Recientemente, he ayudado a algunos clientes para hacer pruebas de penetración, y cuando me acerqué, le pregunté: “¿Ha utilizado un CDN de alta seguridad?” Como resultado, la mitad de la gente de vuelta a mí: “Con ah, pero no parece sentir la diferencia?” Me reí en ese momento - hermano, usted tiene miedo de comprar una falsificación de alta defensa, ¿verdad? En estos días, incluso el CDN tiene que “anti-teammates”, no sólo establecer un caché llamado alta defensa.
CDN de alta defensa es esencialmente en el CDN tradicional basado en el apilamiento de la armadura, para llevar la lucha contra los golpes todavía tienen que correr rápido. Pero muchas personas ciegamente en la alta defensa, los resultados del dinero gastado, el ataque llegó como de costumbre colapso. He encontrado que las diferentes industrias tienen diferentes necesidades de alta seguridad - juegos de baja latencia, el comercio electrónico miedo de woolgathering, los datos financieros para proteger ...... el programa equivocado? Eso es dar a los hackers una bonificación de fin de año.
En primer lugar, echa un jarro de agua fría: los CDN de alta defensa no son la panacea.Hay que averiguar exactamente contra qué hay que protegerse. ¿DoS? ¿Ataques de cc? ¿Robo de datos? ¿O simplemente miedo al tiempo de inactividad? Lo siguiente que combinado con la experiencia práctica, recoger una industria de 8 cómo elegir soluciones de alta seguridad, por cierto, escupir algunas palabras negras de la industria.
Industria del juego: el retraso es el papá
Los que juegan saben que los jugadores pueden pulverizar una pantalla llena de palabras Zuan si se quedan atascados un rato. Un CDN ordinario de alta defensa puede ser capaz de transportar 500Gbps DDoS, ¿pero el retraso se disparó a más de 200ms? Directamente genial. El año pasado, un juego secundario fue golpeado por una ola de 700Gbps ataques mixtos, con CDN5 línea BGP + programa de aceleración de TCP, el retraso es difícil de presión a 30ms o menos. La configuración clave está aquí:
No creas a los vendedores que presumen de “protección ilimitada”. Cuando se trata de inundaciones UDP masivas, muchos proveedores se limitan a ofrecerle rutas vacías. Tienes que buscar un CDN07 con capacidad de programación inteligente: el tráfico de ataque se corta automáticamente al centro de limpieza, y el tráfico normal va a la línea acelerada.
Industria del comercio electrónico: el partido anti-scraping es más urgente que el anti-hacking
Doble 11 cero ¿crees que es una lucha por los servidores? De hecho, es una lucha que puede llevar el guión del partido de lana. Una empresa de comercio electrónico transfronterizo se había cepillado millones de cupones, y luego en la solución WAF + análisis de comportamiento de 08Host, bloqueó directamente el segmento IP anormal + huella digital del dispositivo. Preste atención a esta configuración:
Estrategia de almacenamiento en caché de comercio electrónico también debe ser chabacano - páginas de productos pueden ser almacenados en caché, el inventario y los precios deben estar de vuelta a la fuente. Ha habido un cliente a la interfaz dinámica también se almacena en caché, los resultados del usuario para ver el precio de todos los de ayer ...... escupir sangre recomienda utilizar la computación de borde para hacer la verificación en tiempo real, aunque caro, pero realmente puede salvar vidas.
Sector financiero: seguridad > rapidez > coste
Bancos y valores de este tipo, la fuga de datos es peor que el tiempo de inactividad. Debe elegir una CDN con cifrado a nivel de certificado, como la compatibilidad con TLS 1.3 + algoritmos de secreto de estado. Una plataforma de capital privado con soluciones financieras CDN5, incluso las consultas DNS se realizan DNSSEC + cifrado HTTPS:
Una advertencia: los usuarios financieros no deben ser codiciosos para CDN barato con IP compartida! El riesgo de contaminación entre sitios puede hacer que su revisión de cumplimiento colgar directamente. Debe ser exclusivo IP + auditoría de registro de enlace completo, caro pero no puede ahorrar.
Industria del streaming: el coste del ancho de banda puede llevar a la gente a la muerte
Vídeo 4K no se mueve unos pocos G, DDoS no puede matar a usted, la factura de ancho de banda también puede ser asesinado. Tienes que usar una solución con caché P2P y optimización de compresión.La solución de vídeo de 08Host se mide para ahorrar 40% de ancho de banda - confiando en los nodos de borde para hacer caché de corte de vídeo, transcodificación H.265 + ajuste dinámico de la tasa de bits:
¡Lo más lamentable que he encontrado: un proveedor de “ancho de banda ilimitado” en realidad limita el número de conexiones a un solo nodo! De repente ráfaga de fuego cuando la carga de vídeo directamente en el PPT. ahora elegir el proveedor debe mirar el número de nodos y la estrategia de equilibrio de carga.
Sector público: el cumplimiento es la línea roja
Para ayudar a un sitio web del gobierno para hacer la migración, se encontró que utilizan el nodo CDN en realidad fuera del país ...... prisa para cambiar el CDN con licencia nacional07. Sistema de gobierno debe cumplir: ① datos no salen del país ② ICP archivo ③ igual al tercer nivel de retención de registro. Debe añadirse la configuración de la función de auditoría:
Escúpelo: algunos vendedores soplan “nodos globales”, pero el proyecto del gobierno ¿se atreve a usar nodos offshore? Minuto a minuto violación de las leyes de seguridad de la red. También tenemos que prestar atención a desactivar el acceso IP extranjera, anti-escaneo al mismo tiempo para evitar algunos riesgos indecibles.
Industria de la educación: el tráfico repentino se lleva la palma
¿Cuántos cursos de educación en línea se colapsaron durante la epidemia? Una plataforma de clases online utiliza el programa de aceleración dinámica de CDN5 para superar las 800.000 peticiones por segundo el día de la inauguración. El secreto es: ① precarga estática de recursos ② API dinámica cerca de la fuente de vuelta ③ programación subregional (red de educación ir CERNET). Aspectos destacados de la configuración:
Lágrimas de sangre lección: no rellenar todos los recursos CDN! transmisión en vivo de empuje tiene que utilizar una línea dedicada, de lo contrario lag puede dejar que los estudiantes colectivamente cepillarse una estrella. Hubo un servicio de transcodificación PPT cliente también colgar CDN, los resultados de la cola de conversión de pico a dos horas después de la cola ......
Sector sanitario: la protección de la intimidad es un salvavidas
¿Violación de datos médicos? La pena es hasta dudar de su vida. Un hospital de Internet utiliza la CDN específica para medicina de 08Host, todos los datos se cifran antes de aterrizar e incluso la caché se almacena con cifrado AES-256:
Nota especial: los proveedores de CDN deben firmar acuerdos de cumplimiento de HIPAA o GDPR (dependiendo del ámbito de negocio). Muchas pequeñas fábricas simplemente no se atreven a firmar, algo pasó para volcar la olla más rápido que nadie.
Industria del IoT: la certificación de dispositivos en el centro
¿Dispositivos domésticos inteligentes secuestrados? Entonces la cámara de su casa puede estar transmitiendo globalmente. Una empresa de hogares inteligentes cambió su solución tras ser pirateada: cada dispositivo vincula un certificado + nodo de borde CDN para la autenticación TLS bidireccional:
El escollo del IoT es el gran volumen de dispositivos: el límite de conexiones simultáneas de una CDN normal puede dejar caer decenas de miles de dispositivos al mismo tiempo. Tienes que ir con un proveedor que soporte millones de conexiones largas, como los nodos específicos de IoT de CDN07.
Resuma los puntos secos:
Elegir una CDN de alta defensa es como comprar un seguro: no crees que perderás dinero si algo sale mal, y no crees que sea suficiente si algo sale mal. Después de tantos proyectos, he resumido tres leyes de hierro:
Por último decir una palabra de ofensa: alta defensa CDN esta línea de agua es demasiado profunda, algunos vendedores de “soluciones personalizadas” es en realidad para cambiar una plantilla de configuración. No creo que el golpe de ventas “tecnología exclusiva”, directamente al informe de prueba y casos de clientes - realmente buenos vendedores, no puede esperar para que pueda inspeccionar las mercancías en el sitio.
(conclusión)
