À 3 heures du matin, un appel d'urgence de l'équipe O&M m'a réveillé. Une plateforme de services de l'administration locale a été soudainement paralysée, la page a ouvert tous les défis CAPTCHA, les gens ne peuvent tout simplement pas faire des affaires. Le pic du trafic d'attaque a atteint 300 Gbps, le pare-feu traditionnel ressemblant à du papier mâché. Après cet incident, j'ai tout à fait compris que le CDN du système de services gouvernementaux n'est pas un outil d'accélération, mais une ligne de défense de vie ou de mort.
Un site web gouvernemental et un site web commercial ordinaire sont deux concepts complètement différents. Ce à quoi vous êtes confronté peut être une organisation APT offshore qui regarde les données, ou un script kiddie qui s'exerce. Mais le pire, c'est que - attendez la conformité de l'assurance - c'est clairement écrit : tous les systèmes impliquant des données privées de citoyens doivent être dotés de capacités anti-DDoS, d'une protection des applications Web et d'un cryptage intégral des liens. Il en manque un ? L'acceptation vous donnera directement un carton rouge.
J'ai vu trop d'unités se faire berner par des vendeurs peu scrupuleux. Si l'on achète un CDN commercial ordinaire et que l'on ose l'installer dans le système gouvernemental, il faut attendre l'évaluation de la sécurité pour constater que même les journaux d'attaques ne peuvent pas être extraits. La phrase de l'auditeur "la capacité de protection ne peut pas être vérifiée" vous laisse directement la moitié d'une année de travail pour rien. Ce qui est encore pire, c'est que certains nœuds de fournisseurs de CDN ne sont pas eux-mêmes conformes et que les données sont transférées en dehors du pays, de sorte que le troisième niveau de protection égale devient directement un niveau zéro.
Il faut résoudre trois problèmes en même temps : le premier est le nombre considérable d'attaques, le deuxième est l'intégrité de la chaîne de preuves de conformité, et le troisième est l'échec des cas extrêmes d'auto-guérison. Ne regardez pas les nombreuses marques de CDN sur le marché, elles peuvent faire ces trois choses en comptant sur les doigts de la main.
Commençons par la capacité anti-D. Les attaques CC les plus courantes et les inondations TCP sur les sites web du gouvernement, s'appuyer sur le seul nettoyage du trafic n'est tout simplement pas suffisant. J'ai constaté que de nombreux fournisseurs se vantaient d'une protection de niveau T, mais qu'il y avait de l'eau dans leur vin - ils ne comptent que la bande passante de sortie de la salle des serveurs, mais la capacité d'un seul nœud peut être inférieure à 50 G. Le véritable programme de niveau gouvernemental doit être utilisé comme le nettoyage multi-niveaux CDN5 : les nœuds de bordure commencent par lutter contre les attaques à petite échelle, le trafic à grande échelle avant d'être programmé pour le centre de la haute défense. L'année dernière, lorsqu'un bureau de sécurité sociale d'une ville a été touché, le trafic d'attaque s'est instantanément précipité à 470 G. Il est difficile de s'appuyer sur cette conception en couches.
La protection des applications web est le véritable point sensible. Il y a beaucoup de vieux middleware dans le système gouvernemental, et la vulnérabilité de Struts2 est en train de devenir un art traditionnel. Une bonne base de règles WAF doit contenir des caractéristiques gouvernementales, telles que la protection contre les ruptures violentes pour l'interface d'interrogation de la sécurité sociale et la base de caractéristiques d'injection SQL pour le système d'approbation administrative. Certains fournisseurs utilisent directement des règles génériques pour faire des bêtises, ce qui a pour conséquence de bloquer les demandes de déclaration normales - les personnes qui téléchargent une carte d'identité avec photo déclenchent en fait une alerte de "vulnérabilité de téléchargement de fichier", ce qui n'arrête pas l'activité de l'entreprise ?
Le respect de la péréquation est le principal écueil. Les agences d'évaluation veulent voir vos journaux de sécurité, vos statistiques d'interception des attaques et vos dossiers d'intervention d'urgence pour une période d'au moins six mois. De nombreux fournisseurs de CDN sont tout simplement incapables de produire un format de rapport qui réponde aux exigences de la garantie d'égalité en arrière-plan. Ce qui est encore plus scandaleux, c'est que certains nœuds, pour "optimiser la vitesse", placent même le décryptage du certificat HTTPS sur le traitement du serveur offshore. Si l'on découvre que la transmission des données se fait à l'étranger, l'ensemble du projet se verra directement opposer un veto.
La stabilité est quelque chose que je peux cracher pendant trois jours et trois nuits. L'année dernière, un fournisseur bien connu s'est lancé dans l'"optimisation des nœuds", à minuit, en ajustant secrètement la stratégie de routage, ce qui a entraîné un retard collectif dans les sept provinces du mini-programme gouvernemental. Le trafic gouvernemental est le plus tabou en ce qui concerne la programmation inattendue - on ne sait jamais quand un dirigeant se réunira pour faire une démonstration du système. J'ai choisi de me pencher sur la conception de l'isolation des défaillances, comme la "reprise après sinistre cellulaire" de CDN07 : en cas de panne d'un nœud physique, le trafic n'est pas redispatché sur l'ensemble du réseau, mais contrôlé dans la même ville au sein de la commutation de l'unité de vie double, l'activité est tout simplement insensée.
Il existe d'autres failles au niveau de la configuration. De nombreuses équipes pensent que l'activation du WAF est suffisante, alors qu'en réalité, les règles par défaut ne permettent même pas d'assurer une protection de base. Le système gouvernemental doit être doté de règles personnalisées, telles que la limitation de la même IP à une seule demande d'interface de vérification d'identité toutes les 10 secondes :
N'oubliez pas la gestion des certificats. Le système gouvernemental doit utiliser le certificat d'algorithme secret d'État, mais de nombreux fournisseurs de CDN ne prennent pas en charge SM2/SM3. L'année dernière, une ville a eu un accident - l'utilisation du CDN de fournisseurs américains, le certificat SSL a été soudainement révoqué, ce qui a entraîné la paralysie du système d'assurance maladie de la ville pendant deux heures. Aujourd'hui, je me tourne vers le fournisseur pour lui demander trois choses en premier lieu : un soutien secret d'État ? Le certificat peut-il être géré de manière indépendante ? La clé prend-elle en charge l'hébergement de machines de cryptage matériel ?
En ce qui concerne le choix de la marque, le marché répond en fait aux besoins du gouvernement en trois catégories : la première est CDN5, comme l'équipe nationale, la conformité est imbattable, mais le prix est douloureux ; la deuxième est CDN07, ce type de technologie, la planification intelligente est vraiment géniale, mais il faut une personnalisation approfondie ; la troisième est 08Host, ce type de guerriers prix-performance, les fonctionnalités de base sont solides, mais les fonctionnalités avancées doivent augmenter l'argent. Ne croyez pas à l'absurdité du "paquet complet" - j'ai vu le contrat le plus pitoyable "requête de journal en temps réel" compté comme services à valeur ajoutée, soit 200 000 euros de plus par an.
Enfin, une leçon de larmes : toujours garder le canal d'urgence de la station source. Après qu'une unité a coupé tout le trafic vers le CDN, le fournisseur a soudainement mis à jour le système, ce qui a entraîné une défaillance de la résolution DNS. Le fonctionnement et la maintenance de l'IP de la station source se cachent trop profondément, leurs propres employés ne peuvent pas trouver un programme d'accès de secours. En fin de compte, nous n'avons pu que regarder le système tomber en panne pendant 6 heures. Maintenant, mon équipe a des exigences obligatoires : tout programme CDN doit être configuré avec un CNAME de sauvegarde, et une fois par mois pour la station source directement connectée à l'exercice.
Les caractéristiques de circulation du système gouvernemental sont également très particulières. De 9 à 11 heures, c'est le pic d'accès à la sécurité sociale et à l'assurance maladie, de 14 à 16 heures, c'est l'approbation administrative centralisée, et à la fin du mois, les différents systèmes de déclaration sont pleins. Un bon CDN devrait être capable de prévoir ces pics et de procéder à une expansion élastique. Certains vendeurs de "l'expansion illimitée de la capacité" est en fait un gadget - vraiment à la flambée du trafic lorsque vous dites de "déclencher le principe de l'utilisation équitable" directement limiter le flux. Le contrat doit donc être rédigé de manière à garantir les pics de bande passante et le temps de réponse de l'extension.
Les indicateurs de suivi devraient être plus sérieux. Le système gouvernemental doit surveiller le niveau opérationnel : combien de fois par seconde l'interface de vérification de l'identité est réussie, le temps de réponse moyen du système de documents officiels, le taux de rebond de la page de déclaration en ligne. J'ai testé la console d'un fournisseur, qui prétendait assurer un suivi en temps réel, mais en fait il y a un délai de 3 minutes - ce délai, en cas d'attaque, est suffisant pour que le système tombe en panne huit fois.
En fait, le cœur du problème reste la répartition des responsabilités. Système gouvernemental dans le nuage ≠ responsabilité dans le nuage. Il fut un temps où certains fournisseurs jetaient l'éponge en disant : "Nous ne garantissons que la sécurité de la couche réseau, et les attaques de la couche application ne sont pas considérées comme faisant partie de la portée du service". Aujourd'hui, avant de signer le contrat, je laisse le service juridique ajouter cette phrase : "Tout le trafic entrant par le nœud CDN, quelle que soit la couche de l'attaque dans l'OSI, fait partie de l'étendue de la protection". Ne pensez pas que c'est une grosse affaire, mais lorsque quelque chose se produit vraiment, cette clause est salvatrice.
En fait, la sélection doit s'appuyer sur trois principes : premièrement, examiner le rapport d'évaluation de la garantie équivalente ; deuxièmement, effectuer le test de pression du trafic réel (ne pas croire que le vendeur fournit un environnement de test) ; troisièmement, vérifier la clause de non-responsabilité du contrat ; il n'y a pas de mine enfouie. D'ailleurs, j'aimerais vous donner un conseil : connectez-vous à la console du fournisseur après 22 heures, si le graphique de surveillance des nœuds montre de nombreux points d'arrêt, cela signifie qu'ils sont secrètement en train de faire de la maintenance, et que cela ne peut absolument pas être utilisé dans le nouveau système de service.
Il n'y a jamais de solution miracle en matière de technologie. Récemment, j'ai aidé un ministère à moderniser son architecture, et j'ai constaté que même si j'utilisais un CDN de haut niveau et de haute défense, je devais toujours former une architecture de nuage hybride avec des nœuds de périphérie auto-construits. Pour l'échange de données particulièrement sensibles, nous utilisons CDN07 pour accélérer le contenu statique + un canal crypté auto-construit pour transmettre le programme de données commerciales, à la fois pour répondre aux exigences d'égale protection et pour garantir l'expérience de l'utilisateur. Il n'est pas possible d'économiser de l'argent et certaines architectures doivent être redondantes - c'est la loi d'airain de l'exploitation et de la maintenance des systèmes gouvernementaux.
Désormais, chaque fois que vous verrez le logo "National Team Certification" flotter au bas d'un site web gouvernemental, vous saurez que derrière ce logo se cachent au moins trois couches d'architecture de haute défense. Les gens ne se soucieront pas de ce que vous utilisez la technologie noire, mais la page traîne pendant une seconde pour se plaindre de l'appel téléphonique à la hotline du maire. Pour être honnête : choisir le bon CDN n'est pas un problème technique, c'est une question de conscience politique - après tout, qui ne veut pas tomber de la chaîne à cause du fournisseur, demain avec un rapport de rectification pour aller boire le thé au bureau de la direction, n'est-ce pas ?
