A las 3 de la mañana de ese día, una llamada de emergencia del equipo de O&M me despertó. Una plataforma de servicios del gobierno local se paralizó de repente, la página abrió todos los desafíos CAPTCHA, la gente simplemente no puede hacer negocios. El pico de tráfico de ataque se precipitó a 300Gbps, el firewall tradicional como papel maché. Después de este incidente, entiendo completamente: el CDN del sistema de servicio del gobierno no es una herramienta de aceleración, sino una línea de defensa de la vida y la muerte.
Un sitio web gubernamental y un sitio web empresarial ordinario son dos conceptos completamente diferentes. Lo que usted está enfrentando puede ser una organización APT offshore mirando los datos, o puede ser un script kiddie practicando. Pero lo peor es - espere a que el cumplimiento de seguros está claramente escrito: pero todos los sistemas que implican datos privados de los ciudadanos, debe tener la capacidad anti-DDoS, protección de aplicaciones Web, el cifrado de enlace completo. ¿Falta uno? Aceptación directamente darle una tarjeta roja.
He visto demasiadas unidades engañados por vendedores sin escrúpulos. Comprar un CDN comercial ordinaria se atreven a establecer en el sistema de gobierno, el resultado es esperar a que la evaluación de seguridad encontró que incluso los registros de ataque no se puede extraer. La sentencia del auditor "capacidad de protección no puede ser verificada" directamente le permiten medio año de trabajo para nada. Lo que es aún peor es que los propios nodos de algunos proveedores de CDN no son conformes, y los datos se dan la vuelta fuera del país, por lo que el tercer nivel de protección igual se convierte directamente en nivel cero.
Realmente puede luchar contra el gobierno de alta defensa CDN, tienen que resolver tres cosas al mismo tiempo: la primera es llevar un gran número de ataques, el segundo es la integridad de la cadena de pruebas de cumplimiento, y el tercero es el fracaso de los casos extremos de auto-sanación. No mires tantas marcas CDN en el mercado, puede hacer todas estas tres con los dedos para contar más.
Empecemos por la capacidad anti-D. Los ataques CC más comunes y las inundaciones TCP en los sitios web del gobierno, confiando sólo en la limpieza del tráfico simplemente no es suficiente. Me di cuenta de que muchos vendedores se jactó de la protección de nivel T hay agua seria - que sólo cuentan el ancho de banda de exportación de la sala de servidores, pero la capacidad de un solo nodo puede ser inferior a 50 G. El programa real de nivel de gobierno debe ser utilizado como CDN5 limpieza multinivel: nodos de borde primero anti-80% ataques a pequeña escala, el tráfico a gran escala antes de programar al centro de la alta defensa. El año pasado, cuando una oficina de seguridad social de la ciudad fue golpeado, el tráfico de ataque al instante se precipitó a 470G, es confiar en este diseño en capas difícil de comer hacia abajo.
La protección de las aplicaciones web es el verdadero punto débil. Hay muchos middleware antiguos en el sistema gubernamental, y la vulnerabilidad de Struts2 se está convirtiendo en un arte tradicional. Una buena base de reglas WAF debe contener características gubernamentales, como la protección contra la rotura violenta para la interfaz de consulta de la seguridad social y la base de características de inyección SQL para el sistema de aprobación administrativa. Algunos vendedores utilizan directamente reglas genéricas para hacer el tonto, y como resultado, se bloquean las solicitudes de declaración normales: la gente que sube una foto de carné de identidad dispara una alerta de "vulnerabilidad de carga de archivos", lo que no detiene el negocio?
El cumplimiento de la normativa es el mayor escollo. Las agencias de evaluación quieren ver sus registros de seguridad, estadísticas de interceptación de ataques y registros de respuesta a emergencias durante al menos seis meses. Muchos proveedores de CDN simplemente no pueden derivar un formato de informe que cumpla los requisitos de la garantía de igualación en segundo plano. Lo que es aún más indignante es que algunos nodos, con el fin de "optimizar la velocidad", incluso ponen el descifrado del certificado HTTPS en el procesamiento del servidor offshore. Si se descubre que la transmisión de datos es fuera del país, directamente se veta todo el proyecto.
La estabilidad es algo que puedo escupir durante tres días y tres noches. Un conocido proveedor el año pasado para participar en la "optimización de nodos", a medianoche en secreto ajustar la estrategia de enrutamiento, lo que resulta en un retraso colectivo en las siete provincias del mini-programa de gobierno. El tráfico del gobierno es el más tabú es la programación inesperada - nunca se sabe cuando un líder para reunirse para demostrar el sistema. Ahora elijo mirar el diseño de aislamiento de fallos, como CDN07 "recuperación de desastres celular" es bueno: un tiempo de inactividad nodo físico, el tráfico no es toda la red redispatch, pero el control en la misma ciudad de conmutación de unidades de doble vida, el negocio es simplemente sin sentido.
Hay más baches a nivel de configuración. Muchos equipos piensan que encender WAF está bien, de hecho, las reglas por defecto ni siquiera puede hacer la protección básica. El sistema de gobierno debe ser reglas personalizadas, tales como la limitación de la misma IP sólo puede solicitar la interfaz de verificación de identidad una vez en 10 segundos:
No se olvide de la gestión de certificados. El sistema de gobierno debe utilizar el certificado de algoritmo de secreto de estado, pero muchos vendedores CDN no apoyan SM2/SM3. el año pasado, una ciudad tuvo un accidente - el uso de los EE.UU. vendedores CDN, certificado SSL fue revocado de repente, lo que resulta en el sistema de seguro de salud de la ciudad paralizada durante dos horas. Ahora miro al proveedor para preguntarle tres cosas primero: ¿soporte de secreto de estado? ¿Se puede gestionar el certificado de forma independiente? ¿Es compatible con el alojamiento de máquinas de cifrado por hardware?
Cuando se trata de la selección de la marca, el mercado para satisfacer realmente las necesidades del gobierno, de hecho, tres categorías: una es como CDN5 como el equipo nacional, el cumplimiento es inmejorable, pero el precio es doloroso; el segundo es CDN07 este tipo de tecnología, la programación inteligente es realmente grande, pero la necesidad de personalización en profundidad; la tercera es 08Host este tipo de guerreros precio-rendimiento, las características básicas son sólidos, pero las características avanzadas tienen que aumentar el dinero. No creas en la tontería del "paquete completo", he visto el contrato más lamentable "consulta de registro en tiempo real" contado como servicios de valor añadido, otros 200.000 al año.
Por último, una lección para llorar: mantén siempre el canal de emergencia de la estación de origen. Después de una unidad de cortar todo el tráfico a CDN, el proveedor de repente actualizar el sistema, lo que resulta en el fracaso de resolución de DNS. Su operación y mantenimiento de la estación de origen IP para ocultar demasiado profundo, su propia gente no puede encontrar un programa de acceso de copia de seguridad. Al final, sólo pudimos ver el sistema se caiga durante 6 horas. Ahora mi equipo requisitos obligatorios: cualquier programa de CDN debe ser configurado con un CNAME de copia de seguridad, y una vez al mes para la estación de origen conectado directamente al ejercicio.
Las características del tráfico del sistema gubernamental también son muy especiales. De 9 a 11 de la mañana es el pico de acceso a la seguridad social y el seguro médico, de 2 a 4 de la tarde la aprobación administrativa centralizada, y a final de mes se llenan varios sistemas de declaración. Una buena CDN debería ser capaz de predecir estos picos y realizar una expansión elástica. Algunos vendedores de "expansión ilimitada de la capacidad" es en realidad un truco - realmente a la oleada de tráfico cuando se le dice a "activar el principio de uso justo" directamente limitar el flujo. Así que el contrato debe ser escrito "garantizar el pico de ancho de banda" y "tiempo de respuesta de expansión".
Los indicadores de seguimiento deben ser más serios. Basta con un sitio web normal para ver la utilización del ancho de banda, el sistema gubernamental tiene que supervisar el nivel de negocio: cuántas veces por segundo tiene éxito la interfaz de verificación del DNI, el tiempo medio de respuesta del sistema de documentos, la tasa de rebote de la página de declaración en línea. Una vez probada la consola de un proveedor, que afirma monitorización en tiempo real, pero en realidad hay un retraso de 3 minutos - este retraso en el caso de un ataque suficiente para que el sistema se bloquee ocho veces.
De hecho, el núcleo sigue siendo la división de responsabilidades. Sistema de gobierno en la nube ≠ responsabilidad en la nube. Hubo un tiempo en que algunos vendedores volcaron la olla y dijeron: "Sólo garantizamos la seguridad de la capa de red, y los ataques a la capa de aplicación no se consideran un ámbito de servicio". Ahora, antes de firmar el contrato, dejo que el departamento jurídico añada esta frase: "Todo el tráfico que entra a través del nodo CDN, independientemente de la capa en la que se produzca el ataque en la OSI, pertenece al ámbito de protección". No creas que es para tanto, cuando algo ocurre de verdad esta cláusula es un salvavidas.
Dijo tanto, de hecho, la selección para captar tres principios: en primer lugar, mirar el informe de evaluación de la garantía igual ha sido un caso de éxito, el segundo para hacer la prueba de presión de tráfico real (no creo que el proveedor para proporcionar un entorno de prueba), el tercer cheque la renuncia de contrato no hay mina enterrado. Por cierto, me gustaría compartir un consejo - iniciar sesión en la consola del proveedor después de las 10 pm, si el gráfico de monitoreo de nodo muestra una gran cantidad de puntos de interrupción, significa que están haciendo en secreto el mantenimiento, y esto absolutamente no se puede utilizar en el nuevo sistema de servicio.
Nunca hay una bala de plata en tecnología. Recientemente, estuve ayudando a un ministerio a actualizar su arquitectura, y descubrí que, aunque utilizara una CDN de alto nivel y alta defensa, seguía necesitando formar una arquitectura de nube híbrida con nodos de borde autoconstruidos. Especialmente el intercambio de datos sensibles, utilizamos CDN07 para acelerar el contenido estático + canal cifrado autoconstruido para transmitir el programa de datos empresariales, tanto para cumplir los requisitos de igualdad de protección como para garantizar la experiencia del usuario. Hay dinero que no se puede ahorrar y arquitecturas que deben ser redundantes: es la ley de hierro del funcionamiento y el mantenimiento de los sistemas gubernamentales.
Ahora, cada vez que veas el logotipo de "Certificación del equipo nacional" flotando en la parte inferior de una página web gubernamental, sabrás que detrás hay al menos tres capas de arquitectura de alta defensa de apoyo. A la gente no le importará que uses tecnología negra, pero la página se retrasa un segundo para quejarse de la llamada al teléfono rojo del alcalde. Para ser honesto: elegir el CDN derecho no es un problema técnico, es una cuestión de conciencia política - después de todo, ¿quién no quiere caer de la cadena debido a que el proveedor, mañana con un informe de rectificación para ir a la oficina de liderazgo para tomar el té, ¿verdad?
