此前,阿裡雲釋出了SCDN安全加速解決方案,在CDN加速的基礎上,将專業的安全能力賦能 CDN,實作既有加速又有安全的服務。在本次杭州雲栖-飛天技術彙CDN與邊緣計算專場中,阿裡雲進階技術專家趙偉從業務背景、架構設計和客戶案例幾個方面對SCDN的設計進行了闡述。
“由于我平時本身就在負責CDN的安全工作,是以接觸到很多來自客戶的安全訴求比較多。”趙偉說到:“最常見的場景,就是客戶回報攻擊請求比較大,已經打得源站扛不住了,這種都是以動态或者穿透緩存的請求來攻擊源站,由于客戶源站的能力相對有限,回源QPS一旦高起來,源站就很有可能易扛不住,進而導緻整個服務受到影響。第二個場景就是部分 CDN 客戶具有很強的安全意識。是以購買CDN服務的同時會考慮購買其他安全服務産品,當客戶需要添加一個域名時,就需要逐個産品添加一遍。有的客戶域名可能是幾十個甚至上百個,多個産品都添加一遍,工作量會比較大,客戶也會吐槽,為什麼不能在一個地方集中接入一次,這樣逐個産品添加太痛苦了。”
“還有的客戶會面臨目前攻擊手段的變換,通過殭屍電腦直接通路網站的一些大檔案,短時間内域名的服務帶寬從幾百兆到上G甚至幾十G,這會産生大量的費用。或者網站内容被被人爬去,包括重要的資料,網站的風格等等,給網站的原創者帶來損失。”
面對着這些客戶的回報和訴求,趙偉所在的團隊認為,首先要将安全功能下沉到邊緣,安全防護在第一道防線部署;其次,邊緣節點上的安全功能需要高效的集中在一起,可以讓客戶一站式的友善接入。最後,近幾年來CDN已經成為了網際網路流量的主要入口,是以攻擊也會相應達到CDN的邊緣服務上,是以在CDN上賦能安全是自然而然的事情。因為,阿裡雲推出了SCDN安全加速解決方案,将安全功能賦能給CDN,成為擁有專業安全防護能力的CDN服務。
安全加速SCDN的架構
從架構圖上可以看到,邊緣節點一定是同時具有 DDoS、CC攻擊清洗能力的節點,并且具備更多應用層防護能力的節點。此外,随着近幾年 DDoS 攻擊的帶寬量越來越大,而且去年到今年的大流量DDoS攻擊已經突破 1T 的量級,這個攻擊量超過了普通CDN節點的防護能力,架構中的抗 D 中心就是為了解決超大流量攻擊而設計的。
還有一個環節不容忽視,就是DNS。一旦域名的 DNS 伺服器被攻擊導緻無法正常解析,那麼對應域名的 CDN 正常服務也就無從談起。
SCDN 整個架構中,核心的功能包括流量統計子產品、攻擊檢測子產品,智能排程子產品,具體下圖中所示。
其中流量統計子產品會将四層流量、七層流量等及時的上傳給安全中心即安全大腦。 安全大腦對于邊緣節點的DDoS 攻擊,根據流量的嚴重程度做出決策。一旦 DDoS 攻擊的流量打滿整個邊緣節點,導緻正常請求無法進入節點,安全大腦會通過智能排程機制,将攻擊流量遷移到SCDN 專用抗 D 中心。抗D中心具備 300G~1T 的攻擊清洗能力。對于 CC 攻擊以更多應用層攻擊行為,安全大腦會具體針對不同的攻擊行為,動态下發不同的防禦政策給各個邊緣節點。是以,經過邊緣節點的層層防護以及抗D中心的大流量清洗,正常的請求就可以繼續得到服務,動态的請求會最終安全的到達源站。
針對DDoS防護與應用層防護
對于 DDoS 防護,是和邊緣節點集中部署在一起,而且串聯的部署在緩存之前。相比于傳統的旁路部署,SCDN 邊緣節點架構簡潔。同時,節點設計之初就考慮好了橫向擴容方案,後期SCDN節點會根據業務擴容需求,實作快速的橫向擴容,并且具備線性提升的 DDoS 和 CC 防護能力。因為 DDoS 實時檢測通路流量,對于任何異常行為,可以實時進行清洗,達到秒級防護。
對于 CC 防護,通過 SCDN 實際服務客戶中不斷的進行攻防對抗,積累彙總了多種防護機制。人機識别是可以快速識别通過僵屍網絡機器人發起的攻擊,并将攻擊請求進行攔截。至于那些嘗試繞過人機識别機制的機器人,SCDN特有的陷阱算法為這類機器人量身定做了識别機制。Client 指紋驗證可适用兩種場景:一種是通過批量代理發起了攻擊的惡意行為;一種是 IPv4 位址緊張的情況下,很多高校和企業常用的 NAT 做法,這種請求大多數是正常的通路。Client 指紋驗證根據識别出來的真實 Client 的行為,做出不同的防護處理。SCDN 會實時采集和分析域名的多個次元的流量,包括URL、IP 等,一旦檢測到異常的流量行為,實時下發動态防禦機制,阻斷刷流量行為。最後,SCDN 還開放了自定義的 CC 防護規則,滿足特殊需要場景下的手動配置防護政策。
SCDN的優勢與應用場景
由于 SCDN 是建構于 CDN 之上,是以自然內建了CDN的分布式優勢,是以說SCDN具備分布式的防護優勢,加速和安全兩者兼得。DDoS 的防護實作了秒級清洗,并在大流量攻擊下實作分鐘級智能排程。七層防護的多種防護算法,可以有效果防護各種應用層的攻擊行為。
SCDN 可以适用大部分既需要加速有需要安全的場景,包括理财類、電商類、遊戲類、房産類、醫療類等等。
SCDN服務模式
SCDN 目前提供兩種防護模式:
一種是基礎防護,側重于七層防護,提供有限四層 DDoS 防護。這種防護模式适用于 CC 攻擊頻發,但是 DDoS 攻擊較少的場景。
另外一種就是标準防護,兼顧七層和四層防護。對于大流量的四層DDoS防護,可以通過抗 D 中心進行清洗。标準防護可以選擇彈性防護帶寬。超過 300G 的防護帶寬可以進行定制。
SCDN客戶案例
為了讓觀衆更好的了解SCDN的服務模式和應用場景,趙偉老師為大家介紹了幾個典型的客戶服務案例。
第一個客戶案例,采用的是基礎防護。A 客戶在 6月29日被 DDoS 攻擊,攻擊波及電信聯通移動三大營運商共 9 個地區,單個地區峰值帶寬最大超過 37G,總攻擊帶寬峰值接近 250G。 SCDN 在一分鐘以内完成了所有節點攻擊的處理。同時鑒于攻擊規模和強度,建議客戶更新标準防護。
客戶采納我們的建議,并且及時更新到标準防護。7月2日,抗D中心成功攔截了該客戶的大流量 DDoS 攻擊,攻擊帶寬為 150G。當時看這個攻擊量還是不小的,不過結合最近 SCDN 客戶的 DDoS 攻擊規模來看,攻擊超過 300G 甚至 600G 以上的攻擊也在不斷發生。
第二個客戶案例是 CC 攻擊。B 客戶的域名在 8 月 13 日遭遇多次 CC 攻擊。SCDN 進行了自動化防護。圖中邊緣 L1 就是攻擊者攻擊的邊緣節點,QPS 超過 3w。經過 SCDN 的清洗,回源到 L2 節點最終到客戶源站的 QPS 基本上隻有幾十,超過 99.9% 的請求都被自動化防禦。
同樣是B 的客戶于 8 月 14 日回報,源站帶寬有 5Mbps,希望有更嚴格的防禦政策。相比于現在很多家庭帶寬都已經超過 100Mbps的,5Mbps 的帶寬是很容易跑滿的。一旦跑滿,源站的響應時間就變長,進而影響整個服務品質。我們立即分析并配置了更嚴格的政策。從圖中可以看出,12 點之後的邊緣 L1 攻擊 QPS 還是不時的超過 2w,但是回源到源站的請求,已經非常平穩,和攻擊之前的基本一緻,防禦效果也得到客戶的肯定。
第三個客戶案例是DNS 防護,這個案例是内測階段發生的。當時接入内測服務的 C 客戶是一個遊戲客戶。趙偉說到:“遊戲類域名是攻擊的重災區。當時客戶接入服務後,發現仍然不可服務。經過快速分析,定位到客戶用的 NS 已經不給解析結果了。客戶使用的是第三方面免費的 NS 服務,登陸控制台後發現,是有大流量 DNS 攻擊,導緻 NS服務商直接将客戶的遊戲域名拉黑了。客戶向我們尋求解決方案,我們建議接入我們的 NS 防護。接入之後,發現 DNS 的攻擊持續在 1.2億QPS 的規模。不過在我們的防護之下,這個規模的攻擊已經不再影響服務,DNS 解析正常。客戶也反映遊戲進行很順利。後面攻擊者見攻擊沒有效果,也停止了 DNS 攻擊。”
SCDN未來規劃
SCDN從2017年 9 月份釋出内測,2017年12月份釋出公測,到 2018年5月份正是商業化。阿裡雲CDN希望每一個階段将産品做得更加穩定高效。尤其是在今天DDoS 攻擊規模越來越大的情況下,隻有更全面的打磨好安全防護的能力,才可以給更多客戶提供更穩定的服務。那麼在未來,SCDN的規劃如何?
SCDN 下一步的規劃包括以下四個方面:
1) 海外SCDN。目前包括國内出海客戶以及海外使用 CDN的客戶,都又很明确的安全訴求。這是 SCDN 下一步的規劃重點。
2) 按量付費。雖然已經有了基礎防護和标準防護兩個版本,但是為了滿足更多客戶的訴求,SCDN 計劃推出适用更多客戶的按量付費版本,将阿裡雲的技術提升轉化為給客戶的紅利。
3) 行業解決方案,将阿裡雲服務的多個行業的客戶的防禦方式進行梳理和沉澱,彙總出對應行業的解決方案,讓後續接入的客戶快速應用起來。
4) IPv6 攻防,國家今年已經開展全面支援 IPv6計劃。接下來國内 IPv6 的服務一定會多起來,SCDN 也會及時開展 IPv6 攻防。
在分享的最後,趙偉老師表達了對 SCDN 終局的思考,他認為:從長遠看,基礎安全能力應該會成為 CDN 的預設屬性。客戶一旦接入 CDN 服務,自然具備基礎的安全防護能力。同時,包括大流量抗 D 以及更多應用層防護進階功能會通過元件的方式提供,也就是進階安全功能元件化。客戶可以選擇CDN,然後在根據自己的安全需求,添加一到多個進階安全元件,自行定制出适合對應業務的安全方案。