحديد، تدعم شبكات CDN السائدة الآن وظائف الحافة. على سبيل المثال، مع منصة الحوسبة الطرفية لشبكة CDN07، يمكن تحقيق الحماية الديناميكية بهذه الطريقة:
لا تقلل أبدًا من قوة وظائف الحافة هذه، فعقد الحافة تتمتع الآن بأداء حوسبة أفضل من بعض مضيفي السحابة. لقد اختبرت تشغيل اكتشاف WAF، وضغط الصور، واختبار AB في نفس الوقت على عقدة الحافة، ولا تزال قوية كالكلب العجوز.
بالطبع هناك عوائق في عملية الترحيل. أكبر مشكلة هي إدارة الحالة - عقد الحافة عديمة الحالة وتحتاج إلى مشاركة البيانات بمساعدة التخزين الموزع. أوصي باستخدام مجموعة Redis لمزامنة الحالة، مما يضيف القليل من وقت الاستجابة ولكنه أفضل بكثير من العودة إلى المصدر.
نقطة ألم أخرى هي صعوبة تصحيح الأخطاء. مع وجود العديد من عقد الحافة، من الصعب تحديد موقع المشكلة. تتمثل تجربتي في دفن نقاط المراقبة في كل دالة حافة وتتبع سلسلة الطلبات بأكملها باستخدام معرف طلب فريد. بهذه الطريقة، بغض النظر عن العقدة التي يمر بها الطلب، يمكنك تحديد موقع المشكلة بسرعة.
لا تقلق بشأن التكلفة أيضاً. على الرغم من أن سعر وحدة حوسبة الحافة أعلى قليلاً، إلا أن التكلفة الإجمالية منخفضة إلى حد ما. نظرًا لتقليل حركة المرور المرتجعة وضغط العقدة المركزية، يمكن أن يوفر الحساب الشامل حوالي 301 تيرابايت 3 تيرابايت. خاصة بالنسبة لخدمات حركة المرور الكثيفة مثل الفيديو والألعاب، يكون تأثير التوفير أكثر وضوحًا.
ساعدت مؤخرًا إحدى شركات الألعاب في عملية الترحيل، وانخفض متوسط زمن الاستجابة العالمي من 142 مللي ثانية إلى 67 مللي ثانية، وانخفض معدل تذبذب اللاعبين مباشرةً بمقدار 181 TP3 T. أما الأمان فهو أكثر دراماتيكية، حيث زادت تكلفة هجوم DDoS بعشرة أضعاف، إذ يتعين على المهاجمين الآن مهاجمة مئات العقد الطرفية في الوقت نفسه ليكونوا فعالين.
ستصبح هذه البنية أكثر انتشاراً في المستقبل، حيث ستشهد شبكة الجيل الخامس والنمو الهائل لأجهزة إنترنت الأشياء انتقال جميع احتياجات الحوسبة إلى الحافة. إذا لم تنضم إلى هذا الأمر الآن، فقد تصبح متقادماً في وقت لاحق.
ولكي نكون صادقين، فإن اختيار التكنولوجيا مهم للغاية. إذا كان العمل بشكل أساسي في آسيا والمحيط الهادئ، فإن ميزة تغطية CDN5 واضحة؛ إذا كانت هناك حاجة إلى قوة حوسبة قوية، فإن بيئة وظائف الحافة لـ CDN07 هي الأكثر اكتمالاً؛ إذا تم السعي لتحقيق فعالية التكلفة، فإن حزمة 08Host هي الأكثر وعيًا حقًا. من الأفضل إجراء اختبار PoC على نطاق صغير أولاً، لا تتبع الريح بشكل أعمى.
أخيرًا، أود أن أشارك قصة حقيقية: في العام الماضي، تعرضت إحدى الشركات لهجوم DDoS بسرعة 300 جيجابت في الثانية، وبسبب الحماية المركزية التقليدية، تعطلت الخدمة بأكملها لمدة 12 ساعة. في وقت لاحق، بعد الانتقال إلى بنية الحماية الطرفية، لم يكن بالإمكان الشعور بنفس حجم الهجوم على الإطلاق - تم تخفيف حركة المرور في العقدة الطرفية وتلاشت. أرسل لي المدير مظروفًا أحمر اللون خصيصًا ليشكرني قائلاً إنه كان يجب أن أعرف أنه كان يجب أن أستخدم هذا الحل في وقت سابق.
الآن أصبح مبدأ تصميم الهندسة المعمارية الخاص بي واضحًا: لا تعود أبدًا إلى المصدر إذا كان من الممكن معالجتها على الحافة، ولا مركزية أبدًا إذا كان من الممكن حمايتها على الحافة. لا يقتصر ذلك على زمن استجابة منخفض وأمان عالٍ فحسب، بل يؤدي أيضًا إلى انخفاض كبير في التكلفة. لم لا؟
بصراحة، إن مشاهدة انخفاض زمن الاستجابة للطلبات من ثلاثة أرقام إلى رقمين، وانخفاض الحوادث الأمنية من العشرات في اليوم إلى الصفر تقريبًا، هو شعور بالإنجاز أكثر من أي شيء آخر. أليس أفضل جزء من كونك تقنيًا هو أن ترى هندستك تنتج قيمة فعلية؟
في المرة القادمة التي يخبرك فيها شخص ما أن شبكات CDN مخصصة للتسريع فقط، قم بإلقاء هذه المقالة عليه - نحن في عام 2024 ولا يمكن أن يكون هناك أي شخص لا يعرف أن شبكة CDN عالية الأمان يجب أن تقترن بالحوسبة الطرفية، أليس كذلك؟
