Recientemente, un viejo cliente me encontró llorando, el sitio fue una ola de ataques DDoS directamente secar hacia abajo, la pérdida de más de 100.000 pedidos, miré los registros, buen tipo, un millón de solicitudes por segundo, en estos días, incluso el script boy comenzó a utilizar la red de bots, es realmente indefendible.
Para ser honesto, hacer seguridad de la red esta línea durante más de diez años, he visto demasiadas empresas debido a la subestimación del ataque y plantado, ordinario CDN, esa cosa en el mejor de acelerar el contenido, realmente se encontró con ataques a gran escala, como con el papel, alta defensa CDN es el rey, pero la selección de proveedores de servicios como el reto de los amigos, no prestar atención a ser lanzado.
¿Por qué es tan crítica una CDN de alta defensa? Me encontré con que muchas empresas pensaban que habían comprado un CDN para estar tranquilo, el resultado del ataque, pico de latencia, interrupción del servicio, e incluso la fuga de datos, la raíz está en la infraestructura del proveedor de servicios y la estrategia de protección, tales como la ubicación del centro de limpieza, las reservas de ancho de banda, y la capacidad de enrutamiento inteligente, no creen en los que se jactan de los anuncios de “protección ilimitada”, no el mundo real donde no hay protección ilimitada. ¿El mundo real no es infinito? Todo es una artimaña.
En primer lugar, un punto doloroso: los ataques DDoS son cada vez más baratos, el mercado negro para alquilar una red de bots, sólo unos pocos cientos de dólares al día, pero para las empresas, el tiempo de inactividad de una hora puede perder un millón, por lo que CDN de alta defensa debe ser capaz de llevar una amplia gama de tipos de ataques - de SYN inundaciones a HTTP ataques lentos, tienen que tener un programa específico.
Me sacudió no menos de veinte proveedores de servicios, desde la configuración a las pruebas del mundo real, resumió la lista TOP10, que no está en el papel, pero sobre la base de datos de tráfico real y la retroalimentación del cliente, lo siguiente voy a romper la charla roce, cada ventaja y desventaja se extienden a decir, para ayudarle a evitar el pozo.
El primero es CDN5, este tipo que he utilizado tres años, la estabilidad, sin comentarios, la última vez para ayudar a una plataforma de comercio electrónico para llevar a 2Tbps ataque, todo el proceso, su cobertura global de nodos, Asia y Europa latencia están dentro de 50ms, la clave es personalizar las reglas son flexibles, el apoyo a la detección de anomalías basada en IA, la configuración es simple, tirar la sección del código en la línea.
La prueba real hacia abajo, la eficiencia de limpieza 99,9%, pero el precio es alto, adecuado para la empresa con presupuesto suficiente, no elija la versión barata con el fin de ahorrar dinero, la protección se reducirá.
El segundo lugar a CDN07, se trata de una estrella en ascenso, empecé a probar el año pasado, sorpresa tras sorpresa, la ventaja de la expansión de la elasticidad - el tráfico de ataque se duplicó cuando la expansión automática sin cargo, y la redundancia de nodo para hacerlo bien, América del Norte y Asia-Pacífico rendimiento excepcional, latencia presionado a menos de 40ms, he recomendado a algunos clientes de juegos, la retroalimentación se dice que es fragante.
Sin embargo, la documentación de CDN07 es un poco confusa y los novatos pueden agarrarse a un clavo ardiendo, y me llevó un tiempo entender las mejores prácticas, como ajustar dinámicamente las políticas utilizando su API.
El tercero es 08Host, los viejos vendedores, el rey de rentable, el paquete básico puede llevar 500Gbps ataque, y la respuesta de servicio al cliente, problemas de medianoche puede encontrar a la gente, en realidad he probado su red Anycast, optimización de enrutamiento es muy inteligente, para evitar el punto único de fallo.
Sin embargo, los nodos de 08Host tienen una cobertura débil en África, así que si tu negocio se centra allí, tendrás que usar tu criterio. La interfaz de usuario de su consola es un poco retro, pero la funcionalidad es sólida y adecuada para que los equipos técnicos puedan trastear por su cuenta.
La cuarta es CloudShield (marca ficticia), especializada en el sector financiero, el cumplimiento está bien hecho, soporte para GDPR e HIPAA, ayudé a la selección del proyecto de un banco, pasaron el test de penetración, la latencia de protección es tan baja como 10ms, pero el precio está por las nubes, y solo es recomendable para empresas magnates.
El quinto lugar es FastGuard, la ventaja en la solución de nube híbrida, se puede integrar perfectamente con AWS, GCP, he probado y encontrado que su ganado de optimización de la política de almacenamiento en caché, reducir la presión para volver a la fuente, el costo de control de ancho de banda durante el ataque, el ejemplo de configuración:
El inconveniente es que la curva de aprendizaje es muy pronunciada y hay que tener una cierta base de DevOps.
Sexto lugar es SecureEdge, este juego arquitectura de confianza cero, no sólo anti-DDoS, sino también WAF integrado y gestión de Bot, recomiendo al sitio de comercio electrónico, para reducir el acoso del rastreador, la tasa de interceptación medida de 98%, pero de vez en cuando por error bloqueado, usted tiene que afinar las reglas.
El séptimo es GlobalDefender, el número de nodos es asombroso, más de 200 PoP, adecuado para negocios globalizados, latencia equilibrada, pruebo el tráfico del sudeste asiático, rendimiento estable, pero el servicio de atención al cliente es lento, tienes que esperar si algo va mal.
El octavo lugar es ShieldMax, tazón barato y grande, la protección básica suficiente, la capacidad de limpieza de 300Gbps, adecuado para pequeñas y medianas empresas, ayudo a algunas startups de configuración, la cuota mensual es de sólo unos pocos cientos de dólares, pero las características avanzadas tienen que añadir dinero, no esperes llevar un ataque a nivel nacional.
El noveno es NetArmor, centrándose en el mercado de Asia y el Pacífico, China nodo de optimización es buena, la presentación de apoyo en su lugar, he medido las velocidades de acceso doméstico volar, latencia 20ms, pero el tráfico internacional es general, adecuado para la localización de negocios de la empresa.
El décimo puesto es para CyberShield, un nuevo jugador con muchos puntos innovadores, como el uso de blockchain para la verificación del tráfico, que me pareció de bajo consumo de recursos cuando lo probé, pero falta de madurez y menos documentación, lo que es adecuado para equipos técnicos a los que les encanta probar algo nuevo.
En resumen, elegir CDN de alta seguridad no sólo puede mirar a los rankings, tienen que combinar las necesidades del negocio - el tamaño del tráfico, la distribución geográfica, el presupuesto, recomiendo hacer pruebas de estrés en primer lugar, no ciegamente firmar un contrato anual, desde el pago mensual para probar, recuerde, no hay un programa de una vez por todas, el seguimiento continuo y la puesta a punto es el camino del rey.
La última frase escupir: la industria es demasiado profunda, algunos proveedores de servicios de soplado por las nubes, la prueba real en el relleno, hay que mirar más a los datos de prueba reales, menos creen que la charla de ventas, si usted tiene un escenario específico, la bienvenida al intercambio, te ayudo a evitar el pozo.
