随着5G技术的兴起和云计算、大数据技术的应用落地,通信及相关设备行业面临更多新型的攻击形式,攻击面进一步被拉宽。根据通信行业业务特点,数据交互开始提速,对安全产品的流量处理速度和稳定性提出了严苛考验。高并发流量的处理、业务风险的控制、利用0day漏洞展开的APT攻击等,为核心数据资产带来极大威胁,如此防护难题该如何解决?
本文以长亭科技真实服务过的行业客户为例,为保护企业信息安全,此处隐去包含名称在内的各类敏感信息。
某服务于全球用户的国内大型通信设备制造商,是近几年发展速度最快的国产品牌之一,用户数量庞大,日活跃用户高达上亿,核心应用业务包括官网、应用商城、BBS论坛、搜索及用户中心等众多服务。业务系统和HTTP接口多且复杂多样,Web服务器承载了大量用户的核心数据。
【企业防守痛点】
该企业在应用安全建设工作中主要面临以下困扰:
- 日请求量峰值可达千亿——业务规模大,每秒百万请求量,且交互数据量仍在高速增长。
- 流量走向复杂——该企业为应对大流量高并发,满足灾备要求,业务应用服务器设置较为分散,在自建机房、国内公有云、国外公有云等均有部署,各网络内也部署了多层负载均衡。
- 应用访问量激增——活动、节日期间大大超出日常峰值流量,导致访问量差异明显,难以平衡。
- 大文件处理影响用户使用感受——该企业为用户提供的应用功能众多,其中包含HTTP请求中含有有大量图片、压缩文件等。
- 交易业务极易引起攻击——该企业用户数量体系庞大,旗下电商、网上支付等功能,可能出现由于0day等漏洞导致的数据泄漏、交易被篡改等情况。
- 羊毛党侵犯用户权益——新品发售或福利活动期间会发出大量用户福利,常被羊毛党高频薅,严重时甚至造成接口无法访问,影响活动效果和用户体验。
【防护方案难点】
长亭安全产品团队在本次项目实施过程中面临的挑战:
- 要求单个应用安全防护产品集群能接入全业务流量进行防护,同时保证应用安全防护产品性能高效、稳定,避免多个集群增加不必要的管理维护成本。
- 要求在不改变网络拓扑的前提下把所有业务流量无痛地接入应用安全防护产品中,避免给业务带来比较大的延迟以及增加运维保障的成本。
- 要求面对即时发生的高峰流量产品性能收放自如,支持快速弹性扩容以应对活动期间的大流量,活动结束后需要对临时扩容的服务器资源进行回收,避免服务器资源浪费。
- 要求平均处理延迟小于2ms,所有HTTP业务在防护模式下不影响用户体验。
- 要求可对高频访问的用户或IP进行策略化封禁,具备针对特定接口进行访问频率进行控制,以保证相关活动能公平公正的进行。
【最终落地方案】
雷池(SafeLine)下一代Web应用防火墙通过嵌入式集群化部署至该企业网络中。
雷池(SafeLine)部署方案示意图
嵌入式集群化部署,适配用户网络环境
该企业业务系统分散,已有多层负载均衡,采用传统硬件WAF串联、反向代理模式部署会带来成本和性能方面的挑战。雷池(SafeLine)嵌入式集群部署模式,通过在Nginx服务器上插入动态So,实现把HTTP流量牵引到同机房的检测节点集群上进行检测并返回结果,可完美耦合客户系统解决传统WAF的部署成本、运维成本和性能难题
容器化底层架构,分钟级集群收放
雷池(SafeLine)底层架构基于容器搭建而成,在软件安装和扩容集群节点时具有天然优势,在应对不同业务需求时,能够通过集群扩容能力实现全业务流量的安全防护。该企业在多次重大活动前启用集群扩容功能,平均每台节点的扩容时间不超过30分钟,且运行稳定,获得安全运维人员的好评。
算法引擎提速检测,毫秒级运算处理
雷池(SafeLine)独具智能语义分析算法,计算资源占用率极低,内置的算法可识别多种攻击类型。在用户实际生产环境中,雷池(SafeLine)运行在单台32核的服务器实测最高可处理15万QPS,耗时在5ms以内,且保证运行稳定,避免了因检测延迟对业务造成的影响。
雷池升级:https://mp.weixin.qq.com/s/JlhiLOcBnLafYKuhAN7vZw
细颗粒度访问频率策略,控制各类羊毛党
雷池(SafeLine)灵活的细颗粒度配置条件,可以匹配访问所有地址、某个地址、以某个地址为前缀的地址,限制方式可以选择为封禁或限频率,封禁对象可选择为用户IP或用户Session,满足多种场景下访问频率控制需求。该企业部署雷池(SafeLine)后在多次新品抢购活动中启用针对抢购接口配置访问频率控制,成功封禁羊毛党恶意抢购行为,保障了商城业务系统的正常响应。
雷池(SafeLine)获得该企业网络安全人员的一致好评,已成为连年扩容续费用户。雷池(SafeLine)在迭代过程中逐步进行综合防护能力的拓展,现已接入威胁情报、DDoS防护的防御能力,凭借全开放API接口实现与态势感知、大数据平台的联动,为客户带来更加全面的防护服务。
发表评论
您还未登录,请先登录。
登录