Récemment, j'ai effectué des tests de pénétration pour quelques clients, et dès que je suis arrivé, j'ai demandé : “Avez-vous déjà utilisé un CDN haute-défense ?” Résultat, la moitié des personnes m'ont répondu : “Avec ah, mais ne semble pas sentir la différence ?”. J'ai ri à ce moment-là - mon frère, vous avez peur d'acheter une fausse défense élevée, n'est-ce pas ? De nos jours, même les CDN doivent être “anti-témoins”, et pas seulement mettre en place un cache appelé "haute défense".
Le CDN à haute défense est essentiellement dans le CDN traditionnel basé sur l'empilement de l'armure, pour porter le combat contre les coups doivent encore courir rapidement. Mais beaucoup de gens misent aveuglément sur la haute défense, les résultats de l'argent dépensé, l'attaque est venu comme l'effondrement habituel. J'ai découvert que les besoins en matière de haute sécurité varient selon les secteurs : les jeux ont besoin d'une faible latence, le commerce électronique craint la cueillette de laine, les données financières doivent être protégées à l'adresse ......, le mauvais programme ? Il s'agit de donner aux pirates informatiques une prime de fin d'année.
Tout d'abord, versons de l'eau froide : le CDN à haute défense n'est pas une panacée.Vous devez déterminer exactement ce contre quoi vous devez vous protéger. ddoS ? cc attacks ? Le vol de données ? Ou avez-vous simplement peur des temps d'arrêt ? Dans ce qui suit, j'ai combiné mon expérience pratique avec celle de l'industrie pour vous expliquer comment choisir des solutions de haute sécurité et, au passage, j'ai craché quelques mots noirs de l'industrie.
Industrie du jeu : le retard est le père
Ceux qui jouent savent que les joueurs peuvent pulvériser un écran plein de mots Zuan s'ils sont bloqués pendant un certain temps. Un CDN ordinaire à haute défense peut être capable d'acheminer un DDoS de 500 Gbps, mais le délai a grimpé à plus de 200 ms ? C'est vraiment cool. L'année dernière, un jeu secondaire a été touché par une vague d'attaques mixtes de 700 Gbps, avec la ligne CDN5 BGP + le programme d'accélération TCP, le délai est difficile à réduire à 30 ms ou moins. La configuration clé est ici :
Ne croyez pas les vendeurs qui se vantent d'offrir une “protection illimitée”. Lorsqu'il s'agit d'inondations UDP massives, de nombreux fournisseurs se contentent de vous proposer des itinéraires vides. Vous devez rechercher un CDN07 doté de capacités de planification intelligentes - le trafic d'attaque est automatiquement coupé vers le centre de nettoyage, et le trafic normal est acheminé vers la ligne accélérée.
Industrie du commerce électronique : la lutte contre le grattage est plus urgente que la lutte contre le piratage informatique
Double 11 zéro, vous pensez que c'est un combat pour les serveurs ? En fait, il s'agit d'un combat pour savoir qui peut porter le script du parti de la laine. Une entreprise de commerce électronique transfrontalière avait été balayée de millions de coupons, puis sur le WAF de 08Host + solution d'analyse comportementale, directement bloqué le segment IP anormal + empreinte digitale de l'appareil. Attention à cette configuration :
La stratégie de mise en cache pour le commerce électronique doit également être tartine - les pages de produits peuvent être mises en cache, l'inventaire et les prix doivent être renvoyés à la source. Il y a eu un client pour l'interface dynamique est également mis en cache, les résultats de l'utilisateur pour voir le prix de tous les ...... d'hier cracher du sang recommandé d'utiliser l'informatique de pointe pour faire la vérification en temps réel, bien que coûteux, mais peut vraiment sauver des vies.
Industrie financière : sécurité > rapidité > coût
Pour les banques et les titres de ce type, la fuite de données est pire que l'interruption de service. Vous devez choisir un CDN avec un cryptage de niveau certificat, tel que la prise en charge de TLS 1.3 + algorithmes de secret d'État. Une plateforme de capital-investissement avec CDN5 solutions financières, même les requêtes DNS sont faites DNSSEC + cryptage HTTPS :
Un mot d'avertissement : les utilisateurs financiers ne doivent pas être avides de CDN bon marché avec IP partagée ! Le risque de contamination intersite peut faire échouer votre examen de conformité. Il faut une IP exclusive + un audit complet du journal des liens, ce qui est coûteux mais ne peut pas sauver.
Industrie du streaming : les coûts de la bande passante peuvent conduire les gens à la mort
La vidéo 4K ne déplace pas quelques G, le DDoS ne peut pas vous tuer, la facture de bande passante peut également être tuée. La solution vidéo de 08Host est mesurée pour économiser 40% de bande passante - en s'appuyant sur les nœuds de périphérie pour effectuer le cache de découpage vidéo, le transcodage H.265 + l'ajustement dynamique du débit binaire :
La chose la plus pitoyable que j'ai rencontrée : la “bande passante illimitée” d'un fournisseur limite en fait le nombre de connexions à un seul nœud ! La vidéo se chargeant directement dans le PPT, le vendeur doit maintenant choisir le nombre de nœuds et la stratégie d'équilibrage de la charge.
Secteur public : la conformité est la ligne rouge
Pour aider un site web gouvernemental à effectuer la migration, il s'est avéré qu'il utilisait le nœud CDN en dehors du pays ...... et s'est empressé de changer le CDN sous licence nationale07. Le système gouvernemental doit répondre aux critères suivants : ① les données ne sortent pas du pays ② dépôt ICP ③ égal au troisième niveau de rétention de la journalisation. La configuration de la fonction d'audit doit être ajoutée :
Crachez le morceau : certains fournisseurs font sauter les “nœuds globaux”, mais le projet gouvernemental ose utiliser des nœuds offshore ? C'est une violation, minute par minute, des lois sur la sécurité des réseaux. Nous devons également veiller à désactiver l'accès aux adresses IP étrangères et à mettre en place un système anti-scanning afin d'éviter certains risques inavouables.
Secteur de l'éducation : le trafic soudain l'emporte
Combien d'établissements d'enseignement en ligne sont tombés en panne pendant l'épidémie ? Une plateforme de cours en ligne utilise le programme d'accélération dynamique de CDN5 pour dépasser les 800 000 requêtes par seconde le jour de l'ouverture. Le secret : ① préchargement statique des ressources ② API dynamique près de la source ③ programmation sous-régionale (réseau d'éducation go CERNET). Points forts de la configuration :
La leçon des larmes de sang : ne pas utiliser toutes les ressources du CDN ! Le streaming push en direct doit utiliser une ligne dédiée, sinon le décalage peut laisser les étudiants brosser collectivement une étoile. Le service de transcodage PPT d'un client utilise également le CDN, les résultats de la file d'attente de conversion de pointe jusqu'à deux heures après la file d'attente .......
Industrie des soins de santé : la protection de la vie privée est une bouée de sauvetage
Violation de données médicales ? La sanction est jusqu'à ce que vous doutiez de votre vie. Un hôpital sur Internet utilise le CDN médical de 08Host, toutes les données sont cryptées avant l'atterrissage, et même le cache est stocké avec un cryptage AES-256 :
Remarque particulière : les fournisseurs de CDN doivent signer des accords de conformité HIPAA ou GDPR (en fonction de la portée de l'entreprise). Beaucoup de petites usines n'osent tout simplement pas signer, quelque chose s'est passé pour déverser la cagnotte plus vite que tout le monde.
Industrie de l'IdO : la certification des appareils au cœur du dispositif
Les appareils domestiques intelligents sont piratés ? Il se peut que votre caméra domestique diffuse des images à l'échelle mondiale. Une société spécialisée dans les maisons intelligentes a modifié sa solution après avoir été piratée : chaque appareil lie un certificat + un nœud périphérique CDN pour une authentification TLS bidirectionnelle :
L'inconvénient de l'IoT est le volume d'appareils - la limite de connexions simultanées d'un CDN ordinaire peut faire tomber des dizaines de milliers d'appareils en même temps. Il faut s'adresser à un fournisseur qui prend en charge des millions de connexions longues, comme les nœuds spécifiques à l'IoT de CDN07.
Résumez quelques-uns des points secs :
Choisir un CDN à haute défense, c'est comme acheter une assurance - vous ne pensez pas que vous perdrez de l'argent si quelque chose se passe mal, et vous ne pensez pas que c'est suffisant si quelque chose se passe mal. Après tant de projets, j'ai résumé trois lois d'airain :
Pour finir, je dirai un mot d'offense : le CDN de haute défense est trop profond, certains vendeurs de “solutions personnalisées” consistent en fait à modifier un modèle de configuration. Ne croyez pas que le coup de vente “technologie exclusive”, directement au rapport de test et les cas des clients - vraiment bons vendeurs, ne peut pas attendre pour vous laisser inspecter les marchandises sur place.
(conclu)
