2017年11月15日,GFIC-2017亚太CDN年会在上海隆重召开,大会聚焦“高清云、高防云、视频云”。会议进入第二天,绿盟科技安全专家张鹏发表了题为《探寻高防云清洗平台建设与运营之道》的精彩演讲。
现在随着流量的增大,传统的运营商也在考虑在骨干网上做流量的清洗。绿盟科技每年都会联合中国电信,每个季度出DDoS的趋势报告,现在最大的趋势可能就是流量越来越大,加上混合性的攻击方式,行业攻守呈现双方不对等的格局。“DDoS就像牛皮癣一样,你不能根治,他就是简单粗暴有效,这个也是黑客非常喜欢的东西,尤其是同行之间竞争的时候,非常愿意用的一个手段。”张鹏讲到。他同时透露,2017年,国家要建一个1T的清洗中间,就跟绿盟合作的。
整个CDN的抗DDoS思路,上下型带宽是不对等的,这些带宽可以平时做加速或者支撑业务,在有攻击的时候可以用做防御,通过冗余的带宽做防御。
国内和国际的网络环境还不一样。国内大概就分两大阵营,一个是国内运营商,主要是做清洗节点,是可以控制的,运营商因为体制内的问题现在也比较突出,多个运营商上各家清洗各家的,市场化程度不是很够。绿盟覆盖的金融客户大概有6个收到了勒索邮件,如果不给的话,对方会在约定的时间攻击你,这个要求金融机构都需要有大带宽流量防护的措施,这样就需要找相应的厂商,结果发现金融都是多链路的电信联通移动,局部的地方可能会有一些资源但效果不是很好,这也体现劣势还是比较明显的,运营商方面的工作也是比较明显。
以BAT为主,基础方案是自建高放机房,DNS牵引,优势是云主机标配抗D服务,经济实惠适合云上客户,全局资源,分布式部署,清洗容量大,弹性计费。但是劣势是DNS牵引有一定的延时,直接针对目的攻击很难有效防御,仍有风险。
张鹏指出,这个市场还是有很多机会,谁能通过创新攻克自己的劣势就能迅速的占领市场,DNS是碎片化的时候要更改和调整真的很难。
整个CDN的抗DDoS思路,上下型带宽是不对等的,这些带宽可以平时做加速或者支撑业务,在有攻击的时候可以用做防御,通过冗余的带宽做防御。
国内和国际的网络环境还不一样。国内大概就分两大阵营,一个是国内运营商,主要是做清洗节点,是可以控制的,运营商因为体制内的问题现在也比较突出,多个运营商上各家清洗各家的,市场化程度不是很够。绿盟覆盖的金融客户大概有6个收到了勒索邮件,如果不给的话,对方会在约定的时间攻击你,这个要求金融机构都需要有大带宽流量防护的措施,这样就需要找相应的厂商,结果发现金融都是多链路的电信联通移动,局部的地方可能会有一些资源但效果不是很好,这也体现劣势还是比较明显的,运营商方面的工作也是比较明显。
以BAT为主,基础方案是自建高放机房,DNS牵引,优势是云主机标配抗D服务,经济实惠适合云上客户,全局资源,分布式部署,清洗容量大,弹性计费。但是劣势是DNS牵引有一定的延时,直接针对目的攻击很难有效防御,仍有风险。
张鹏指出,这个市场还是有很多机会,谁能通过创新攻克自己的劣势就能迅速的占领市场,DNS是碎片化的时候要更改和调整真的很难。
高防云清洗平台三大亮点
1、基于客户业务状态与告警的自动清洗
行业首创的自动清洗方式,解决单一探测误报导致的乱牵引,避免影响客户业务,提高服务质量与运维效率。
2、采用web与app相结合方式提供自助服务
提供多样化的自助服务形式,不仅为客户提供传统的web portal形式的自助服务,而且提供移动终端app形式的自助服务,方便预警消息推送、运维,提高用户感知与运维效率。
3、将DDoS监测、防护和演练能力充分云化
与现有DDoS业务相关的网管平台能力充分融合,再通过云平台为客户提供融合后的DDoS监测与防护云服务,实现产品云化,相当于每个客户独立在使用一套流量监测、流量清洗、拨测系统。积累一定高防资源后,随着未来移动网络和物联网业务的发展,可以绕过DNS,基于平台统一按IP地址池实现自动快速调度流量,实现弹性清洗网络的逐步完善
行业首创的自动清洗方式,解决单一探测误报导致的乱牵引,避免影响客户业务,提高服务质量与运维效率。
2、采用web与app相结合方式提供自助服务
提供多样化的自助服务形式,不仅为客户提供传统的web portal形式的自助服务,而且提供移动终端app形式的自助服务,方便预警消息推送、运维,提高用户感知与运维效率。
3、将DDoS监测、防护和演练能力充分云化
与现有DDoS业务相关的网管平台能力充分融合,再通过云平台为客户提供融合后的DDoS监测与防护云服务,实现产品云化,相当于每个客户独立在使用一套流量监测、流量清洗、拨测系统。积累一定高防资源后,随着未来移动网络和物联网业务的发展,可以绕过DNS,基于平台统一按IP地址池实现自动快速调度流量,实现弹性清洗网络的逐步完善
绿盟云清洗平台三大方案优点
智能:攻击智能检测、流量智能调度、清洗策略智能下发
敏捷:攻击秒级响应,提供自助和自动清洗能力,响应效率高
可运营:服务可视化能力降低维护工作量,实现云清洗业务大规模推广
针对绿盟科技在云清洗平台解决方案一些经验,张鹏表示,他们有两套系统,流量监控和流量清洗。大概整个的话,第一个首先要知道攻击什么时候发生,所以要做流量的采集和感知,攻击发生的时候要做一个快速的感知和响应,如果遇到一些传统的清洗模块清洗不了,就是在云端自助调整一下清洗的下发,然后最后整个攻击接受和有一个展示的报表,有一些溯源的数据。
还有联动云端的情况,把多方资源联合起来,组成一个立体的抗D体系,这个还没有涉及到APP加固服务器加固,这个偏底层技术层面的,我这边偏向于上层资源联合在一起的对抗,跟DDoS攻方的一个对抗。
整个系统架构底层是两套系统,检测和清洗,中间管理平台主要就是负责报表,报表提供给客户,智能调度还是以DNS为主,包括传统的业务开通监控,客户通过APP自动防护和自动清洗,自动防护这个过程有点像看攻防的直播,客户可以作为一个旁观者知道是怎么攻击的,没有这套东西就比较被动。
整个方案的优势中,智能就体现在智能检测,流量智能调度清洗策略智能下发。敏捷就是攻击秒级响应,提供自助和自动清洗能力,响应效率比较高的。可运营就是服务可视化能力降低维护工作量,实现云清洗业务大规模推广。
运维业务可视化,流量是实时生成的,会有告警阈值,可以做到7X24小时的全天候检测。在自己的流量趋势图中,不需要做任何的配置和硬件,就是开通这个服务就能获取到,数据就是在运营平台做分权分运管理的时候就给到了客户。如果流量检测和业务可用性发生问题的话,会做一个智能判断,就会进行云清洗,两个一起生效或者单个生效。
演讲最后,张鹏表示,绿盟要打造的其实是一个综合的安全政策平台,这个平台上层是站在用户的角度定义安全服务周期,辅助一些技术文化,比如说3A认证,底层对接一些基础设备,对资源层转换,收集底层的日志做数据建模和分析提供给上层客户,提供一些标准的API接口,跟第三方的平台对接,可以很快速的连接其他的第三方资源,这是他们整个生态系统的大概模型。