雙11實戰 | 高并發場景下的流量安全

2021天貓雙11是首個100%的雲上雙11

整體計算成本三年下降30%。

在高并發極限場景考驗下，

WAF産品性能相較去年提升36%，

節約伺服器資源20%

DDoS防護“千人千面”

......

每年雙11護航都是一個典型的高并發場景下的流量安全問題。阿裡雲安全團隊将護航雙11的實戰經驗用到服務雲上百萬客戶，同時又将服務雲上百萬客戶得來的廣闊視野反哺雙11的安全護航，安全産品、專家經驗、技術實力在實戰中被不斷的打磨和豐富，形成了阿裡雲安全每天抵禦60億次攻擊的防禦實力。

對于阿裡雲安全團隊來說，高并發場景不隻在雙11期間才會遇到，在服務雲上諸多客戶形形色色業務的時候也會經常遇到，尤其是數字化越來越深入發展的現在，業務流量經常出現較大程度的波動。為了更好的服務客戶，以及應對雙11的極限場景，阿裡雲安全團隊将這種高并發場景下的安全護航做到日常，以“四兩撥千斤”之力應對雲上高度複雜且經常翻新的安全風險。

雙11護航

統一邊界，安全政策自動全網覆寫

所有生産網流量必須經過一個統一的接入層，抗DDoS攻擊、Web應用防護等安全能力統一部署在接入層，基于雲上全局視野，安全政策及時動态調整，一旦變更，全網自動覆寫，安全産品自動關聯響應。同時，統一接入層擁有專屬硬體叢集，可以彈性擴容，支撐業務動态波動，安全防護無感絲滑。

這裡的統一接入層有點類似于DMZ上雲，雲上DMZ更加适應大流量、高并發、強波動的業務特點，相較于傳統DMZ區，雲上安全不再“各自為戰”，雲盾平台統一安全管控，雲端威脅情報動态感覺，單點威脅全網阻斷，自動化編排響應，安全事件處置效率提升百倍，數字化開放生态平台，無感應對複雜場景擴容。更多可以參考《上雲之前靠體力，上雲之後靠腦力》

綠色雙十一

自動化的原生安全能力解“海量”之困

自動化發現公網IP，降低漏網之魚

雙十一期間業務激增，需要更多的雲服務資源，會新增很多公網IP。

傳統做法是人工将新增的公網IP一 一上報給安全團隊，安全團隊上線安全政策。

這種做法的弊端是人工上報很容易漏掉一些IP，漏掉的公網IP沒有被安全政策覆寫，一旦被黑客發現，即使你擁有再厲害的安全産品也無濟于事。彼時，安全人期待是，不要出現“漏網之魚”。

而當業務上雲後，基于原生的安全能力，系統可以自動去撈取随着業務擴容而新增的公網IP，尤其針對一些核心業務系統的IP可以重點探查，讓漏網之魚無網可漏。

自動發現誤攔截

在高并發場景下進行Web防禦時很容易出現誤攔截的情況，阿裡雲安全基于全局視野，從IP類型、攔截頻率、攔截數量等不同次元，通過近實時的計算，自動化的發現誤攔截情況，排除一定不是誤攔截的情況後再進行更進一步判斷，将安全專家從海量告警中解放出來，留出更多精力專注在真正的風險研判和處置之上。

關聯商業化産品，高等級安全防護自動切換

尤其是針對DDoS攻擊，當攻擊超過設定好的機房承受能力峰值時，系統會自動切換到阿裡雲具有更高防禦能力的DDoS防護産品，防禦能力瞬間提升20-50倍，抵禦上T攻擊，保障業務穩定平穩度過。

與業務場景深度結合，防禦政策也可以“千姿百态”

以往由于無法判斷每個IP所代表的具體業務場景，隻能對所有核心IP進行一緻化的防護政策。業務上雲後，基于雲天然一體的原生優勢，通過打通域名、網絡資源管理、業務等不同系統，可以精準判斷出單IP的多元度屬性，進而判斷每個IP背後所代表的業務敏感性與重要性。基于此可以實作：

• 從針對群像IP到單IP的個性化防護政策

尤其是面對DDoS攻擊，當某一IP達到清洗門檻值時，系統會自動判斷，采取不同的防禦政策。

• 特殊業務場景定制化防護政策

對于一些特殊的業務場景，DDoS防護能與業務版塊關聯，根據每個業務的個性化需求采用不同的處置政策。

• 結合業務場景，提升檢測準确率

對于一些比較關鍵的業務場景，單從流量本身進行分析很容易出現誤傷，結合流量背後的業務場景綜合分析，可大幅提升檢測準确率。

回歸客戶價值，聚焦客戶體驗

打鐵還需自身硬，提升産品底層性能，應對極限場景考驗

雙11期間業務範圍增大，為了提升防禦效果會上線更多且複雜的防禦政策，如何用有限的資源去承載更多的安全防護業務，就需要有效降低每個政策所占用的CPU資源，是以安全産品底層性能也需要調優，以支撐已有以及新增的安全政策高效執行。

• 代碼邏輯優化，性能提升20%

對于WAF安全引擎自身的性能，通過分析性能開銷與熱點，進行針對性内部代碼邏輯優化，性能提升超過20%。

• 優化安全政策邏輯，性能提升16%

為每個安全政策進行詳細性能優化，包括哪行政策存在性能熱點，并給出專業的優化建議。梳理線上空跑政策，進行下線處理。通過優化安全政策的邏輯，性能提升超過16%。

• 精準定位原因，提升檢測成功率

提升性能的最終目的是提升檢測成功率。首先了解現有的檢測成功率，針對網絡抖動原因等因素進行定向分析，對症治療，最終提升檢測成功率。目前阿裡雲在web安全的檢測成功率可達到99.999%。

實戰經驗沉澱進安全産品，為客戶所用

阿裡雲将護航雙11的實戰經驗沉澱成産品能力，服務雲上廣大客戶。

• “千人千面”的DDoS防護**

在護航雙11過程中，阿裡雲安全團隊沉澱出了結合業務場景進行個性化防禦的能力，并将這種能力沉澱進DDoS防護産品。

阿裡雲DDoS防禦可以提供“千人千面”的防護能力，針對不同客戶的業務流量與站點自身的容量建構基線模型，學習站點可承受的流量範圍，同時輔助情報積累實作防禦政策的個性化設定。

• 防誤傷的機制，秒級調整處置政策

在“千人千面”的基礎上，阿裡雲的DDoS防護内置了 “防誤傷機制”。防誤傷機制在客戶業務流量發生突變時可以自動學習這種突變是由正常使用者帶來還是攻擊者導緻的，如果是正常使用者因為促銷等因素導緻的頻繁通路，進而造成業務流量異常，安全防禦政策會自動回收，以保障業務穩定進行，防止誤傷正常使用者。

• “大促模式”一鍵開啟，無感防護

“大促模式”是雙11護航的另一個經驗沉澱，客戶可以在DDoS防護産品中一鍵開啟該模式，隻需要設定大促的起止時間，相關的安全政策會自動生效，不需要安全人員做任何操作，即可保障大促期間不因安全政策導緻業務誤傷的情況，與防誤傷機制相比，無論是客戶還是最終使用者，提供的都是無感防護。

最後，在久經沙場的戰鬥過程中，我們總結了一些 “微而不輕”的小政策， 分享給大家，試試，你能答對幾個？

• 每天面對上千億的海量日志，最多可達上萬億，做入侵檢測分析，是速度第一還是精準度第一？

速度

• 在高并發場景護航期間，安全政策是要全部保留還是可以降級處理？

無關安全政策降級

• 特殊場景護航怎樣才能做到胸有成竹？

高安全防護水位日常化

• 如何提升反入侵成功率？

實戰攻防演練

• 營銷大促，除了防薅，還要注意什麼？

廣告流量欺詐等風險

雙11已經走過十年之久，安全護航也經曆了從最開始的手忙腳亂到現在的鎮定自若。所謂實踐出真知，安全實力隻有在真正的攻防對抗下才能真正精進，也隻有在這個過程中才能得以驗證有效性。阿裡雲緻力于将經過實踐檢驗的安全産品、服務和方案提供給雲上客戶，為中國數字化轉型的發展保駕護航。