R\u00e9cemment, de nombreux pairs sont venus me demander pourquoi le m\u00eame CDN de haute d\u00e9fense, la latence de leur site web est toujours \u00e9lev\u00e9e, les incidents de s\u00e9curit\u00e9 se produisent fr\u00e9quemment ? J'ai directement l\u00e2ch\u00e9 une phrase : votre CDN traditionnel est obsol\u00e8te depuis longtemps, et maintenant il ne combine pas l'edge computing pour jouer, il porte simplement une armure - lourde et lente.<\/p>\n
De nos jours, les attaques DDoS commencent au niveau T sans bouger, et les attaques CC sont comme des mouches. Se contenter de compter sur le n\u0153ud central pour acheminer le trafic ? Sans compter que le co\u00fbt est insupportable, et que le retard peut laisser les utilisateurs \u00e0 court d'argent. J'ai test\u00e9 un programme traditionnel, l'attaque est arriv\u00e9e, le n\u0153ud central est directement devenu une passoire, les n\u0153uds p\u00e9riph\u00e9riques sont toujours en train de boire tranquillement du th\u00e9 - ils ne sont pas du tout impliqu\u00e9s dans la protection de la s\u00e9curit\u00e9.<\/p>\n
Le plus pitoyable, c'est que certains vendeurs se vantent d'avoir des \u201cn\u0153uds globaux\u201d, alors qu'en fait, de nombreux n\u0153uds p\u00e9riph\u00e9riques n'ont tout simplement pas de puissance de calcul, et ne sont que des stations de relais du trafic. Le trafic d'attaque doit parcourir la moiti\u00e9 du monde pour \u00eatre nettoy\u00e9 et revenir \u00e0 l'utilisateur lorsque les fleurs jaunes sont froides. Ne croyez pas ceux qui ne vendent que de la bande passante aux fournisseurs de services CDN, ils ne peuvent m\u00eame pas faire la diff\u00e9rence entre l'informatique de p\u00e9riph\u00e9rie et la distribution de contenu.<\/p>\n
En fait, le c\u0153ur du probl\u00e8me est le suivant : le CDN traditionnel pour la s\u00e9curit\u00e9 et la pression de traitement sont empil\u00e9s sur le n\u0153ud central, tandis que les n\u0153uds p\u00e9riph\u00e9riques sont inactifs. C'est comme si l'on laissait l'agent de s\u00e9curit\u00e9 se tenir \u00e0 la porte du si\u00e8ge de l'entreprise pour contr\u00f4ler tous les visiteurs de la succursale, l'efficacit\u00e9 ne peut pas \u00eatre faible ?<\/p>\n
L'ann\u00e9e derni\u00e8re, notre station de commerce \u00e9lectronique a subi une perte. Pendant la p\u00e9riode de promotion, nous avons soudainement \u00e9t\u00e9 victimes d'une attaque par CC, bien que le n\u0153ud central soit en mesure de transporter la requ\u00eate, mais toutes les requ\u00eates doivent retourner \u00e0 la source de la v\u00e9rification, ce qui a eu pour effet de faire grimper le d\u00e9lai de commande des utilisateurs normaux \u00e0 plus de 3 secondes, entra\u00eenant ainsi la perte directe de millions de commandes. Plus tard, j'ai sorti les journaux de trafic pour les analyser et j'ai d\u00e9couvert que la demande 80% pouvait en fait \u00eatre v\u00e9rifi\u00e9e au niveau du n\u0153ud p\u00e9riph\u00e9rique.<\/p>\n
La solution la plus fiable consiste \u00e0 transf\u00e9rer la capacit\u00e9 de protection de la s\u00e9curit\u00e9 aux n\u0153uds p\u00e9riph\u00e9riques. Ainsi, chaque n\u0153ud p\u00e9riph\u00e9rique dispose d'une certaine puissance de calcul et d'une politique de s\u00e9curit\u00e9, \u00e0 proximit\u00e9 du traitement de la demande et en m\u00eame temps pour effectuer la d\u00e9tection de la s\u00e9curit\u00e9. Cela \u00e9quivaut \u00e0 affecter des agents de s\u00e9curit\u00e9 \u00e0 chaque point de vente, ce qui est \u00e0 la fois rapide et s\u00fbr.<\/p>\n
J'ai compar\u00e9 les solutions de trois fournisseurs de services : CDN5 se concentre sur les capacit\u00e9s WAF de p\u00e9riph\u00e9rie, CDN07 met l'accent sur l'informatique de p\u00e9riph\u00e9rie et 08Host est un compromis entre le co\u00fbt et la performance. Le test a r\u00e9v\u00e9l\u00e9 que la fonction de p\u00e9riph\u00e9rie de CDN07 dans le traitement de la logique complexe est la plus performante, mais que le prix est \u00e9galement tr\u00e8s \u00e9lev\u00e9.<\/p>\n
En cas d'atterrissage sp\u00e9cifique, je recommande une strat\u00e9gie de d\u00e9fense \u00e0 plusieurs niveaux :<\/p>\n
La premi\u00e8re couche effectue des contr\u00f4les de base au niveau des n\u0153uds les plus p\u00e9riph\u00e9riques, tels que la v\u00e9rification humaine et la v\u00e9rification de la r\u00e9putation IP. Ces op\u00e9rations l\u00e9g\u00e8res peuvent \u00eatre effectu\u00e9es enti\u00e8rement au niveau du n\u0153ud le plus proche de l'utilisateur, puis transf\u00e9r\u00e9es au niveau suivant apr\u00e8s avoir \u00e9t\u00e9 effectu\u00e9es.<\/p>\n
Nous partageons ici un exemple de configuration pratique, qui est utilis\u00e9 pour filtrer initialement les adresses IP malveillantes au niveau des n\u0153uds p\u00e9riph\u00e9riques :<\/p>\n
Le deuxi\u00e8me niveau effectue une d\u00e9tection approfondie au niveau des n\u0153uds r\u00e9gionaux, comme la correspondance des r\u00e8gles WAF et l'analyse comportementale. Les n\u0153uds de ce niveau disposent d'une plus grande puissance de calcul et peuvent ex\u00e9cuter des algorithmes de s\u00e9curit\u00e9 plus complexes.<\/p>\n
La troisi\u00e8me couche est la plus importante : seules les demandes qui ne peuvent pas \u00eatre jug\u00e9es au niveau des n\u0153uds p\u00e9riph\u00e9riques sont renvoy\u00e9es au n\u0153ud central. Cela revient \u00e0 filtrer au moins 90% des demandes malveillantes, et la pression sur le site source est directement r\u00e9duite.<\/p>\n
J'ai test\u00e9 cette architecture sur 08Host, et la latence est directement r\u00e9duite de 200 ms \u00e0 moins de 80 ms. En Asie du Sud-Est notamment, les n\u0153uds de p\u00e9riph\u00e9rie locaux \u00e9tant dot\u00e9s d'une puissance de calcul, le sentiment de l'utilisateur est particuli\u00e8rement \u00e9vident.<\/p>\n
L'am\u00e9lioration de la s\u00e9curit\u00e9 est encore plus \u00e9tonnante : auparavant, des centaines de milliers de tentatives d'attaque devaient \u00eatre trait\u00e9es chaque jour, alors qu'aujourd'hui, elles sont toutes intercept\u00e9es au niveau des n\u0153uds p\u00e9riph\u00e9riques. Le plus beau, c'est que le co\u00fbt de la bande passante du serveur source a \u00e9t\u00e9 r\u00e9duit de 60%, et que mon patron ne me r\u00e9clame plus de factures de bande passante tous les jours.<\/p>\n
Au niveau du code, les principaux CDN prennent d\u00e9sormais en charge les fonctions de p\u00e9riph\u00e9rie. Par exemple, avec la plateforme informatique p\u00e9riph\u00e9rique de CDN07, la protection dynamique peut \u00eatre r\u00e9alis\u00e9e de cette mani\u00e8re :<\/p>\n
Ne sous-estimez jamais la puissance de ces fonctions de p\u00e9riph\u00e9rie - les n\u0153uds de p\u00e9riph\u00e9rie ont d\u00e9sormais des performances de calcul sup\u00e9rieures \u00e0 celles de certains h\u00f4tes en nuage. J'ai test\u00e9 la d\u00e9tection WAF, la compression d'images et les tests AB en m\u00eame temps sur un n\u0153ud de p\u00e9riph\u00e9rie, et il est toujours aussi solide qu'un vieux chien.<\/p>\n
Bien entendu, le processus de migration comporte des pi\u00e8ges. Le plus gros probl\u00e8me est la gestion de l'\u00e9tat - les n\u0153uds p\u00e9riph\u00e9riques sont sans \u00e9tat et doivent partager les donn\u00e9es \u00e0 l'aide d'un stockage distribu\u00e9. Je recommande d'utiliser un cluster Redis pour la synchronisation des \u00e9tats, ce qui ajoute un peu de latence mais est bien mieux que de remonter jusqu'\u00e0 la source.<\/p>\n
Un autre point sensible est la difficult\u00e9 de d\u00e9bogage. Avec autant de n\u0153uds p\u00e9riph\u00e9riques, il est difficile de localiser le probl\u00e8me. Mon exp\u00e9rience consiste \u00e0 enfouir des points de contr\u00f4le dans chaque fonction p\u00e9riph\u00e9rique et \u00e0 suivre l'ensemble de la cha\u00eene de requ\u00eate avec un identifiant de requ\u00eate unique. Ainsi, quel que soit le n\u0153ud par lequel passe la requ\u00eate, vous pouvez rapidement localiser le probl\u00e8me.<\/p>\n
Ne vous inqui\u00e9tez pas non plus du co\u00fbt. Bien que le prix unitaire de l'edge computing soit l\u00e9g\u00e8rement plus \u00e9lev\u00e9, le co\u00fbt global est plut\u00f4t r\u00e9duit. Gr\u00e2ce \u00e0 la r\u00e9duction du trafic de retour et \u00e0 la pression exerc\u00e9e par le n\u0153ud central, le calcul global permet d'\u00e9conomiser environ 30%. L'effet d'\u00e9conomie est encore plus \u00e9vident pour les services \u00e0 fort trafic tels que la vid\u00e9o et les jeux.<\/p>\n
J'ai r\u00e9cemment aid\u00e9 une soci\u00e9t\u00e9 de jeux \u00e0 effectuer une migration, et la latence m\u00e9diane globale est pass\u00e9e de 142 ms \u00e0 67 ms, et le taux d'attrition des joueurs a chut\u00e9 de 181 TP3 T. La s\u00e9curit\u00e9 est encore plus spectaculaire, le co\u00fbt d'une attaque DDoS ayant \u00e9t\u00e9 multipli\u00e9 par dix - les attaquants doivent d\u00e9sormais s'attaquer \u00e0 des centaines de n\u0153uds de p\u00e9riph\u00e9rie en m\u00eame temps pour \u00eatre efficaces.<\/p>\n
Cette architecture ne fera que s'imposer \u00e0 l'avenir. La 5G et la croissance explosive des appareils IoT entra\u00eeneront la migration de tous les besoins informatiques vers la p\u00e9riph\u00e9rie. Si vous ne montez pas \u00e0 bord maintenant, vous risquez d'\u00eatre obsol\u00e8te plus tard.<\/p>\n
Pour \u00eatre honn\u00eate, le choix de la technologie est tr\u00e8s important. Si l'activit\u00e9 se situe principalement en Asie-Pacifique, l'avantage de la couverture de CDN5 est \u00e9vident ; si une puissance de calcul puissante est n\u00e9cessaire, l'\u00e9cologie des fonctions de p\u00e9riph\u00e9rie de CDN07 est la plus compl\u00e8te ; si l'on recherche la rentabilit\u00e9, l'offre de 08Host est vraiment consciencieuse. Il est pr\u00e9f\u00e9rable d'effectuer d'abord un test PoC \u00e0 petite \u00e9chelle et de ne pas suivre aveugl\u00e9ment le vent.<\/p>\n
Enfin, j'aimerais partager une histoire vraie : l'ann\u00e9e derni\u00e8re, une entreprise a \u00e9t\u00e9 frapp\u00e9e par un DDoS de 300 Gbps, \u00e0 cause de la protection centralis\u00e9e traditionnelle, l'ensemble du service a \u00e9t\u00e9 indisponible pendant 12 heures. Plus tard, apr\u00e8s avoir migr\u00e9 vers une architecture de protection en p\u00e9riph\u00e9rie, l'attaque de m\u00eame ampleur n'a pas \u00e9t\u00e9 ressentie du tout - le trafic dans le n\u0153ud en p\u00e9riph\u00e9rie a \u00e9t\u00e9 dilu\u00e9 et dissous. Le patron m'a sp\u00e9cialement envoy\u00e9 une enveloppe rouge pour me remercier, en me disant que j'aurais d\u00fb savoir que j'aurais d\u00fb utiliser cette solution plus t\u00f4t.<\/p>\n
Mon principe de conception de l'architecture est d\u00e9sormais clair : ne jamais revenir \u00e0 la source si l'information peut \u00eatre trait\u00e9e \u00e0 la p\u00e9riph\u00e9rie, et ne jamais la centraliser si elle peut \u00eatre prot\u00e9g\u00e9e \u00e0 la p\u00e9riph\u00e9rie. Il s'agit non seulement d'une faible latence et d'une s\u00e9curit\u00e9 \u00e9lev\u00e9e, mais aussi d'une r\u00e9duction significative des co\u00fbts. Pourquoi ne pas le faire ?<\/p>\n
Honn\u00eatement, le fait de voir les temps de r\u00e9ponse des requ\u00eates passer de trois chiffres \u00e0 deux chiffres, et les incidents de s\u00e9curit\u00e9 passer de dizaines par jour \u00e0 presque z\u00e9ro, est plus un sentiment d'accomplissement qu'autre chose. La meilleure partie du m\u00e9tier de technicien n'est-elle pas de voir son architecture produire de la valeur ?<\/p>\n
La prochaine fois que quelqu'un vous dira que les CDN ne servent qu'\u00e0 l'acc\u00e9l\u00e9ration, jetez-lui cet article - nous sommes en 2024 et il ne peut y avoir personne qui ne sache pas qu'un CDN de haute s\u00e9curit\u00e9 doit \u00eatre associ\u00e9 \u00e0 l'informatique de pointe, n'est-ce pas ?<\/p>","protected":false},"excerpt":{"rendered":"
R\u00e9cemment, de nombreux pairs sont venus me demander pourquoi le m\u00eame CDN de haute d\u00e9fense, la latence de leur site web est toujours \u00e9lev\u00e9e, les incidents de s\u00e9curit\u00e9 se produisent fr\u00e9quemment ? J'ai directement l\u00e2ch\u00e9 une phrase : votre CDN traditionnel est obsol\u00e8te depuis longtemps, et maintenant il ne combine pas l'informatique de pointe pour jouer, il porte simplement une armure - lourde et lente. De nos jours, les attaques DDoS ne se d\u00e9placent pas au niveau T, les attaques CC sont comme des mouches. Se contenter de compter sur le n\u0153ud central pour acheminer le trafic ? Sans compter que le co\u00fbt est insupportable et que le retard peut laisser les utilisateurs \u00e0 court d'argent. J'ai test\u00e9 un programme traditionnel, l'attaque est arriv\u00e9e, le n\u0153ud central est pass\u00e9 directement dans une passoire, les n\u0153uds p\u00e9riph\u00e9riques sont toujours en train de boire tranquillement du th\u00e9 - ils ne sont pas du tout impliqu\u00e9s dans la protection de la s\u00e9curit\u00e9. Le plus pitoyable, c'est que certains fournisseurs se vantent d'avoir des \u201cn\u0153uds globaux\u201d, alors qu'en fait, de nombreux n\u0153uds p\u00e9riph\u00e9riques n'ont pas de puissance de calcul, et ne sont qu'une station de transfert de trafic. Le trafic d'attaque doit<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-977","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/977","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=977"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/977\/revisions"}],"predecessor-version":[{"id":1148,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/977\/revisions\/1148"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=977"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=977"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=977"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=977"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}