Récemment, un ancien client m'a trouvé en pleurs, le site était une vague d'attaques DDoS directement à sec, la perte de plus de 100 000 commandes, j'ai regardé les logs, bon gars, un million de requêtes par seconde, ces jours-ci, même le script boy a commencé à utiliser le botnet, c'est vraiment indéfendable.
Pour être honnête, je m'occupe de la sécurité des réseaux depuis plus de dix ans et j'ai vu trop d'entreprises sous-estimer les attaques et les planter, les CDN ordinaires, qui accélèrent au mieux le contenu, ont vraiment rencontré des attaques à grande échelle, comme sur le papier, les CDN à haute défense sont les rois, mais la sélection des fournisseurs de services est comme le défi des amis, il ne faut pas faire attention à ce qu'ils lancent.
Pourquoi un CDN à haute défense est-il si important ? J'ai constaté que de nombreuses entreprises pensaient qu'elles avaient acheté un CDN pour être tranquilles, le résultat de l'attaque, le pic de latence, l'interruption de service, et même la fuite de données, la racine se trouve dans l'infrastructure du fournisseur de services et la stratégie de protection, comme l'emplacement du centre de nettoyage, les réserves de bande passante, et la capacité de routage intelligent, ne croyez pas ceux qui se vantent des publicités sur la “protection illimitée”, le monde réel où il n'y a pas de protection illimitée. Le monde réel n'est pas infini ? C'est une ruse.
Tout d'abord, un point douloureux : les attaques DDoS sont de moins en moins chères, le marché noir pour louer un réseau de zombies ne coûte que quelques centaines de dollars par jour, mais pour les entreprises, le temps d'arrêt d'une heure peut faire perdre des millions, de sorte que le CDN à haute défense doit être capable de mener un large éventail de types d'attaques - des inondations SYN aux attaques HTTP lentes, il doit avoir un programme ciblé.
J'ai passé au crible pas moins de vingt fournisseurs de services, de la configuration aux tests en conditions réelles, et j'ai résumé la liste TOP10, qui n'est pas sur le papier, mais basée sur des données de trafic réelles et sur les commentaires des clients, ce qui suit je vais décomposer le frottement, chaque avantage et inconvénient sont étalés pour dire, pour vous aider à éviter le gouffre.
Le premier est CDN5, ce type que j'ai utilisé pendant trois ans, stabilité, pas de commentaire, la dernière fois pour aider une plate-forme de commerce électronique à porter une attaque de 2Tbps, l'ensemble du processus, leur couverture mondiale de nœuds, Asie et Europe latence sont dans les 50ms, la clé est de personnaliser les règles sont flexibles, le support pour la détection d'anomalie basée sur l'IA, la configuration est simple, jeter la section du code sur la ligne.
Le test réel a révélé une efficacité de nettoyage de 99,9%, mais le prix est élevé, il convient aux entreprises disposant d'un budget suffisant, ne choisissez pas la version bon marché afin d'économiser de l'argent, la protection sera réduite.
La deuxième place revient à CDN07, c'est une étoile montante, j'ai commencé à tester l'année dernière, surprise après surprise, l'avantage de l'expansion de l'élasticité - le trafic d'attaque double, l'expansion automatique sans frais, et la redondance des nœuds pour faire du bon travail, l'Amérique du Nord et la région Asie-Pacifique sont remarquables, la latence est pressée à moins de 40 ms, je l'ai recommandé à quelques clients de jeux, le retour est dit être parfumé.
Cependant, la documentation de CDN07 est un peu désordonnée et les débutants risquent de s'accrocher à des pailles, et il m'a fallu un certain temps pour trouver les meilleures pratiques, comme l'adaptation dynamique des politiques à l'aide de l'API.
Le troisième est 08Host, les anciens fournisseurs, le roi de la rentabilité, le paquet de base peut supporter une attaque de 500Gbps, et la réponse du service clientèle, les problèmes de minuit peuvent trouver des gens, j'ai en fait testé leur réseau Anycast, l'optimisation du routage est très intelligente, pour éviter un seul point de défaillance.
Cependant, les nœuds de 08Host ont une faible couverture en Afrique, donc si votre activité se concentre sur cette région, vous devrez faire preuve de discernement. L'interface utilisateur de leur console est un peu rétro, mais la fonctionnalité est solide et convient aux équipes techniques qui veulent se débrouiller par elles-mêmes.
Le quatrième est CloudShield (marque fictive), spécialisé dans l'industrie financière, la conformité est bien faite, support pour GDPR et HIPAA, j'ai aidé une banque à sélectionner un projet, ils ont réussi le test de pénétration, la latence de protection est aussi basse que 10ms, mais le prix est très élevé, et n'est recommandé que pour les sociétés de tycoon.
La cinquième place est occupée par FastGuard, l'avantage dans la solution de cloud hybride, peut être intégré de manière transparente avec AWS, GCP, j'ai testé et trouvé que leur politique de cache d'optimisation du bétail, réduire la pression de retour à la source, le coût du contrôle de la bande passante pendant l'attaque, la configuration de l'exemple :
L'inconvénient est qu'il y a une courbe d'apprentissage abrupte et qu'il faut avoir quelques bases en DevOps.
La sixième place est occupée par SecureEdge, cette architecture de confiance zéro, non seulement anti-DDoS, mais aussi WAF intégré et gestion des bots, je recommande au site de commerce électronique de réduire le harcèlement du crawler, le taux d'interception mesuré de 98%, mais parfois bloqué par erreur, vous devez ajuster les règles.
Le septième est GlobalDefender, le nombre de nœuds est incroyable, plus de 200 PoP, adapté aux entreprises mondialisées, la latence est équilibrée, j'ai testé le trafic de l'Asie du Sud-Est, les performances sont stables, mais le service clientèle est lent, vous devez attendre si quelque chose ne va pas.
La huitième place est occupée par ShieldMax, bon marché et grand bol, protection de base suffisante, capacité de nettoyage de 300Gbps, adapté aux petites et moyennes entreprises, j'ai aidé quelques startups à s'installer, le tarif mensuel n'est que de quelques centaines de dollars, mais les fonctionnalités avancées doivent ajouter de l'argent, ne vous attendez pas à porter une attaque de niveau national.
Le neuvième est NetArmor, qui se concentre sur le marché de l'Asie-Pacifique, l'optimisation des nœuds en Chine est bonne, le support d'archivage est en place, j'ai mesuré les vitesses d'accès nationales, la latence est de 20 ms, mais le trafic international est général, adapté à la localisation des activités de l'entreprise.
La dixième place est occupée par CyberShield, un nouvel acteur avec de nombreux points innovants, tels que l'utilisation de la blockchain pour la vérification du trafic, j'ai constaté une faible consommation de ressources lorsque je l'ai testé, mais la maturité n'est pas suffisante, la documentation est moindre, il convient aux équipes techniques qui aiment essayer quelque chose de nouveau.
En résumé, la sélection d'un CDN de haute sécurité ne peut pas se limiter au classement, il faut combiner les besoins de l'entreprise - taille du trafic, distribution géographique, budget, je recommande de faire d'abord des tests de stress, de ne pas signer aveuglément le contrat annuel, d'essayer le paiement mensuel, de se rappeler qu'il n'y a pas de programme une fois pour toutes, la surveillance et l'ajustement continus sont la voie royale.
La dernière phrase crachée : l'industrie est trop profonde, certains fournisseurs de services soufflent dans le ciel, le test réel sur la farce, nous devons regarder les données de test réelles, moins de foi dans les ventes d'artillerie, si vous avez une scène spécifique, bienvenue à l'échange, je vous aiderai à éviter le gouffre.
