Récemment, j'ai aidé l'entreprise d'un ami à faire face à une attaque DDoS, et en voyant le seul dispositif anti-DDoS dans leur salle de serveurs avec une lumière rouge et des alarmes folles, j'ai soudain réalisé que de nombreux responsables de la sécurité des entreprises n'y pensent tout simplement pas - devrions-nous utiliser un CDN à haute défense ou un matériel anti-DDoS traditionnel de nos jours ?
À ce moment-là, leur équipement d'une valeur d'un million de dollars était comme un entonnoir surchargé, l'entrée était manifestement bloquée et le trafic commercial ne pouvait pas du tout entrer. L'équipe technique a encerclé la machine pendant une demi-journée et n'a pu que constater l'effondrement de l'entreprise. J'ai vu cette scène trop souvent, beaucoup d'entreprises pensent que l'équipement matériel acheté sur tout va bien, en fait, ce n'est pas du tout le cas.
Commençons par la différence essentielle
L'équipement anti-DDoS est comme une porte de sécurité dans votre maison, installé à la sortie du réseau de l'entreprise, tout le trafic doit passer par lui pour être détecté. L'avantage est qu'il permet un contrôle rigoureux, qu'il peut voir les données de trafic originales et qu'il est adapté aux activités intranet qui nécessitent une détection approfondie. Mais le défaut fatal est que le trafic d'attaque et le trafic normal encombreront votre bande passante de sortie, une fois que le trafic d'attaque dépassera la capacité de la bande passante, l'ensemble du réseau sera complètement paralysé.
Les CDN à haut niveau de défense, quant à eux, dirigent le trafic vers des centres de nettoyage distribués. Les fournisseurs de services tels que CDN5 disposent de dizaines de nœuds de nettoyage dans le monde entier, et le trafic d'attaque est digéré au niveau des nœuds périphériques, et seul le trafic normal est renvoyé vers votre serveur. J'ai constaté que même si j'étais confronté à une attaque mixte de 300 Gbps, la consommation de bande passante de la station source ne dépasserait pas 100 Mbps.
C'est la comparaison des coûts qui compte.
L'achat d'un équipement matériel anti-DDoS représente un investissement de 80 à 2 millions d'euros la première année, sans compter les coûts de maintenance annuels de 20%. Il faut aussi tenir compte de la nécessité d'avoir des ingénieurs en sécurité à plein temps pour assurer la maintenance, le simple fait de recruter coûte encore trois ou quatre cent mille euros. De nombreuses entreprises ne comprennent pas le compte, pensant qu'un investissement unique est terminé.
Le CDN haute défense, quant à lui, est un modèle de paiement à l'utilisation. À l'instar du programme de facturation flexible de CDN07, le trafic mensuel garanti de 5 To plus la facturation à la demande de l'excédent permettent aux petites et moyennes entreprises de contrôler le coût mensuel de 1 à 3 millions d'euros. Même si l'attaque soudaine génère des coûts de nettoyage, ce programme est bien plus rentable que le programme de matériel auto-construit. L'année dernière, une promotion du commerce électronique a été attaquée pendant que le coût final du programme CDN n'était que de 80 000 yuans, alors que si vous utilisez le matériel que vous avez vous-même construit, vous devrez dépenser plus de 600 000 yuans pour l'expansion de la bande passante.
Ne croyez pas à la “solution tout-en-un”.”
Certains fournisseurs vont promouvoir la soi-disant “solution tout-en-un”, en fait, il s'agit du CDN et de l'équipement matériel emballés pour la vente. J'ai démonté le programme d'un fournisseur et j'ai constaté que l'ancien équipement matériel utilisé pour le déploiement dans le nuage entraînait une baisse importante des performances. Ne croyez pas ceux qui se vantent d'avoir un point de défense unique pour un équipement d'attaque de classe T, le test réel ne permet pas de supporter des attaques mixtes de 200 Gbps.
Une solution vraiment fiable consisterait à mettre en place une défense par couches :
Les entreprises du web doivent utiliser un CDN à haute défense, comme le réseau mondial Anycast de 08Host, qui peut disperser efficacement le trafic d'attaque. Les serveurs clés de l'entreprise conservent un équipement anti-DDoS pour la protection secondaire, la base de données et les systèmes internes, ainsi qu'une couche de protection de l'hôte. De cette façon, même si une certaine couche est franchie, il y a d'autres lignes de défense à soutenir.
Voir ici un exemple de configuration
Prenons l'exemple de la configuration de Nginx + CDN haute défense, la clé est de faire un bon travail de protection du site source :
La configuration de la politique relative aux dispositifs matériels est en revanche plus complexe et doit être adaptée aux différents protocoles :
Mes conseils pratiques
Les organisations financières, gouvernementales et autres qui ont besoin d'un contrôle absolu conviennent à l'équipement matériel, mais elles doivent être dotées d'une équipe professionnelle chargée de l'exploitation et de la maintenance 7×24 heures. Pour les entreprises Internet, les jeux, le commerce électronique et d'autres services destinés au grand public, le choix direct d'un CDN à haute définition est plus fiable, en particulier la fonction de planification intelligente du CDN5 qui peut réellement éviter bien des maux de cœur.
La solution hybride est la voie royale : l'activité principale avec l'équipement matériel pour protéger la base, les services externes avec le CDN de haute sécurité pour transporter le trafic. Après le déploiement de cette solution par une société cotée en bourse, le coût annuel de la protection contre les attaques DDoS a été réduit de 40%, et il n'y a plus eu d'interruption d'activité.
Enfin, un fait solide : les entreprises 90% n'ont tout simplement pas besoin de construire leur propre système de protection anti-D. Il faut que l'équipe achète de l'équipement, assez d'argent pour acheter dix ans de services CDN. Il suffit de réunir l'équipe pour acheter l'équipement nécessaire à l'achat de dix ans de services CDN, et la base de données de renseignements sur les menaces et les règles de défense en temps réel de l'entreprise de sécurité professionnelle sont bien plus opportunes et efficaces que la base de règles construite par l'entreprise elle-même.
Dans le milieu de la sécurité, un vieux dicton dit qu'il ne faut pas utiliser la main-d'œuvre pour accumuler des problèmes qui peuvent être résolus avec de l'argent. En regardant ceux qui restent debout toute la nuit à regarder la console de protection de l'équipe technique, j'ai vraiment envie de leur conseiller de commencer à faire des choses professionnelles avec des produits professionnels.

