Recientemente, ayudé a la empresa de mi amigo a hacer frente a un ataque DDoS, y al ver el solitario dispositivo anti-DDoS en su sala de servidores con una luz roja y alarmas locas, de repente me di cuenta de que muchos líderes de seguridad empresarial simplemente no piensan en ello: ¿deberíamos utilizar un CDN de alta defensa o hardware anti-DDoS tradicional en estos días?
En ese momento, su equipo de un millón de dólares era como un embudo sobrecargado, obviamente la entrada ha sido bloqueada, y el tráfico empresarial no puede entrar en absoluto. El equipo técnico rodeó la máquina medio día, y al final sólo pudo ver cómo se hundía el negocio. He visto esta escena demasiadas veces, muchas empresas piensan que el equipo de hardware comprado en todo está bien, de hecho, no es así en absoluto.
Empecemos por la diferencia esencial
Equipo Anti-DDoS es como una puerta de seguridad en su casa, instalado en la salida de la red de la empresa, todo el tráfico tiene que pasar a través de él para detectar. La ventaja es un fuerte control, puede ver los datos de tráfico originales, adecuado para negocios de intranet que requieren una detección en profundidad. Pero el defecto fatal es - el tráfico de ataque y el tráfico normal abarrotarán su ancho de banda de salida, una vez que el tráfico de ataque supere la capacidad de ancho de banda, toda la red se paralizará por completo.
Las CDN de alta defensa, en cambio, dirigen el tráfico a centros de limpieza distribuidos. Los proveedores de servicios como CDN5 tienen docenas de nodos de limpieza en todo el mundo, y el tráfico de ataque se digiere en los nodos de borde, y sólo el tráfico normal se enviará de vuelta a su servidor. He comprobado que incluso si me encuentro con un ataque mixto de 300 Gbps, el consumo de ancho de banda de la estación de origen no superará los 100 Mbps.
Lo que cuenta es la comparación de costes.
Comprar un equipo de hardware anti-DDoS, el primer año de inversión será de 80-2 millones, sin contar los costes anuales de mantenimiento 20%. Más necesidad de la vida es la necesidad de ingenieros de seguridad a tiempo completo para mantener, sólo la contratación cuesta otros trescientos o cuatrocientos mil. Muchas empresas no entienden la cuenta, pensando que una inversión de una sola vez se ha terminado.
La CDN de alta defensa, por su parte, es un modelo de pago por uso. Al igual que el programa de facturación flexible de CDN07, el tráfico mensual garantizado de 5 TB más el exceso de facturación a la carta, las pequeñas y medianas empresas para controlar el coste mensual de entre 1 y 3 millones. Incluso si el ataque repentino genera costes de limpieza, es mucho más rentable que el programa de hardware autoconstruido. El año pasado, una promoción de comercio electrónico fue atacado durante el coste final del programa CDN es sólo 80.000 yuanes, si se utiliza el equipo de construcción propia a gastar más de seiscientos mil en la expansión de ancho de banda.
No creas en la “solución todo en uno”.”
Algunos vendedores promoverán la llamada “solución todo-en-uno”, de hecho, es el equipo de CDN y hardware empaquetado para la venta. He desmontado el programa de un proveedor, se encontró que el despliegue de la nube de equipos de hardware antiguo, la contracción del rendimiento es grave. No creo que los que se jactan de un solo punto de defensa de clase T equipo de ataque, la prueba real, incluso 200Gbps ataques mixtos no pueden llevar.
Una solución verdaderamente fiable sería la defensa por capas:
Los negocios web deben utilizar CDN de alta defensa, como la red Anycast global de 08Host puede dispersar eficazmente el tráfico de ataque. Los servidores clave del negocio conservan equipos anti-DDoS para protección secundaria, base de datos y sistemas internos más una capa de protección del host. De este modo, incluso si se rompe una determinada capa, hay otras líneas de defensa para apoyar.
Vea aquí un ejemplo de configuración
Tomemos como ejemplo la configuración de Nginx + CDN de alta defensa, la clave es hacer un buen trabajo de protección del sitio fuente:
En cambio, la configuración de las políticas de los dispositivos de hardware es más compleja y debe ajustarse a los distintos protocolos:
Mis consejos prácticos
Las organizaciones financieras, gubernamentales y otras que necesitan un control absoluto son adecuadas para equipos de hardware, pero deben estar equipadas con un equipo profesional para la operación y el mantenimiento 7×24 horas. Negocios de Internet, juegos, comercio electrónico y otros servicios de cara al público, la selección directa de CDN de alta defensa es más fiable, especialmente la función de programación inteligente de CDN5 realmente puede ahorrar un montón de dolores de cabeza.
La solución híbrida es el camino del rey: el negocio principal con equipos de hardware para proteger el fondo, servicios externos con CDN de alta seguridad para transportar el tráfico. Después de que una empresa que cotiza en bolsa desplegara esta solución, el coste anual de protección DDoS se redujo en 40%, y no hubo más interrupciones de negocio.
Por último, un hecho sólido: 90% empresas simplemente no necesitan construir su propio sistema de protección anti-D. Levantar el equipo para comprar equipo suficiente dinero para comprar diez años de servicios de CDN, y la base de datos de inteligencia de amenazas de la empresa de seguridad profesional y reglas de defensa en tiempo real, mucho más oportuna y eficaz que la base de reglas auto-construido por la empresa.
Hay un viejo dicho en el círculo de la seguridad: no utilices mano de obra para amontonar problemas que pueden resolverse con dinero. Viendo a los que se pasan toda la noche mirando la consola de protección del equipo técnico, realmente quiero aconsejarles a principios de cosas profesionales a los productos profesionales.
