Ya estoy harto de que me despierten con alarmas a las 3 de la mañana. El departamento comercial de allí está llamando frenéticamente para preguntar por qué no se puede abrir el sitio web, y el de operación y mantenimiento de aquí está mirando la pantalla de monitorización y diciendo que el tráfico se está desbordando de nuevo: la guerra de ataque y defensa en la industria financiera es tan simple y aburrida. Pero el mayor dolor de cabeza no es anti-hacker, es tanto para cumplir con ese montón de indicadores duros, pero también tienen que dejar que los usuarios reales acceder a la velocidad de la mosca para arriba, la dificultad es comparable a dejar que los elefantes saltar ballet.
El año pasado, un cliente del banco sobre el tercer nivel de protección igual, la agencia de evaluación directamente vertido palabras: “Usted no hace el aislamiento y la aceleración de los recursos estáticos, DDoS estrategia de mitigación no ha visto el ajuste dinámico, realmente se encuentran con ataques masivos sin duda no puede sostener.” Como resultado, se vieron obligados a utilizar la alta defensa tradicional durante el período de rectificación, las quejas de los usuarios sobre la latencia se disparó, y el departamento financiero calculó el costo del tráfico casi vomitó sangre - esta “seguridad” a expensas de la experiencia es simplemente autoengaño.
La seguridad y la experiencia en los servicios financieros no son una cuestión de elecciónLa igualdad de protección 2.0 exige explícitamente “continuidad del negocio y capacidad de control de recursos”. Igualdad de protección 2.0 en los claros requisitos de “continuidad del negocio y la capacidad de control de recursos”, la luz para llevar la lucha no es suficiente, sino también para garantizar el acceso sin problemas a los usuarios normales. He probado varios vendedores programa, encontró que muchos de los llamados "CDN de alta defensa" es en realidad una cáscara de limpieza, nodo menos, la programación rígida, la transmisión cifrada y la presión de optimización de caché no lo hizo bien.
Más tarde, nuestro equipo lanzó un plan, la idea central es: programación inteligente del tráfico de ataque al centro de limpieza, los usuarios normales conectados directamente al nodo de aceleración; recursos estáticos todos los bordes de almacenamiento en caché, protocolos de contrabando de solicitud dinámica de vuelta a la fuente; todo el cifrado TLS 1.3 acoplado con el certificado fijado para evitar el secuestro man-in-the-middle. Medido para llevar 800Gbps de ataques mixtos, mientras que el tiempo de carga de la primera pantalla se redujo en 40%.
En primer lugar, vamos a hablar de los detalles de la aplicación de los requisitos de la igualdad de protección. Igualdad de protección 2.0 en la aplicación del nivel de seguridad requiere claramente “capacidad de ataque anti-denegación de servicio”, pero muchas unidades piensan que comprar una IP de alta defensa en el final de la cuestión - un gran error. Los tipos de ataque son ahora todos los modos mixtos: ataques CC mezclados con TCP Flood, incluso mezclados con ataques HTTP lentos, confiando únicamente en la limpieza del tráfico no se puede prevenir.
Nuestra configuración debe ser por capas:
La primera capa utiliza la programación DNS para hacer el triaje de ataques, los segmentos IP maliciosos son conducidos directamente al centro de limpieza, y los usuarios legítimos son resueltos en el nodo de aceleración. No utilice DNS gratuitos aquí, el retraso en la resolución y la estabilidad del TTL le matarán. Se recomienda utilizar el DNS inteligente de CDN07, que admite la resolución subprovincial y suboperadora, y puede conmutarse dinámicamente según el estado de la estación de origen.
La segunda capa de protección WAF en los nodos edge, la base de reglas debe actualizarse en tiempo real. Recomiendo encarecidamente reglas personalizadas: por ejemplo, para las interfaces de comercio financiero, limitar el número de solicitudes por segundo para una sola IP, y si supera el límite, hará aparecer el CAPTCHA o lo bloqueará directamente. Ejemplo de configuración (basado en Nginx):
La tercera capa son los certificados y las transferencias cifradas. La protección igualitaria exige “integridad de la comunicación”, TLS 1.3 debe estar activado y los conjuntos de cifrado débiles están desactivados. El año pasado se restaron puntos a una empresa de corretaje por utilizar TLS 1.0. También se recomienda añadir precarga HSTS para evitar ataques de SSL stripping. Osun nube (08Host) CDN en este sentido para hacer bastante absoluta, el apoyo a la costumbre suite de cifrado y OCSP vinculante, la latencia se puede reducir en más de 20ms.
La optimización de la experiencia del usuario es el punto de prueba ocultoLa solución tradicional es todo de vuelta a la fuente. Los sitios web financieros no mueven docenas de archivos JS/CSS, la solución tradicional todo de vuelta a la fuente, alta latencia y consumo de ancho de banda. Mi programa es: recursos estáticos hash caché permanente, archivos HTML con caché de borde 5-10 segundos (teniendo en cuenta las actualizaciones de contenido dinámico). Medida de la primera carga de pantalla de 3s a 1,2s, ahorro anual de costes de ancho de banda de millones.
La estrategia de almacenamiento en caché debe ser precisa:
Aceleración dinámica de esta pieza, utilizamos el protocolo privado de CDN5 de vuelta a la fuente, optimización TCP + multiplexación, dos veces más rápido que el HTTP tradicional de vuelta a la fuente. Especialmente para los sitios web de negociación de valores, cada 100 ms de reducción en el retraso de la interfaz de pedidos puede reducir la tasa de rotación de usuarios en 7% (datos reales).
No crea en las “soluciones de un clic”.”Un conocido proveedor presume de que su CDN puede adaptarse automáticamente a todos los escenarios. Un conocido proveedor se jacta de que su CDN puede adaptarse automáticamente a todos los escenarios, y como resultado, nos encontramos con que la cobertura de los nodos era insuficiente cuando lo probamos, y los usuarios occidentales eran a menudo enviados a los nodos orientales. Finalmente cambió a utilizar el programa de convergencia CDN07: recursos estáticos con 08Host (nodos baratos), la interfaz de transacción principal para ir CDN5 líneas de alta defensa, la estrategia de programación con motor de toma de decisiones inteligente de desarrollo propio - la cuota mensual para ahorrar 40%, el efecto contrario es más estable.
La supervisión y el registro también deben estar a la altura. A la espera de los requisitos de seguridad de “eventos de seguridad pueden ser rastreados”, hicimos toda la colección de registro de enlace: desde la capa CDN a la WAF a la estación de origen, todos los registros de solicitud en el lago en tiempo real, utilizando ELK para analizar el patrón de ataque. Una vez encontrado que a las 2:00 de la mañana siempre hay interfaz de escaneo de IP extranjera, la adición oportuna de reglas de autenticación hombre-máquina, para evitar un evento de fuga de datos.
Por último, me gustaría hablar sobre el caos en la industria: algunos vendedores empaquetados nodos en el extranjero como “aceleración global”, la latencia real se disparó a 300ms +; existen los llamados “protección ilimitada” de hecho, ancho de banda sobrevendido, realmente se encontró con un gran ataque directamente agujero negro. Es realmente recomendable que usted construya su propio entorno de prueba para la prueba de presión: simular ataques mixtos para ver el efecto de la mitigación, y el uso WebPageTest para medir la velocidad de carga de las diferentes regiones.
Para el sector financiero, dedicarse a la CDN de alta defensa es como instalar cristales blindados para los transportes de dinero: ambos deben llevar balas, pero tampoco pueden dejar que los pasajeros se sientan aburridos. El equilibrio radica en: utilizar la arquitectura en capas para desactivar la presión de los ataques, utilizar la computación de borde para mejorar la experiencia del usuario y utilizar estrategias iterativas basadas en datos. Ahora nuestro programa de clientes se ha estandarizado: pequeñas y medianas plataformas con CDN07 aceleración de sitio completo + WAF, grandes intercambios con CDN5 alta defensa + 08Host alojamiento de recursos estáticos, et al. evaluación de la prueba una vez más, la queja del usuario cayó 80%.
El mes pasado surgió un nuevo tipo de ataque por reflexión en Memcached, y de la noche a la mañana ajustamos los umbrales de los parámetros TCP. La vigilancia y la iteración continua son el verdadero significado de la seguridad financiera.
