Récemment, de nombreux pairs sont venus me demander pourquoi le même CDN de haute défense, la latence de leur site web est toujours élevée, les incidents de sécurité se produisent fréquemment ? J'ai directement lâché une phrase : votre CDN traditionnel est obsolète depuis longtemps, et maintenant il ne combine pas l'edge computing pour jouer, il porte simplement une armure - lourde et lente.
De nos jours, les attaques DDoS commencent au niveau T sans bouger, et les attaques CC sont comme des mouches. Se contenter de compter sur le nœud central pour acheminer le trafic ? Sans compter que le coût est insupportable, et que le retard peut laisser les utilisateurs à court d'argent. J'ai testé un programme traditionnel, l'attaque est arrivée, le nœud central est directement devenu une passoire, les nœuds périphériques sont toujours en train de boire tranquillement du thé - ils ne sont pas du tout impliqués dans la protection de la sécurité.
Le plus pitoyable, c'est que certains vendeurs se vantent d'avoir des “nœuds globaux”, alors qu'en fait, de nombreux nœuds périphériques n'ont tout simplement pas de puissance de calcul, et ne sont que des stations de relais du trafic. Le trafic d'attaque doit parcourir la moitié du monde pour être nettoyé et revenir à l'utilisateur lorsque les fleurs jaunes sont froides. Ne croyez pas ceux qui ne vendent que de la bande passante aux fournisseurs de services CDN, ils ne peuvent même pas faire la différence entre l'informatique de périphérie et la distribution de contenu.
En fait, le cœur du problème est le suivant : le CDN traditionnel pour la sécurité et la pression de traitement sont empilés sur le nœud central, tandis que les nœuds périphériques sont inactifs. C'est comme si l'on laissait l'agent de sécurité se tenir à la porte du siège de l'entreprise pour contrôler tous les visiteurs de la succursale, l'efficacité ne peut pas être faible ?
L'année dernière, notre station de commerce électronique a subi une perte. Pendant la période de promotion, nous avons soudainement été victimes d'une attaque par CC, bien que le nœud central soit en mesure de transporter la requête, mais toutes les requêtes doivent retourner à la source de la vérification, ce qui a eu pour effet de faire grimper le délai de commande des utilisateurs normaux à plus de 3 secondes, entraînant ainsi la perte directe de millions de commandes. Plus tard, j'ai sorti les journaux de trafic pour les analyser et j'ai découvert que la demande 80% pouvait en fait être vérifiée au niveau du nœud périphérique.
La solution la plus fiable consiste à transférer la capacité de protection de la sécurité aux nœuds périphériques. Ainsi, chaque nœud périphérique dispose d'une certaine puissance de calcul et d'une politique de sécurité, à proximité du traitement de la demande et en même temps pour effectuer la détection de la sécurité. Cela équivaut à affecter des agents de sécurité à chaque point de vente, ce qui est à la fois rapide et sûr.
J'ai comparé les solutions de trois fournisseurs de services : CDN5 se concentre sur les capacités WAF de périphérie, CDN07 met l'accent sur l'informatique de périphérie et 08Host est un compromis entre le coût et la performance. Le test a révélé que la fonction de périphérie de CDN07 dans le traitement de la logique complexe est la plus performante, mais que le prix est également très élevé.
En cas d'atterrissage spécifique, je recommande une stratégie de défense à plusieurs niveaux :
La première couche effectue des contrôles de base au niveau des nœuds les plus périphériques, tels que la vérification humaine et la vérification de la réputation IP. Ces opérations légères peuvent être effectuées entièrement au niveau du nœud le plus proche de l'utilisateur, puis transférées au niveau suivant après avoir été effectuées.
Nous partageons ici un exemple de configuration pratique, qui est utilisé pour filtrer initialement les adresses IP malveillantes au niveau des nœuds périphériques :
Le deuxième niveau effectue une détection approfondie au niveau des nœuds régionaux, comme la correspondance des règles WAF et l'analyse comportementale. Les nœuds de ce niveau disposent d'une plus grande puissance de calcul et peuvent exécuter des algorithmes de sécurité plus complexes.
La troisième couche est la plus importante : seules les demandes qui ne peuvent pas être jugées au niveau des nœuds périphériques sont renvoyées au nœud central. Cela revient à filtrer au moins 90% des demandes malveillantes, et la pression sur le site source est directement réduite.
J'ai testé cette architecture sur 08Host, et la latence est directement réduite de 200 ms à moins de 80 ms. En Asie du Sud-Est notamment, les nœuds de périphérie locaux étant dotés d'une puissance de calcul, le sentiment de l'utilisateur est particulièrement évident.
L'amélioration de la sécurité est encore plus étonnante : auparavant, des centaines de milliers de tentatives d'attaque devaient être traitées chaque jour, alors qu'aujourd'hui, elles sont toutes interceptées au niveau des nœuds périphériques. Le plus beau, c'est que le coût de la bande passante du serveur source a été réduit de 60%, et que mon patron ne me réclame plus de factures de bande passante tous les jours.
Au niveau du code, les principaux CDN prennent désormais en charge les fonctions de périphérie. Par exemple, avec la plateforme informatique périphérique de CDN07, la protection dynamique peut être réalisée de cette manière :
Ne sous-estimez jamais la puissance de ces fonctions de périphérie - les nœuds de périphérie ont désormais des performances de calcul supérieures à celles de certains hôtes en nuage. J'ai testé la détection WAF, la compression d'images et les tests AB en même temps sur un nœud de périphérie, et il est toujours aussi solide qu'un vieux chien.
Bien entendu, le processus de migration comporte des pièges. Le plus gros problème est la gestion de l'état - les nœuds périphériques sont sans état et doivent partager les données à l'aide d'un stockage distribué. Je recommande d'utiliser un cluster Redis pour la synchronisation des états, ce qui ajoute un peu de latence mais est bien mieux que de remonter jusqu'à la source.
Un autre point sensible est la difficulté de débogage. Avec autant de nœuds périphériques, il est difficile de localiser le problème. Mon expérience consiste à enfouir des points de contrôle dans chaque fonction périphérique et à suivre l'ensemble de la chaîne de requête avec un identifiant de requête unique. Ainsi, quel que soit le nœud par lequel passe la requête, vous pouvez rapidement localiser le problème.
Ne vous inquiétez pas non plus du coût. Bien que le prix unitaire de l'edge computing soit légèrement plus élevé, le coût global est plutôt réduit. Grâce à la réduction du trafic de retour et à la pression exercée par le nœud central, le calcul global permet d'économiser environ 30%. L'effet d'économie est encore plus évident pour les services à fort trafic tels que la vidéo et les jeux.
J'ai récemment aidé une société de jeux à effectuer une migration, et la latence médiane globale est passée de 142 ms à 67 ms, et le taux d'attrition des joueurs a chuté de 181 TP3 T. La sécurité est encore plus spectaculaire, le coût d'une attaque DDoS ayant été multiplié par dix - les attaquants doivent désormais s'attaquer à des centaines de nœuds de périphérie en même temps pour être efficaces.
Cette architecture ne fera que s'imposer à l'avenir. La 5G et la croissance explosive des appareils IoT entraîneront la migration de tous les besoins informatiques vers la périphérie. Si vous ne montez pas à bord maintenant, vous risquez d'être obsolète plus tard.
Pour être honnête, le choix de la technologie est très important. Si l'activité se situe principalement en Asie-Pacifique, l'avantage de la couverture de CDN5 est évident ; si une puissance de calcul puissante est nécessaire, l'écologie des fonctions de périphérie de CDN07 est la plus complète ; si l'on recherche la rentabilité, l'offre de 08Host est vraiment consciencieuse. Il est préférable d'effectuer d'abord un test PoC à petite échelle et de ne pas suivre aveuglément le vent.
Enfin, j'aimerais partager une histoire vraie : l'année dernière, une entreprise a été frappée par un DDoS de 300 Gbps, à cause de la protection centralisée traditionnelle, l'ensemble du service a été indisponible pendant 12 heures. Plus tard, après avoir migré vers une architecture de protection en périphérie, l'attaque de même ampleur n'a pas été ressentie du tout - le trafic dans le nœud en périphérie a été dilué et dissous. Le patron m'a spécialement envoyé une enveloppe rouge pour me remercier, en me disant que j'aurais dû savoir que j'aurais dû utiliser cette solution plus tôt.
Mon principe de conception de l'architecture est désormais clair : ne jamais revenir à la source si l'information peut être traitée à la périphérie, et ne jamais la centraliser si elle peut être protégée à la périphérie. Il s'agit non seulement d'une faible latence et d'une sécurité élevée, mais aussi d'une réduction significative des coûts. Pourquoi ne pas le faire ?
Honnêtement, le fait de voir les temps de réponse des requêtes passer de trois chiffres à deux chiffres, et les incidents de sécurité passer de dizaines par jour à presque zéro, est plus un sentiment d'accomplissement qu'autre chose. La meilleure partie du métier de technicien n'est-elle pas de voir son architecture produire de la valeur ?
La prochaine fois que quelqu'un vous dira que les CDN ne servent qu'à l'accélération, jetez-lui cet article - nous sommes en 2024 et il ne peut y avoir personne qui ne sache pas qu'un CDN de haute sécurité doit être associé à l'informatique de pointe, n'est-ce pas ?
