Recientemente para ayudar a una estación de comercio electrónico para hacer la respuesta de emergencia, se encontró con una situación de llanto: gastaron mucho dinero el año pasado para comprar un CDN de alta defensa, la página de promoción escribió "protección de nivel T", los resultados de las actividades de promoción acaba de empezar diez minutos, todo el sitio fue derribado directamente - el ataque contra el tráfico de hecho, sólo 200G de la cabeza. El jefe llamó a regañar al proveedor de servicios, la otra parte poco a poco llegó a una frase: "usted compra el paquete básico, pico de defensa sólo contiene 100G, más allá de la parte de añadir dinero para abrir manualmente" ...... este año, incluso CDN tiene que "anti-teammates"?
CDN de alta defensa esta cosa, para decirlo sin rodeos es al sitio invitó a un guardaespaldas. Pero el problema es que muchas empresas piensan que pueden estar tranquilos después de comprar el servicio, de hecho, la mayor parte de la CDN de alta defensa tradicional es un modo de "defensa estática": para darle un valor fijo de defensa, más allá del ataque directamente eludir la línea de alta defensa, o simplemente arrojados al agujero negro. Al igual que la compra de seguros cuando el vendedor voló por las nubes, realmente a la reclamación sólo para descubrir que los términos enterrados un montón de pozos.
He probado el mercado siete u ocho principales proveedores de servicios de alta defensa, encontró que tres puntos de dolor común: la primera es la mala capacidad de recuperación, el pico de defensa no se puede ajustar en tiempo real bajo demanda; el segundo es el retardo de conmutación es alta, se encontró con un nuevo tipo de ataques mixtos cuando las normas entran en vigor lentamente; el tercero es el costo de la incontrolable, tráfico inesperado es a menudo acompañado por las facturas por las nubes. Especialmente cuando se mezclan ataques CC y DDoS, las siete capas de protección de muchas CDN son prácticamente inútiles.
Empecemos por un punto contraintuitivo: el "valor de defensa" de una CDN de alta defensa es en realidad una variable dinámica. En realidad depende del tamaño del pool de recursos subyacente y de los algoritmos de programación. Por ejemplo, CDN5, razón por la que se atreven a prometer "defensa ilimitada", porque están conectados a la parte trasera de una serie de centros de tráfico limpio, pueden alcanzar casi el nivel TB de programación de tráfico. La llamada "defensa a nivel de T" de los pequeños proveedores suele ser un juego matemático que amontona todos los anchos de banda de los clientes y los cuenta: cuando realmente se enfrentan a un ataque a gran escala, la competencia por los recursos directamente se desploma.
El primer paso para mejorar la capacidad de defensa es averiguar las características de su empresa. Suelo recomendar a los clientes que utilicen el método de "análisis del perfil de ataque": en primer lugar, extraigan los registros de ataques de los últimos seis meses y averigüen estadísticamente los tipos de ataque con mayor frecuencia, el rango de tráfico máximo y las principales regiones de origen. Por ejemplo, si una estación financiera descubre que siempre hay alrededor de 200G de inundaciones UDP todos los viernes por la tarde, entonces la opción más rentable es activar la protección de resiliencia durante este tiempo por adelantado.
En la práctica, recomiendo la estrategia combinada de "defensa de base + pico de resiliencia". La defensa de línea de base utiliza un paquete fijo para soportar los ataques diarios a pequeña escala, mientras que la parte de resiliencia adopta un modelo de pago por volumen. Como el programa de "segunda elasticidad" de CDN07 es más realista: los ataques que superan el umbral desencadenan automáticamente la ampliación de la capacidad, sin necesidad de aprobación manual, y la granularidad de la defensa puede afinarse hasta el nivel de un solo nombre de dominio.
El aspecto más crítico de la implementación técnica es la capacidad de programación de la API. Un buen servicio de alta defensa debe proporcionar una interfaz API completa que nos permita ajustar dinámicamente las estrategias de protección a través de un sistema de supervisión autoconstruido. El siguiente código Python es el activador de expansión de elasticidad que utilizo realmente en el sistema de mi cliente:
Algunos vendedores diseño de la API es simplemente el arte de comportamiento - retraso de respuesta de hasta 30 segundos, a la espera de la interfaz para devolver los resultados del negocio temprano frío. Así que el rendimiento de la API de prueba debe ser escrito en el contrato, lo que requiere 99% solicitudes para responder dentro de los 5 segundos. 08Host ha plantado en esta pieza, su API de expansión de la elasticidad el año pasado, el tiempo medio de respuesta de 12 segundos, y luego rociado por el cliente para reescribir todo el sistema de programación.
Además de la velocidad de expansión, la eficiencia de las reglas emitidas es también el alma. CDN tradicional para actualizar las reglas WAF a nivel de minuto, ahora el programa principal se cambian a utilizar nodos de computación de borde compilados en tiempo real. Por ejemplo, el uso de la tecnología WebAssembly para proteger las reglas compiladas en código de bytes enviado al borde del nodo CDN, se puede comprimir a milisegundos en efecto. Este detalle técnico es ignorado por mucha gente, pero es precisamente la clave para hacer frente a los ataques de variantes rápidas.
Hay una lección muy buena que aprender sobre el control de costes: ¡no te creas la tontería de la "defensa ilimitada"! Todos los proveedores tienen topes blandos, y lo único verdaderamente ilimitado es tu factura. Una vez que un cliente compró una cierta "protección ilimitada", los resultados del mes fue golpeado 800G ataques sostenidos, el segundo mes recibió una factura de un millón doscientos mil - resulta que la esquina del contrato está escrito "exceso de tráfico de acuerdo con $0.05/GB de facturación".
Hoy en día, la solución más avanzada es el "Mecanismo inteligente de fusión". No sólo ajusta la defensa en función del tráfico de ataque, sino que también toma decisiones basadas en la importancia del negocio. Por ejemplo, la interfaz empresarial se divide en enlaces de transacciones esenciales y consultas no críticas, y el nivel de protección de los servicios no esenciales se rebaja temporalmente en casos extremos para proteger la actividad principal. Esta estrategia ayudó a una plataforma de comercio electrónico a ahorrar más de 700.000 dólares en tasas de protección de elasticidad durante el periodo Doble 11 del año pasado.
Por último, me gustaría mencionar un detalle que mucha gente ha pasado por alto: los registros de una CDN de alta defensa deben utilizarse para alimentar la IA. basta con escribir una consulta Splunk para encontrar el patrón de ataque:
Estos datos no sólo optimizan las estrategias de protección, sino que también estimulan a los proveedores de CDN: la última vez fueron los datos de registro los que hicieron que CDN5 admitiera que había una vulnerabilidad en el recuento de conexiones simultáneas en su pila TCP, y acabaron dándonos una actualización gratuita del clúster de protección.
Para ser honestos, el mercado actual de CDN de alta defensa es como una carrera armamentística, el atacante está utilizando IA para generar tráfico de ataque, y el defensor tiene que utilizar el aprendizaje automático para predecir los patrones de ataque. Entre los varios proveedores probados recientemente, la "expansión de predicción de IA" de CDN07 es un poco interesante, que puede predecir la ola de ataques con 5 minutos de antelación a través de los datos de inteligencia de amenazas y calentar automáticamente los recursos de protección. Aunque la tasa de precisión es actualmente de alrededor de 70%, ya es mucho más fuerte que la respuesta manual.
Si realmente quiere recomendar un programa, mi sugerencia es: utilice a diario 08Host para llevar a cabo ataques a pequeña escala (rentable), cambie a la protección elástica de CDN5 antes de las actividades a gran escala (gran reserva de recursos), y active el modo de protección AI de CDN07 cuando se encuentre con amenazas persistentes avanzadas (capacidad de programación inteligente). Por supuesto, la defensa más dura es siempre la capa empresarial para hacer el diseño distribuido y redundante - CDN es sólo un medio para ganar tiempo, la verdadera línea de defensa todavía tienen que dominar a sí mismos.
Finalmente lanzar una teoría violenta: en los próximos tres años, 90% "alta defensa CDN" marca desaparecerá, ya sea por los proveedores de la nube para ser incorporado, o transformado para hacer servicios de seguridad. Ahora el juego de estos deletrear pool de recursos tarde o temprano llegará a su fin, y en última instancia, sin duda irá a la ruta de la tecnología de programación de edge computing + AI. Así que ahora no sólo mirar las cifras de defensa al seleccionar un modelo, y examinar más de la inversión en I + D del proveedor y la ecología de la API, de lo contrario la "defensa de nivel T" comprado hoy puede convertirse en un legado digital el próximo año.
(Después de escribir y mirar las alertas de monitorización, otro cliente fue golpeado con un ataque de reflexión Memcached 380G - gotta, los fideos instantáneos de esta noche tendrá que ser comido con los registros de tráfico de nuevo ...... )
