海外數(shù)據(jù)中心節(jié)點(diǎn)
穩(wěn)定云服務(wù)平臺(tái),輕松獲取本地化資源
根據(jù)越南18年6月通過(guò)的網(wǎng)絡(luò)安全法,規(guī)定在越南境內(nèi)提供的互聯(lián)網(wǎng)相關(guān)服務(wù)的國(guó)內(nèi)外企業(yè),需將用戶信息數(shù)據(jù)存儲(chǔ)設(shè)置越南境內(nèi)。法規(guī)將在2019年1月1日開(kāi)始實(shí)行。采用本地服務(wù)部署后,相對(duì)遠(yuǎn)程覆蓋,本地網(wǎng)絡(luò)延遲更低、穩(wěn)定性更佳,APP手機(jī)應(yīng)用或PC端服務(wù)將更快速流暢。
調(diào)研了解,目前越南共有10個(gè)數(shù)據(jù)中心,2個(gè)海底光纜登陸點(diǎn)和6條海底電纜。UCloud胡志明節(jié)點(diǎn)選擇和當(dāng)?shù)匚ㄒ灰患彝ㄟ^(guò)Uptime認(rèn)證的Tier3級(jí)機(jī)房FPT合作。機(jī)房可用性承諾99.982%,網(wǎng)絡(luò)運(yùn)營(yíng)商接入VNPT、FPT,距離胡志明新山機(jī)場(chǎng)40分鐘車程,距市中心25分鐘車程。UCloud用戶可以通過(guò)控制臺(tái)服務(wù)(Console)輕松獲取當(dāng)?shù)貎?yōu)質(zhì)的IDC和網(wǎng)絡(luò)資源。
截止目前,UCloud已經(jīng)在尼日利亞、巴西、印度、泰國(guó)、印尼、中國(guó)臺(tái)灣、俄羅斯等多個(gè)本地化地域成功落地。通過(guò)UCloud服務(wù)平臺(tái)實(shí)現(xiàn)海外業(yè)務(wù)部署,可以規(guī)避因數(shù)據(jù)中心選擇帶來(lái)的潛在業(yè)務(wù)風(fēng)險(xiǎn)。另外,我們提供的云主機(jī)彈性擴(kuò)容、高可用數(shù)據(jù)庫(kù)、高性能SSD 云盤存儲(chǔ)、分布式消息系統(tǒng)等產(chǎn)品,助力用戶快速完成部署、業(yè)務(wù)容災(zāi)、數(shù)據(jù)分析等需求場(chǎng)景。
數(shù)據(jù)中心外景
全球Anycast分布式安全清洗服務(wù)
高強(qiáng)度DDoS攻擊一直是數(shù)據(jù)中心外網(wǎng)網(wǎng)絡(luò)面對(duì)的最大挑戰(zhàn),能否有效防護(hù)高流量攻擊,直接影響用戶業(yè)務(wù)可用性和穩(wěn)定性。DDoS攻擊來(lái)自全球范圍,伴隨UCloud海外云服務(wù)平臺(tái)不斷深入本地化覆蓋,從全球范圍規(guī)劃、抵抗高強(qiáng)度流量攻擊成為UCloud協(xié)助出海企業(yè)拓展業(yè)務(wù)愈加清晰的能力集成。
在追求用戶最佳防護(hù)體驗(yàn)的目標(biāo)下,安全團(tuán)隊(duì)以強(qiáng)化自主研發(fā)的本地清洗服務(wù)為重心。不斷打磨本地清洗防護(hù)策略后,順勢(shì)升級(jí)為Anycast分布式清洗方案。通過(guò)Anycast公網(wǎng)路由就近選路原則,實(shí)現(xiàn)攻擊流量的就近分流、清洗,以此抵抗100G以上的高強(qiáng)度流量攻擊 。
全球Anycast分布式清洗,生效前后示意
強(qiáng)化本地清洗防護(hù)能力
攻擊發(fā)起的時(shí)間、地點(diǎn)、規(guī)模有極大的不確定性,會(huì)非常迅速、直接影響到網(wǎng)絡(luò)穩(wěn)定。而數(shù)據(jù)中心能夠快速檢測(cè)、自動(dòng)化完成惡意流量的清洗對(duì)保障用戶業(yè)務(wù)可用性至關(guān)重要。與其被動(dòng)“等待“攻擊,UCloud網(wǎng)絡(luò)安全工程師采取主動(dòng)從海外、國(guó)內(nèi)等不同地方模擬DDoS攻擊流量的方式,周期性壓測(cè)機(jī)房的安全服務(wù)可靠性,及時(shí)檢查、發(fā)現(xiàn)本地服務(wù)可能存在的漏洞,跟進(jìn)迭代檢測(cè)、清洗等安全防護(hù)環(huán)節(jié),以此強(qiáng)化機(jī)房的防護(hù)能力。
本地安全清洗防護(hù)
同時(shí),實(shí)戰(zhàn)演練的方式可以加深與關(guān)聯(lián)服務(wù)或部門的聯(lián)動(dòng)配合,如物理網(wǎng)絡(luò)、虛擬網(wǎng)絡(luò)、技術(shù)支持等,提高安全事件處理效率。截止目前,本地安全清洗支持的如下類型的防護(hù):
- 安全清洗防護(hù)策略
- 協(xié)議分層
- 清洗內(nèi)容
- 不合法報(bào)文清洗
- 連接耗盡
- 分片攻擊
- 異常標(biāo)志位
- 分片攻擊
- 重復(fù)負(fù)載清洗
- 采用WAF進(jìn)行專業(yè)防護(hù)
- 分布式擴(kuò)展安全清洗防護(hù)
多節(jié)點(diǎn)路由就近選路情形下,以臺(tái)北某一款游戲項(xiàng)目為例。當(dāng)來(lái)自不同城市的用戶訪問(wèn)該款游戲時(shí),路由選路自動(dòng)選擇合適的UCloud就近機(jī)房,入口流量到相應(yīng)可用區(qū),最后通過(guò)專線或公網(wǎng)隧道訪問(wèn)臺(tái)北業(yè)務(wù)。
公網(wǎng)就近選路訪問(wèn)臺(tái)北可用區(qū)
以上跨地域訪問(wèn)場(chǎng)景同樣符合北美、南美或歐洲發(fā)起對(duì)臺(tái)北可用區(qū)的高強(qiáng)度DDoS攻擊場(chǎng)景特征;谠撛,當(dāng)用戶流量到達(dá)就近機(jī)房的WBR網(wǎng)絡(luò)服務(wù)層, 安全策略要求同時(shí)鏡像一份流量到安全檢測(cè)系統(tǒng)。根據(jù)預(yù)設(shè)的防護(hù)機(jī)制觸發(fā)安全策略,對(duì)異常流量引流封堵、清洗,最后將正常流量回注到WER服務(wù),通過(guò)專線或公網(wǎng)隧道送至目標(biāo)機(jī)房。
物理網(wǎng)絡(luò)實(shí)現(xiàn)方案動(dòng)態(tài)展示
因此,當(dāng)發(fā)生高流量DDOS攻擊時(shí),攻擊源就近引流至多個(gè)機(jī)房的DDOS防護(hù)集群,進(jìn)行分布式清洗,保障目標(biāo)攻擊機(jī)房的業(yè)務(wù)穩(wěn)定性。安全防護(hù)過(guò)程中,用戶無(wú)需切換業(yè)務(wù)外網(wǎng)IP。相應(yīng)地,本地清洗能力越強(qiáng)壯、全球防護(hù)集群節(jié)點(diǎn)越多,全球Anycast防護(hù)能力也越強(qiáng)。
多集群分流清洗,臺(tái)北為例
用戶接入Anycast分布式清洗
目前,Anycast網(wǎng)絡(luò)方案已經(jīng)完成全球節(jié)點(diǎn)路由宣告,防護(hù)覆蓋歐洲、美洲、東南亞等。UCloud海外云平臺(tái)用戶綁定Anycast EIP即可接入分布式清洗防護(hù)服務(wù),提供最高100G 清洗能力試用。
接入Anycast EIP后,用戶可以根據(jù)業(yè)務(wù)覆蓋區(qū)域以及歷史攻擊來(lái)源,調(diào)整各個(gè)分布防護(hù)節(jié)點(diǎn)的封堵、清洗策略。在默認(rèn)清洗策略的基礎(chǔ)上,重新整合、匯聚提升目標(biāo)節(jié)點(diǎn)的安全防護(hù)能力。同時(shí),實(shí)現(xiàn)靈活地控制來(lái)自不同地域的流量訪問(wèn) 。獨(dú)享整段Anycast EIP用戶,我們提供客戶定義的路由宣告場(chǎng)景,不僅支持安全清洗防護(hù),同時(shí)利用UCloud骨干網(wǎng)絡(luò)規(guī)避公網(wǎng)路由繞行,延遲過(guò)高的問(wèn)題。
控制臺(tái)態(tài)勢(shì)感知服務(wù)顯示攻擊源及其類型
云服務(wù)平臺(tái)近期更新產(chǎn)品
以用戶需求、提供產(chǎn)品價(jià)值為出發(fā)點(diǎn),UCloud平臺(tái)除了安全DDoS防護(hù)、SSD云盤產(chǎn)品的架構(gòu)升級(jí),在計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)、數(shù)據(jù)分析等產(chǎn)品功能也有不斷拓展延伸、迭代更新,詳情參考下表:
