1. 程式人生 > >阿里雲高階技術專家趙偉:安全加速 SCDN 設計與案例

阿里雲高階技術專家趙偉:安全加速 SCDN 設計與案例

此前,阿里雲釋出了SCDN安全加速解決方案,在CDN加速的基礎上,將專業的安全能力賦能 CDN,實現既有加速又有安全的服務。在本次杭州雲棲-飛天技術匯CDN與邊緣計算專場中,阿里雲高階技術專家趙偉從業務背景、架構設計和客戶案例幾個方面對SCDN的設計進行了闡述。

“由於我平時本身就在負責CDN的安全工作,所以接觸到很多來自客戶的安全訴求比較多。”趙偉說到:“最常見的場景,就是客戶反饋攻擊請求比較大,已經打得源站扛不住了,這種都是以動態或者穿透快取的請求來攻擊源站,由於客戶源站的能力相對有限,回源QPS一旦高起來,源站就很有可能易扛不住,進而導致整個服務受到影響。第二個場景就是部分 CDN 客戶具有很強的安全意識。所以購買CDN服務的同時會考慮購買其他安全服務產品,當客戶需要新增一個域名時,就需要逐個產品新增一遍。有的客戶域名可能是幾十個甚至上百個,多個產品都新增一遍,工作量會比較大,客戶也會吐槽,為什麼不能在一個地方集中接入一次,這樣逐個產品新增太痛苦了。”

“還有的客戶會面臨當前攻擊手段的變換,通過肉雞直接訪問網站的一些大檔案,短時間內域名的服務頻寬從幾百兆到上G甚至幾十G,這會產生大量的費用。或者網站內容被被人爬去,包括重要的資料,網站的風格等等,給網站的原創者帶來損失。”

面對著這些客戶的反饋和訴求,趙偉所在的團隊認為,首先要將安全功能下沉到邊緣,安全防護在第一道防線部署;其次,邊緣節點上的安全功能需要高效的集中在一起,可以讓客戶一站式的方便接入。最後,近幾年來CDN已經成為了網際網路流量的主要入口,所以攻擊也會相應達到CDN的邊緣服務上,所以在CDN上賦能安全是自然而然的事情。因為,阿里雲推出了SCDN安全加速解決方案,將安全功能賦能給CDN,成為擁有專業安全防護能力的CDN服務。

安全加速SCDN的架構

從架構圖上可以看到,邊緣節點一定是同時具有 DDoS、CC攻擊清洗能力的節點,並且具備更多應用層防護能力的節點。此外,隨著近幾年 DDoS 攻擊的頻寬量越來越大,而且去年到今年的大流量DDoS攻擊已經突破 1T 的量級,這個攻擊量超過了普通CDN節點的防護能力,架構中的抗 D 中心就是為了解決超大流量攻擊而設計的。

還有一個環節不容忽視,就是DNS。一旦域名的 DNS 伺服器被攻擊導致無法正常解析,那麼對應域名的 CDN 正常服務也就無從談起。

SCDN 整個架構中,核心的功能包括流量統計模組、攻擊檢測模組,智慧排程模組,具體下圖中所示。

其中流量統計模組會將四層流量、七層流量等及時的上傳給安全中心即安全大腦。 安全大腦對於邊緣節點的DDoS 攻擊,根據流量的嚴重程度做出決策。一旦 DDoS 攻擊的流量打滿整個邊緣節點,導致正常請求無法進入節點,安全大腦會通過智慧排程機制,將攻擊流量遷移到SCDN 專用抗 D 中心。抗D中心具備 300G~1T 的攻擊清洗能力。對於 CC 攻擊以更多應用層攻擊行為,安全大腦會具體針對不同的攻擊行為,動態下發不同的防禦策略給各個邊緣節點。因此,經過邊緣節點的層層防護以及抗D中心的大流量清洗,正常的請求就可以繼續得到服務,動態的請求會最終安全的到達源站。

針對DDoS防護與應用層防護

對於 DDoS 防護,是和邊緣節點集中部署在一起,而且串聯的部署在快取之前。相比於傳統的旁路部署,SCDN 邊緣節點架構簡潔。同時,節點設計之初就考慮好了橫向擴容方案,後期SCDN節點會根據業務擴容需求,實現快速的橫向擴容,並且具備線性提升的 DDoS 和 CC 防護能力。因為 DDoS 實時檢測訪問流量,對於任何異常行為,可以實時進行清洗,達到秒級防護。

對於 CC 防護,通過 SCDN 實際服務客戶中不斷的進行攻防對抗,積累彙總了多種防護機制。人機識別是可以快速識別通過僵屍網路機器人發起的攻擊,並將攻擊請求進行攔截。至於那些嘗試繞過人機識別機制的機器人,SCDN特有的陷阱演算法為這類機器人量身定做了識別機制。Client 指紋驗證可適用兩種場景:一種是通過批量代理髮起了攻擊的惡意行為;一種是 IPv4 地址緊張的情況下,很多高校和企業常用的 NAT 做法,這種請求大多數是正常的訪問。Client 指紋驗證根據識別出來的真實 Client 的行為,做出不同的防護處理。SCDN 會實時採集和分析域名的多個維度的流量,包括URL、IP 等,一旦檢測到異常的流量行為,實時下發動態防禦機制,阻斷刷流量行為。最後,SCDN 還開放了自定義的 CC 防護規則,滿足特殊需要場景下的手動配置防護策略。

SCDN的優勢與應用場景

由於 SCDN 是構建於 CDN 之上,因此自然集成了CDN的分散式優勢,所以說SCDN具備分散式的防護優勢,加速和安全兩者兼得。DDoS 的防護實現了秒級清洗,並在大流量攻擊下實現分鐘級智慧排程。七層防護的多種防護演算法,可以有效果防護各種應用層的攻擊行為。

SCDN 可以適用大部分既需要加速有需要安全的場景,包括理財類、電商類、遊戲類、房產類、醫療類等等。

SCDN服務模式

SCDN 當前提供兩種防護模式: 一種是基礎防護,側重於七層防護,提供有限四層 DDoS 防護。這種防護模式適用於 CC 攻擊頻發,但是 DDoS 攻擊較少的場景。 另外一種就是標準防護,兼顧七層和四層防護。對於大流量的四層DDoS防護,可以通過抗 D 中心進行清洗。標準防護可以選擇彈性防護頻寬。超過 300G 的防護頻寬可以進行定製。

SCDN客戶案例

為了讓觀眾更好的理解SCDN的服務模式和應用場景,趙偉老師為大家介紹了幾個典型的客戶服務案例。

第一個客戶案例,採用的是基礎防護。A 客戶在 6月29日被 DDoS 攻擊,攻擊波及電信聯通移動三大運營商共 9 個地區,單個地區峰值頻寬最大超過 37G,總攻擊頻寬峰值接近 250G。 SCDN 在一分鐘以內完成了所有節點攻擊的處理。同時鑑於攻擊規模和強度,建議客戶升級標準防護。

客戶採納我們的建議,並且及時升級到標準防護。7月2日,抗D中心成功攔截了該客戶的大流量 DDoS 攻擊,攻擊頻寬為 150G。當時看這個攻擊量還是不小的,不過結合最近 SCDN 客戶的 DDoS 攻擊規模來看,攻擊超過 300G 甚至 600G 以上的攻擊也在不斷髮生。

第二個客戶案例是 CC 攻擊。B 客戶的域名在 8 月 13 日遭遇多次 CC 攻擊。SCDN 進行了自動化防護。圖中邊緣 L1 就是攻擊者攻擊的邊緣節點,QPS 超過 3w。經過 SCDN 的清洗,回源到 L2 節點最終到客戶源站的 QPS 基本上只有幾十,超過 99.9% 的請求都被自動化防禦。

同樣是B 的客戶於 8 月 14 日反饋,源站頻寬有 5Mbps,希望有更嚴格的防禦策略。相比於現在很多家庭頻寬都已經超過 100Mbps的,5Mbps 的頻寬是很容易跑滿的。一旦跑滿,源站的響應時間就變長,進而影響整個服務質量。我們立即分析並配置了更嚴格的策略。從圖中可以看出,12 點之後的邊緣 L1 攻擊 QPS 還是不時的超過 2w,但是回源到源站的請求,已經非常平穩,和攻擊之前的基本一致,防禦效果也得到客戶的肯定。

第三個客戶案例是DNS 防護,這個案例是內測階段發生的。當時接入內測服務的 C 客戶是一個遊戲客戶。趙偉說到:“遊戲類域名是攻擊的重災區。當時客戶接入服務後,發現仍然不可服務。經過快速分析,定位到客戶用的 NS 已經不給解析結果了。客戶使用的是第三方面免費的 NS 服務,登陸控制檯後發現,是有大流量 DNS 攻擊,導致 NS服務商直接將客戶的遊戲域名拉黑了。客戶向我們尋求解決方案,我們建議接入我們的 NS 防護。接入之後,發現 DNS 的攻擊持續在 1.2億QPS 的規模。不過在我們的防護之下,這個規模的攻擊已經不再影響服務,DNS 解析正常。客戶也反映遊戲進行很順利。後面攻擊者見攻擊沒有效果,也停止了 DNS 攻擊。”

SCDN未來規劃

SCDN從2017年 9 月份釋出內測,2017年12月份釋出公測,到 2018年5月份正是商業化。阿里雲CDN希望每一個階段將產品做得更加穩定高效。尤其是在今天DDoS 攻擊規模越來越大的情況下,只有更全面的打磨好安全防護的能力,才可以給更多客戶提供更穩定的服務。那麼在未來,SCDN的規劃如何?

SCDN 下一步的規劃包括以下四個方面: 1) 海外SCDN。目前包括國內出海客戶以及海外使用 CDN的客戶,都又很明確的安全訴求。這是 SCDN 下一步的規劃重點。 2) 按量付費。雖然已經有了基礎防護和標準防護兩個版本,但是為了滿足更多客戶的訴求,SCDN 計劃推出適用更多客戶的按量付費版本,將阿里雲的技術提升轉化為給客戶的紅利。 3) 行業解決方案,將阿里雲服務的多個行業的客戶的防禦方式進行梳理和沉澱,彙總出對應行業的解決方案,讓後續接入的客戶快速應用起來。 4) IPv6 攻防,國家今年已經開展全面支援 IPv6計劃。接下來國內 IPv6 的服務一定會多起來,SCDN 也會及時開展 IPv6 攻防。

在分享的最後,趙偉老師表達了對 SCDN 終局的思考,他認為:從長遠看,基礎安全能力應該會成為 CDN 的預設屬性。客戶一旦接入 CDN 服務,自然具備基礎的安全防護能力。同時,包括大流量抗 D 以及更多應用層防護高階功能會通過元件的方式提供,也就是高階安全功能元件化。客戶可以選擇CDN,然後在根據自己的安全需求,新增一到多個高階安全元件,自行定製出適合對應業務的安全方案。

原文連結 本文為雲棲社群原創內容,未經允許不得轉載。