Récemment, plusieurs amis de grandes usines sont venus me voir et m'ont posé la même question : un CDN à haute défense peut-il être déployé à titre privé ? Pour être honnête, si cette question m'avait été posée il y a cinq ans, j'aurais répondu “n'y pensez pas, allez dormir”. Mais la situation de l'époque et celle d'aujourd'hui sont complètement différentes.
Lorsque le CDN haute définition était essentiellement un produit standardisé, les ressources du nœud du fournisseur de services étaient emballées dans des paquets à vendre, vous acceptiez soit le paquet entier, soit un autre paquet. Mais aujourd'hui, ce n'est plus la même chose, j'ai découvert que le marché a été divisé en deux voies très différentes - le modèle de nuage public et le modèle privé, comme la différence entre une vitesse automatique et une vitesse manuelle, chacune avec ses propres scénarios d'application.
Commençons par un cas réel. L'année dernière, un client financier a été frappé par un DDoS et n'a pas pu prendre soin de sa propre vie, le trafic de pointe s'est précipité à 800G ou plus. Il a utilisé un CDN bien connu dans le nuage public, les résultats de l'autre partie lui ont directement demandé de nettoyer le trafic, l'entreprise a été sauvée, mais le délai est monté en flèche jusqu'à plus de 300 ms, le téléphone de l'utilisateur a presque explosé. Plus tard, j'ai appris que les pools de ressources du cloud public donnent la priorité aux clients VIP lorsqu'ils sont confrontés à de grosses attaques, et que les clients ordinaires doivent faire la queue et attendre la programmation.
C'est le cœur du problème - le CDN de haute défense dans le nuage public est essentiellement un pool de ressources partagées multi-locataires, et il est inévitable qu'il y ait une ruée vers les ressources lorsqu'une attaque se produit. Ne regardez pas l'engagement du fournisseur de services pour la protection de la valeur du ciel, vraiment au moment critique, vos priorités commerciales peuvent ne pas être aussi bonnes que la porte d'à côté pour le paquet annuel de millions de grands clients.
Le CDN privé à haute défense est une solution d'une toute autre dimension. En termes simples, les nœuds CDN sont déployés directement dans votre propre salle de serveurs ou dans un centre d'hébergement désigné, et toutes les ressources informatiques, de bande passante et de protection sont exclusives. C'est comme si vous alliez au cinéma sans vous soucier que quelqu'un prenne place à côté de vous ou que votre voisin vous tartine de pop-corn.
Mais ne croyez pas que “le déploiement privé convient à toutes les entreprises”, ce genre de conneries. J'ai vu le cas le plus pitoyable, celui d'une entreprise de commerce électronique de taille moyenne qui, après avoir écouté les boniments des vendeurs, s'est lancée à corps perdu dans le CDN privatisé, ce qui lui a coûté huit cent mille euros au départ, et qui doit ensuite payer des frais de maintenance annuels de 40%. Finalement, il s'est avéré que son activité n'est même pas à la hauteur du besoin de ressources exclusives, et qu'il ne fait que dépenser de l'argent pour acheter un confort psychologique.
Aujourd'hui, sur le marché, certains fournisseurs de services prennent en charge le déploiement privé, mais la manière d'y parvenir est très différente. Par exemple, CDN5 s'est engagé dans un programme matériel et logiciel tout-en-un, vous permettant directement d'envoyer quelques serveurs personnalisés ; CDN07 est un modèle de licence purement logicielle, vous permettant de déployer votre propre matériel ; 08Host est encore plus absolu, engagé dans un modèle de nuage hybride, généralement avec le nuage public, le moment clé pour activer le shunt du nœud privé.
En ce qui concerne la mise en œuvre technique, le plus grand casse-tête pour moi est la question de la synchronisation des nœuds. La configuration du CDN du cloud public est globalement synchronisée, mais les déploiements privés doivent s'occuper eux-mêmes de la synchronisation des données. Je me souviens qu'une fois sur une plateforme vidéo pour effectuer la migration, le simple fait de rafraîchir la configuration du cache m'a presque fait planter :
Il ne s'agit là que de la synchronisation de base de la configuration ; en cas de réparation urgente d'une vulnérabilité, tous les nœuds doivent faire l'objet d'une mise à jour en continu. Une fois que la vulnérabilité de Log4j a éclaté, l'équipe s'est rendue du jour au lendemain dans plus de 40 nœuds privés du monde entier pour appliquer des correctifs, l'opération et la maintenance du frère ont presque démissionné sur le champ.
La configuration de la politique de sécurité est également un travail technique. Alors que les CDN en nuage public sont généralement dotés d'une interface graphique qui permet de pointer et de cliquer, les déploiements privés doivent souvent ignorer directement les fichiers de configuration :
Pour être honnête, les exigences de ce type de configuration pour l'équipe d'exploitation et de maintenance sont supérieures de plus d'un ordre de grandeur. Auparavant, un client pensait que tout irait bien s'il achetait un CDN privatisé, et en conséquence, à cause de la mauvaise configuration qui a conduit à l'interception erronée d'utilisateurs normaux, l'UV a directement chuté de 30%.
Encore une fois, il y a la question du coût. Le CDN en nuage public est généralement facturé en fonction du volume de trafic et peut également faire l'objet de remises. Mais le déploiement privé de l'investissement initial peut être effrayé à mort - le devis d'un fournisseur que j'ai vu, le prix de départ d'un seul nœud est de 500 000, sans compter les coûts de la bande passante. La bande passante est la vraie grosse tête, une bande passante exclusive de 100G en frais annuels suffit à soutenir plusieurs équipes de recherche et développement.
Toutefois, pour les entreprises ayant des besoins réels, ces intrants valent la peine d'être sacrifiés. Une société de jeux en ligne a privatisé le CDN, la latence est passée de 180 ms à 40 ms, le taux de plainte des joueurs a directement baissé de 70%. Le plus critique est de faire face à des attaques DDoS, il n'est plus nécessaire que d'autres clients s'emparent des ressources, leur propre stratégie de nettoyage peut être entièrement contrôlée.
Aujourd'hui, le déploiement privé des fournisseurs de services se divise grosso modo en trois catégories : premièrement, les fournisseurs traditionnels de sécurité réseau, tels que CDN5, l'avantage est que les capacités de sécurité de la précipitation sont profondes, mais le degré de flexibilité est presque significatif ; deuxièmement, le fournisseur de services en nuage au nom de CDN07, la pile technologique est nouvelle, mais il est facile de lier l'écologique ; troisièmement, 08Host, ce type de fournisseurs CDN professionnels, rentables, mais la réponse du service peut être un demi temps plus lent.
Je recommande généralement aux clients de se concentrer sur plusieurs indicateurs : les performances du nœud (capacité de traitement des requêtes par seconde), la précision de la protection (taux de faux positifs), l'évolutivité (si l'expansion est rapide), et le plus critique - le temps de réponse de l'assistance à l'exploitation et à la maintenance. J'ai vu un fournisseur s'engager à fournir une assistance 7 × 24 heures sur 7, mais être obligé d'attendre 2 heures avant que quelqu'un ne réponde, et le directeur technique du client a failli mettre la salle des serveurs au point.
Les modèles de déploiement sont également très spécifiques. Le déploiement hors ligne pur convient aux entreprises dont les données sont extrêmement sensibles, mais les mises à jour sont difficiles ; le déploiement hybride est plus pratique, les données clés étant localisées et les mises à jour des règles étant envoyées depuis le nuage par un canal crypté. Un projet gouvernemental d'informatique en nuage utilise un modèle hybride, qui répond aux exigences d'égalité de protection et permet un accès rapide aux mises à jour des renseignements sur les menaces.
De nos jours, même les CDN doivent “prévenir les coéquipiers”. Certains fournisseurs de services affirment que le déploiement est privé, mais ils volent secrètement les données pour les renvoyer dans le nuage. Par conséquent, avant de signer le contrat, assurez-vous de laisser le service juridique définir clairement les termes du contrat, en particulier la propriété des données et l'autorité d'audit de l'exploitation et de la maintenance de ces deux éléments, sinon cela revient à dépenser de l'argent pour se creuser un fossé.
Enfin, pour dire la vérité : un CDN privatisé à haute sécurité, c'est comme avoir un garde du corps privé, c'est effectivement sûr et exclusif, mais le coût n'est pas à la portée de l'entreprise moyenne. D'après mon expérience, à moins qu'au moins deux des trois conditions suivantes ne soient remplies, il n'est vraiment pas nécessaire d'envisager la privatisation : le trafic quotidien moyen est supérieur à 1 To, l'activité concerne des données sensibles, l'entreprise a déjà subi des attaques DDoS de plus de 500G.
J'ai oublié de mentionner le point le plus critique - le vivier de talents. Pour se lancer dans le CDN privé, il faut au moins deux ingénieurs principaux chargés de l'exploitation et de la maintenance, qui doivent à la fois comprendre le réseau et la sécurité et être capables d'effectuer des réglages. Le cas le plus tragique est celui d'une entreprise qui a déployé un CDN privé pour dix millions d'euros et qui, finalement, parce que personne ne s'occupera de l'exploitation et de la maintenance, ne peut que laisser les ingénieurs d'origine opérer à distance, ce qui équivaut à dépenser des millions de dollars par an pour élever une équipe invisible.
Revenons donc à la question initiale : les CDN de haute défense prennent-ils en charge les déploiements privés ? La réponse est oui, mais tout comme pour l'achat d'une voiture de sport personnalisée, vous devez avoir les moyens de payer et d'avoir une équipe. Si vous êtes toujours partagé sur la privatisation, ma suggestion est de trouver CDN07 de tels fournisseurs de services pour essayer une solution de nuage hybride, comme le volume d'affaires jusqu'à envisager complètement privé. 08Le programme d'élasticité de l'hôte est également bon pour soutenir la migration en douceur du nuage public au déploiement privé, afin d'éviter un investissement unique est trop grand.
Après tout, les affaires ne sont pas une course aux armements, la solution la plus appropriée est la meilleure. Parfois, le CDN en nuage public ajoute quelques couches supplémentaires de stratégie de sécurité, ce qui permet d'obtenir des résultats inattendus, il n'est vraiment pas nécessaire d'exclure ces deux mots et de courir aveuglément après le succès. Économiser de l'argent pour embaucher quelques ingénieurs en sécurité supplémentaires, peut-être plus que n'importe quel programme haut de gamme sont utiles.
