最近、数人のAPP仲間と酒を酌み交わしながら、彼らが先月遭遇した大規模なDDoS攻撃について話した。その光景はまるで映画のようだった。ユーザーが突然サービスに接続できなくなり、バックグラウンドのアラームが鳴り響き、1ヶ月間苦労してトラフィックの流れを促進したのが一瞬にして蒸発し、修復した後、アプリショップからもダウングレードされ、大損害を被った。彼はワインを口一杯に注ぎ、こう言った。“手を防ぐためにサーバーに多くの資金を投資した時点で分かっていたことだが、今は青腸をすべて後悔している。”
これは私を突き刺した、私はほぼ10年間、仕事のこの行にされている、私はかかとのセキュリティであまりにも多くのチームを見てきましたが、常に “事故を待ってから従事 ”と考え、結果は多くの場合、クラッシュであり、前の仕事は放棄されます。今日、私はそれらのものを購入するAPPの高い防衛サーバーについてお話します、これは技術的な仕事だけでなく、生存についての戦略的な選択でもありません。
多くの人は、アプリのセキュリティはパスワードやファイアウォールを追加するだけだと思っているが、それは大きな間違いだ。今日、ネットワーク攻撃は決して小さなものではありません。特にアプリケーション層の脅威は、CC攻撃(Challenge Collapsar)のような大規模なユーザーリクエストをシミュレートし、サーバーリソースを直接的に引きずり下ろすことができる一方、DDoSはより残忍で、ゴミのようなトラフィックで帯域幅をブロックするため、通常のユーザーにサービスを提供することさえできません。
私が実際にテストしたところ、1日のアクティビティが10万のAPPは、無防備であれば、データ漏洩や悪意のあるクローラーはもちろんのこと、目に見えない殺し屋である中規模の攻撃に遭遇した場合、数分で麻痺してしまう可能性があることがわかった。
問題の核心は、普通のサーバーは戦場で骨抜きにされるようなもので、圧力に対する抵抗力はほとんどゼロに等しいということだ。高防御サーバーは鎧を身に着けているようなもので、ハードウェアの分離、トラフィックの浄化、インテリジェントなスケジューリングを通じて、特にこの種の激しい攻撃に対処する。しかし、市場はさまざまな製品が混在しており、間違ったものを選択すると、多くのお金を費やす可能性がありますが、心の平和を購入することはできませんので、私たちは目を離さないようにする必要があります。
任意DDoS対策サーバー最初のタブーは、バーゲンを手に入れるために価格だけを見ることだ。
私は初期の頃に損失を被った、小さなメーカーの安い選択は、偽の標準の保護値の結果は、本当に顧客サービスが人を見つけることができないときに襲われた。今良い教訓を学んだ、いくつかの次元から深掘りします:まず第一に、保護する能力は、単に “テラバイトの防衛 ”を吹いて販売に耳を傾けることはありません、そのようなSYNフラッド、HTTPフラッドや攻撃の他の一般的なタイプをカバーするかどうかなど、具体的な指標を求めなければならない、クリーニングノードの分布は、どのように多くの応答待ち時間。
私の経験では、信頼できるベンダーはリアルタイムのトラフィック・チャートを提供してくれるので、攻撃のピークやクリーニングの効果を見ることができます。第二に、パフォーマンスの一致を見てください。あなたのAPPはIO集約型ですか、それとも計算集約型ですか?高防御サーバーは通常、プレミアム帯域幅と冗長ハードウェアを統合していますが、構成は調整する必要があります。例えば、電子商取引のAPPが大規模なプロモーション中にトラフィックが急増した場合、柔軟でスケーラブルなCPUとメモリが必要になる。
ここでは筋金入りの詳細を挿入する - 保護ルールの設定は、それらの “ワンクリックでそれを成し遂げるために ”馬鹿を信じてはいけない。本当のセキュリティは、自分自身を磨くために、私は一般的にポリシーのセットは、Nginxのフロー制限とブラックリストに基づいて使用され、以下は簡略化した例ですが、あなたは基本的な保護のサーバー側に置くことができます:
このコードは、毎秒10リクエストの最大値にAPIインタフェースを設定し、バーストは20を許可し、直接拒否されたIP上で、効果的にCC攻撃を軽減することができます。しかし、これは基礎に過ぎないことに注意してください、高防御サーバーのコアは、その背後にあるグローバルネットワークにある - などのトラフィッククリーニングセンターは、プロバイダが十分なノードリソースとインテリジェントなアルゴリズムを持っている必要があり、それがあなたのサーバーに到達する前に、攻撃トラフィックをフィルタリングします。
私はいくつかのサービスプロバイダをテストしている、この作品のCDN07のような非常に罰金を行うには、彼らのエニーキャストネットワークは、グローバルノードに攻撃を広めることができ、99.9%までのクリーニング効率、および直感的な背景のレポートが見つかりました、でも白人はチームのために適した、攻撃の傾向を理解することができます投げたくない。もちろん、これは広告ではなく、純粋に個人的な経験、誰が実際にテストする必要があります選択します。
帯域幅や回線品質だけでなく、最近ではCDNも「チームメイトを防ぐ」必要がある。一部の安価なサービスプロバイダは帯域幅を共有しており、一度攻撃を受けると、魚の影響を受ける。高防御のサーバーは、排他的な帯域幅、およびマルチ回線BGP(ボーダーゲートウェイプロトコル)へのアクセス、通信、ユニコム、モバイルユーザーがスムーズにアクセスできるようにする必要があります。
データ比較は非常に残酷です:100GbpsのDDoSで普通のサーバーは基本的に横たわり、高品質の高防御は500Gbps以上に運ぶことができ、冗長電源とホットバックアップハードウェアを介して99.95%の可用性を確保するために。99.95%の可用性を保証します。ダウンタイムが発生すれば、数百万ドルの収益が失われる可能性があります。
ベンダーの選定については、古いベンダーの動向を注視することをお勧めする。彼らは長年の攻撃の洗礼を受けており、技術的な説明はより信頼できる。しかし、公式サイトの自慢話だけを見るのではなく、テクニカル・フォーラムに行ってユーザーからのフィードバックを調べたり、あるいは独自のアタック・テストをシミュレートしてみるのもいい(合法的な範囲内で!)。以下はそのような攻撃の例である。例えば、08Hostは、私は数回一緒に働いている、彼らのアフターセールスチームの応答が非常に高速ですが、発生した問題のエンジニアが直接グループのサポートを引っ張るだけでなく、カスタマイズされた保護戦略を提供するために、このサービスの経験は、コールド作業受注システムよりもはるかに強力です。
ただし、それぞれ特徴が異なり、トラフィックの多い防御に長けたもの、アプリケーションレイヤーの最適化が得意なものなど、アプリの特性に応じて選ぶ必要がある。契約書には、障害補償やアップグレードの確約など、SLA(サービス・レベル・アグリーメント)を白黒明記して、負けないようにすることを忘れずに。
コスト管理は芸術のようなもので、防御力の高いサーバーは通常タイプよりも30%-50%が高くなる。
私のアプローチは、コアビジネスのための高い防御力、オブジェクトストレージにダンプされた静的リソース、プレッシャーを共有するためのCDNを組み合わせたレイヤー展開です。これにより、攻撃を防ぐだけでなく、リソースの浪費を避けることができる。
一言で言えば、一部のチームはお金を節約するために、一時的なアップグレードだけを攻撃されるのを待って、結果は価格が倍増するだけでなく、構成が混乱し、純粋に不当である。月払いの柔軟なプログラムを選択し、トラフィックに応じて随時調整するなど、初期段階で十分に計画する方が良いでしょう。ここでは、Cloud-initによる高防御環境の自動展開で、クイックスタートに適した構成例を紹介する:
このコンボを押さえれば、基本的なセキュリティの枠組みは整ったことになる。しかし、高防御サーバーの本当の価値は、それが提供するグローバルなビューにある - あなたのビジネス戦略を調整するように、リアルタイムで攻撃のソース、タイプと傾向を見ることができます。例えば、私は、特定の地域のIPが頻繁に悪意のあるアクセスは、地理的なブロッキングを強化することをターゲットに、ところで、地域のCDNキャッシュを最適化するが、代わりにユーザーエクスペリエンスを向上させることがわかりました。
最後に、考え方について話そう。私は、テクノロジー・セキュリティの責任者を重荷に感じ、常に「攻撃は当たらない」と思っている人を多く見てきた。ネットワーク・セキュリティはダイナミックなゲームであり、攻撃の手段は日々変化している。高い防御力を持つサーバーを選択するには、「妥協しない」という強みを持たなければならない。性能は妥協せず、スムーズなユーザー体験を保証する。保護は妥協せず、将来起こりうるアップグレード攻撃に対処する。サービスは妥協せず、プロバイダーはいつでもポケットに入れることができなければならない。
私の個人的な意見としては、このビジネスに銀の弾丸は存在しないが、強固なプロテクションは重要な時間を稼いでくれる。
アプリの高防御サーバーはオプションではなく、現代のアプリ開発の標準的な部分です。一日中ハラハラするのではなく、安心してビジネス革新に取り組める堀のようなものです。まだ躊躇しているのであれば、無料トライアルから始めて、保護効果をご自身で測定してみてください。
安全への投資は、事故後の対応よりも常に費用対効果が高いことを忘れてはならない。この混沌としたサイバー・ジャングルでは、十分な装備を整えることが、遠くへ行くための唯一の方法なのだ。