Hace poco, varios amigos de grandes fábricas vinieron a verme y me hicieron la misma pregunta: ¿Se puede implantar una CDN de alta defensa de forma privada? Para ser sincero, si me hubieran planteado esta pregunta hace cinco años, habría lanzado un “no lo pienses, duérmete”. Pero la situación de entonces y la de ahora son cosas completamente distintas.
Cuando la CDN de alta defensa era básicamente un producto estandarizado, los recursos del nodo proveedor de servicios se empaquetaban en paquetes para venderlos, o aceptabas todo el paquete o pedías asesoramiento. Pero ahora no es lo mismo, me encontré con que el mercado se ha dividido en dos rutas muy diferentes - modelo de nube pública y modelo privado, como la diferencia entre la marcha automática y manual, cada uno con sus propios escenarios de aplicación.
Vamos a empezar con un caso real. El año pasado, un cliente financiero fue golpeado por DDoS no puede cuidar de su propia vida, el pico de tráfico se precipitó a 800G o más. Se utiliza un conocido CDN nube pública, los resultados de la otra parte directamente a ellos para participar en la limpieza del tráfico, el negocio se guarda, pero el retraso se disparó a 300ms +, el teléfono de quejas de los usuarios es casi estalló. Más tarde, me enteré de que las piscinas de recursos de nube pública dan prioridad a los clientes VIP cuando se enfrentan a grandes ataques, y los clientes ordinarios tienen que hacer cola y esperar para la programación.
Este es el núcleo del problema - la nube pública de alta defensa CDN es esencialmente un multi-tenant pool de recursos compartidos, y es inevitable que habrá una lucha por los recursos en el caso de un ataque. No mire el compromiso del proveedor de servicios para la protección del valor del cielo, realmente al momento crítico, sus prioridades de negocio puede no ser tan bueno como el de al lado del paquete anual de millones de grandes clientes.
La CDN de alta defensa desplegada de forma privada es una solución de dimensiones completamente diferentes. En pocas palabras, los nodos CDN se despliegan directamente en su propia sala de servidores o centro de alojamiento designado, y todos los recursos informáticos, de ancho de banda y de protección son exclusivos. Es como alquilar una película sin preocuparse de que alguien ocupe su asiento o de que su vecino le eche palomitas encima.
Pero no creo que “el despliegue privado es adecuado para todas las empresas” este tipo de mierda. He visto el caso más lamentable es un comercio electrónico de tamaño medio escuchar las ventas flimflam, duro en el CDN privatizado, los resultados del costo inicial de ochocientos mil, y luego tener que pagar la cuota anual de mantenimiento de 40%. Finalmente se encontró que su negocio no es ni siquiera hasta el nivel de la necesidad de recursos exclusivos, sólo para gastar dinero para comprar una comodidad psicológica.
Ahora en el mercado tiene algunos proveedores de servicios para apoyar el despliegue privado, pero la manera de lograr un montón de diferentes. Por ejemplo, CDN5 dedica a hardware y software todo-en-un programa, directamente a usted para enviar unos servidores personalizados sobre; CDN07 juego es un modelo de licencia de software puro, lo que le permite implementar su propio hardware; 08Host aún más absoluta, dedicada a un modelo de nube híbrida, por lo general con la nube pública, el momento clave para activar la derivación nodo privado.
En cuanto a la implementación técnica, el mayor quebradero de cabeza para mí es el tema de la sincronización de nodos. La configuración de la CDN de la nube pública se sincroniza globalmente, pero los despliegues privados tienen que encargarse ellos mismos de la sincronización de datos. Recuerdo una vez a una plataforma de vídeo para hacer la migración, sólo para refrescar la configuración de la caché casi me hizo estrellar:
Esto es sólo la sincronización de la configuración básica, realmente necesita para encontrar la reparación urgente de la vulnerabilidad, todos los nodos tienen que ser la actualización de rodadura. Una vez que la vulnerabilidad Log4j brote, el equipo de la noche a la mañana a la global de más de 40 nodos privados para parchear, operación y mantenimiento hermano casi renunció en el acto.
La configuración de la política de seguridad también es un trabajo técnico. Mientras que las CDN de nube pública suelen ser apuntar y hacer clic con una interfaz gráfica, las implementaciones privadas a menudo tienen que disgustar directamente a los archivos de configuración:
Para ser sinceros, los requisitos de este tipo de configuración para el equipo de operación y mantenimiento son más de un orden de magnitud superiores. Anteriormente, un cliente pensaba que todo iría bien si compraba una CDN privatizada, y como resultado, debido a la mala configuración que llevó a la interceptación errónea de usuarios normales, la UV cayó directamente por 30%.
De nuevo, está la cuestión del coste. CDN nube pública se suele facturar en función del volumen de tráfico también se puede hablar de descuentos. Pero el despliegue privado de la inversión inicial se puede asustar a la muerte - la cotización de un proveedor que he visto, un nodo único precio inicial de 500.000, sin incluir los costes de ancho de banda. El ancho de banda es la verdadera cabeza grande, exclusivo 100G cuota anual de ancho de banda suficiente para apoyar a varios equipo de I + D.
Sin embargo, para las empresas con necesidades reales, estas entradas vale la pena morder la bala en. Una empresa de juegos en línea privatizada CDN, latencia de 180ms hasta 40ms, la tasa de quejas del jugador directamente abajo 70%. más crítico es encontrar ataques DDoS, ya no es necesario y otros clientes para agarrar los recursos, su propia puede ser totalmente controlada estrategia de limpieza.
Ahora apoyar el despliegue privado de los proveedores de servicios se dividen aproximadamente en tres categorías: En primer lugar, los proveedores tradicionales de seguridad de red, tales como CDN5 esto, la ventaja es que las capacidades de seguridad de la precipitación de profundidad, pero el grado de flexibilidad es casi significado; En segundo lugar, el proveedor de servicios en la nube en nombre de la CDN07, la pila de tecnología es nueva, pero es fácil de atar lo ecológico; En tercer lugar, el 08Host este tipo de proveedores de CDN profesional, rentable, pero la respuesta del servicio puede ser la mitad de un latido más lento.
Selección Generalmente recomiendo que los clientes se centran en varios indicadores: el rendimiento del nodo (capacidad de procesamiento de solicitudes por segundo), la precisión de la protección (tasa de falsos positivos), escalabilidad (puede ampliar rápidamente), y el más crítico - el tiempo de respuesta de soporte de operación y mantenimiento. He visto a un vendedor comprometerse a un soporte 7 × 24 horas, realmente fuera de servicio pero tener que esperar 2 horas antes de que alguien responda, el CTO del cliente casi pone la sala de servidores a punto.
Los modelos de despliegue también son muy específicos. El despliegue puramente offline es adecuado para empresas con datos extremadamente sensibles, pero las actualizaciones son difíciles; el despliegue híbrido es más práctico, con los datos clave localizados y las actualizaciones de las reglas enviadas desde la nube a través de un canal cifrado. Un proyecto gubernamental en la nube utiliza un modelo híbrido, que cumple los requisitos de igualdad de protección y permite acceder a tiempo a las actualizaciones de inteligencia sobre amenazas.
Hoy en día, incluso las CDN tienen que “prevenir a los compañeros de equipo”. Algunos proveedores de servicios dicen que el despliegue de la privada, pero en secreto va a robar los datos de nuevo a la nube. Así que antes de firmar el contrato, asegúrese de dejar que el departamento legal de los términos del contrato clave clara, especialmente la propiedad de los datos y la autoridad de auditoría de operación y mantenimiento de estas dos piezas, de lo contrario, es gastar dinero para cavar un hoyo por sí mismos.
Por último, a decir verdad: la CDN de alta seguridad privatizada es como tener un guardaespaldas privado, es realmente segura y exclusiva, pero el coste no se lo puede permitir la empresa media. Según mi experiencia, a menos que se cumplan al menos dos de las tres condiciones siguientes, de lo contrario realmente no hay necesidad de considerar la privatización: el tráfico diario promedio de más de 1 TB, el negocio involucra datos sensibles, una vez sufrió más de 500G ataques DDoS.
Me olvidé de mencionar el punto más crítico - la reserva de talento. Para participar en CDN privada necesita al menos 2 operaciones de alto nivel y los ingenieros de mantenimiento, tanto para entender la red y para entender la seguridad también tienen que ser capaces de sintonizar. Visto el caso más trágico es una empresa rompió diez millones de despliegue de CDN privada, y, finalmente, porque nadie va a ser la operación y mantenimiento, sólo puede dejar que los ingenieros originales operan de forma remota, lo que equivale a gastar millones de dólares al año para levantar un equipo invisible.
Así que volvamos a la pregunta original: ¿las CDN de alta defensa admiten despliegues privados? La respuesta es sí, pero al igual que para comprar un coche deportivo a medida, hay que poder permitirse tanto el dinero como el equipo. Si usted todavía está indeciso sobre la privatización, mi sugerencia es encontrar CDN07 tales proveedores de servicios para probar una solución de nube híbrida, como el volumen de negocios hasta considerar completamente privado. 08Host programa de elasticidad también es bueno para apoyar la migración sin problemas de la nube pública a la implementación privada, para evitar una inversión de una sola vez es demasiado grande.
Después de todo, el negocio no es una carrera armamentista, la solución más adecuada es la mejor. A veces CDN nube pública añadir unas cuantas capas más de la estrategia de seguridad, el mismo puede lograr resultados inesperados, no hay realmente ninguna necesidad de “exclusiva” dos palabras persiguiendo ciegamente alta. Ahorrar dinero para contratar a algunos ingenieros de seguridad más, tal vez más que cualquier programa de gama alta son útiles.
