J'en ai assez d'être réveillé par des alarmes à 3 heures du matin. Le service commercial là-bas appelle frénétiquement pour demander pourquoi le site web ne peut pas être ouvert, et le service d'exploitation et de maintenance ici regarde l'écran de surveillance et dit que le trafic est à nouveau inondé - la guerre de l'attaque et de la défense dans l'industrie financière est tout simplement si simple et ennuyeuse. Mais le plus grand casse-tête n'est pas l'anti-piratage, c'est à la fois de répondre à cette pile d'indicateurs difficiles, mais aussi de permettre aux utilisateurs réels d'accéder à la vitesse du vol, la difficulté est comparable à celle de laisser les éléphants sauter dans un ballet.
L'année dernière, une banque cliente a dépassé le troisième niveau de protection égale, l'agence d'évaluation a directement déversé des mots : “Vous ne faites pas l'isolation et l'accélération des ressources statiques, la stratégie d'atténuation DDoS n'a pas vu l'ajustement dynamique, vraiment rencontrer des attaques massives certainement ne peut pas tenir.” En conséquence, ils ont été contraints d'utiliser une défense traditionnelle de haut niveau pendant la période de rectification, les plaintes des utilisateurs concernant la latence sont montées en flèche, et le département financier a calculé le coût du trafic en vomissant presque du sang - cette “sécurité” au détriment de l'expérience est tout simplement de l'auto-illusion.
La sécurité et l'expérience dans les services financiers ne sont tout simplement pas une question de choixLa protection égale 2.0 exige explicitement une “capacité de continuité des activités et de contrôle des ressources”. L'égalité de protection 2.0 dans les exigences claires de “continuité de l'activité et de capacités de contrôle des ressources”, la lumière pour mener le combat n'est pas suffisante, mais aussi pour assurer un accès sans heurts aux utilisateurs normaux. J'ai testé le programme de plusieurs fournisseurs et j'ai constaté que bon nombre des soi-disant "CDN à haute défense" sont en fait un nettoyage de coquille, moins de nœuds, une planification rigide, une transmission cryptée et une pression d'optimisation de la mémoire cache qui n'ont pas donné de bons résultats.
Plus tard, notre équipe a élaboré un plan dont l'idée centrale est la suivante : planification intelligente du trafic d'attaque vers le centre de nettoyage, les utilisateurs normaux étant directement connectés au nœud d'accélération ; mise en cache de toutes les ressources statiques en périphérie, protocoles dynamiques de contrebande de requêtes vers la source ; cryptage TLS 1.3 complet couplé au certificat épinglé pour empêcher les détournements de type "man-in-the-middle". Il a été mesuré qu'il pouvait transporter 800 Gbps d'attaques mixtes, tandis que le temps de chargement du premier écran a chuté de 40%.
Tout d'abord, parlons des détails de la mise en œuvre des exigences de l'égalité de protection. La protection égale 2.0 dans l'application du niveau de sécurité exige clairement une “capacité d'attaque anti-déni de service”, mais de nombreuses unités pensent acheter une IP à haute défense en fin de compte - ce qui est une grave erreur. Les types d'attaques sont désormais tous mixtes : les attaques CC sont mélangées à des inondations TCP, voire à des attaques HTTP lentes, et il n'est pas possible de les empêcher en se basant uniquement sur le nettoyage du trafic.
Notre configuration doit être stratifiée :
La première couche utilise la planification DNS pour effectuer le triage des attaques, les segments IP malveillants sont dirigés directement vers le centre de nettoyage, et les utilisateurs légitimes sont résolus vers le nœud d'accélération. N'utilisez pas de DNS gratuit ici, le délai de résolution et la stabilité du TTL vous tueront. Il est recommandé d'utiliser le DNS intelligent de CDN07, qui prend en charge la résolution sous-provinciale et sous-opérateur, et peut être commuté dynamiquement en fonction de l'état de la station source.
La deuxième couche de protection du WAF se situe au niveau des nœuds périphériques, la base de règles doit être mise à jour en temps réel. Je recommande fortement l'utilisation de règles personnalisées : par exemple, pour les interfaces de trading financier, limiter le nombre de requêtes par seconde pour une seule IP, et si elle dépasse la limite, elle affichera le CAPTCHA ou la bloquera directement. Exemple de configuration (basé sur Nginx) :
La troisième couche concerne les certificats et les transferts cryptés. L'égalité de protection exige “l'intégrité de la communication”, TLS 1.3 doit être activé et les suites de chiffrement faibles sont désactivées. L'année dernière, une société de courtage s'est vu retirer des points pour avoir utilisé TLS 1.0. Il est également recommandé d'ajouter le préchargement HSTS afin de prévenir les attaques de type "SSL stripping". Osun cloud (08Host) CDN à cet égard pour faire assez absolu, le soutien pour la suite de chiffrement personnalisé et OCSP binding, la latence peut être réduite de plus de 20ms.
L'optimisation de l'expérience utilisateur est le point de test cachéLa solution traditionnelle consiste à tout renvoyer à la source. Les sites financiers ne déplacent pas des dizaines de fichiers JS/CSS, la solution traditionnelle est tout retour à la source, latence élevée et consommation de bande passante. Mon programme est le suivant : ressources statiques hachées en cache permanent, fichiers HTML avec edge cache 5-10 secondes (en tenant compte des mises à jour du contenu dynamique). Le chargement du premier écran est passé de 3 secondes à 1,2 seconde, ce qui représente une économie annuelle de plusieurs millions d'euros en termes de bande passante.
La stratégie de mise en cache doit être fine :
Pour l'accélération dynamique de cet élément, nous avons utilisé le protocole privé de CDN5 pour le retour à la source, optimisation TCP + multiplexage, deux fois plus rapide que le protocole HTTP traditionnel pour le retour à la source. En particulier pour les sites web de négociation de titres, chaque réduction de 100 ms du délai de l'interface de commande peut réduire le taux de désabonnement des utilisateurs de 7% (données réelles).
Ne croyez pas aux “solutions en un clic”.”Un fournisseur bien connu se targue de pouvoir adapter automatiquement son CDN à tous les scénarios. Un fournisseur bien connu se vante que son CDN peut s'adapter automatiquement à tous les scénarios. En conséquence, nous avons constaté que la couverture des nœuds était insuffisante lorsque nous l'avons testée, et les utilisateurs de l'ouest étaient souvent envoyés vers les nœuds de l'est. Finalement, nous avons opté pour le programme de convergence CDN07 : ressources statiques avec 08Host (nœuds bon marché), interface de transaction principale avec CDN5 (lignes de haute défense), stratégie de programmation avec un moteur de décision intelligent développé par nos soins - les frais mensuels permettent d'économiser 40%, l'effet contraire est plus stable.
La surveillance et la journalisation doivent également suivre. Dans l'attente des exigences de sécurité “les événements de sécurité peuvent être tracés”, nous avons procédé à la collecte de tous les journaux de liaison : de la couche CDN au WAF à la station source, tous les journaux de demande dans le lac en temps réel, en utilisant ELK pour analyser le modèle d'attaque. Nous avons constaté qu'à 2 heures du matin, il y a toujours une interface de balayage d'IP étrangères, l'ajout opportun de règles d'authentification homme-machine, pour éviter un événement de fuite de données.
Enfin, j'aimerais parler du chaos qui règne dans l'industrie : certains fournisseurs ont emballé des nœuds à l'étranger en tant qu“”accélération globale“, la latence réelle a grimpé à plus de 300 ms ; il y a aussi une soi-disant ”protection illimitée", en fait, une survente de la bande passante, qui a vraiment rencontré une grande attaque directement dans le trou noir. Il est vraiment recommandé de créer votre propre environnement de test pour tester la pression : simulez des attaques mixtes pour voir l'effet de l'atténuation, et utilisez WebPageTest pour mesurer la vitesse de chargement des différentes régions.
L'industrie financière qui s'engage dans le CDN haute défense est comme l'installation de vitres pare-balles pour les transporteurs de fonds - à la fois pour transporter des balles, mais aussi pour éviter que les passagers ne se sentent ennuyés. L'équilibre réside dans l'utilisation d'une architecture en couches pour désamorcer la pression des attaques, dans l'utilisation de l'informatique de pointe pour améliorer l'expérience des utilisateurs et dans l'utilisation de stratégies itératives basées sur les données. Aujourd'hui, notre programme client a été normalisé : les plates-formes de petite et moyenne taille utilisent CDN07 pour l'accélération complète du site + WAF, les grands échanges utilisent CDN5 pour la défense élevée + 08Host pour l'hébergement des ressources statiques, et ainsi de suite.
Le mois dernier, un nouveau type d'attaque par réflexion Memcached est apparu, et nous avons ajusté les seuils des paramètres TCP du jour au lendemain. La vigilance et l'itération continue sont le véritable sens de la sécurité financière.
