2年前,不少技術圈的朋友,讀過論壇裡的一篇解讀文章:DDoS,阿里為什麼要走自己的一條路,文章講述了阿里巴巴為什麼決定研發自己的DDoS清洗系統,阿里雲DDoS防護業務的誕生,以及阿里雲Anti-DDoS產品團隊在雲上DDoS檢測、防禦的一些思考。
2年後,Forrester發佈Now Tech: DDoS Mitigation Solutions, Q2 2018報告,阿里雲、A10 Networks、Akamai、Arbor和Radware進入“第一市場陣營” —— 誕生3年,年輕的我們與老牌DDoS服務提供商一起,共同接受全球市場的檢驗。這也意味著,全球大型企業開始認可雲上DDoS防護的綜合實力。
回望成長曆程,2年前那篇博文中有一句話讓人感觸頗深: “在長期跟DDoS對抗中,我們踩過無數的坑,走過無數彎路。但在這個過程中,也積累了更多的對抗經驗”。實戰,是所有安全產品最重要的成長之道。
如今,Anti-DDoS已是企業安全產品/服務中的“剛需”。就像Forrester在Now Tech報告中所說:數字化轉型中,企業對應用、雲、網絡寬帶依賴程度只會越來越高,DDoS防護越來越成為保持業務收入、連續性、企業體驗的基礎堡壘。
然而,許多企業對於DDoS服務選型仍處於“盲目期”。對此,Forrester建議企業去多看看服務提供商的規模、功能,從兩個維度,結合企業自身的體量、風險、預算來選。結合報告的內容,本文會對阿里雲DDoS 防護的技術亮點,和成長思考,做一一解讀。
注:Now Tech報告收集兩百多家CSO或CIO的真實需求,劃定主流廠商的名單和分類,最後從規模、功能、技術三個維度全面評估明星廠商。
從Now Tech報告出發。Forrester把全球主流DDoS服務商分為:CDN /DNS Providers,DDoS Pure Plays,Security Vendors和Service Providers(雲+運營商)這四種,並指出了各自的優劣對比。主要強調了DDoS緩解方案的四大所需能力(也是企業應該考慮的四大指標):
對業務的深度理解:互聯網中任何業務都存在被攻擊的風險,只有對業務的理解更深入才能針對不同業務提供更精細有效的防護方案,保障業務在DDoS防護的同時平穩無感知運行,真正達到防護的目的。
DDoS攻擊威脅檢測能力:從企業角度,DDoS攻擊是被動無預知地發生的,並且攻擊是突發的,所以,如何快速檢測攻擊並清洗攻擊流量是DDoS緩解方案的核心能力之一。
全球化部署:DDoS攻擊之所以稱之為‘分佈式’拒絕服務攻擊,正是因為DDoS攻擊是從互聯網中各個區域匯聚起來針對同一個受害目標,造成資源不對等堵塞業務入口或耗盡有限的計算資源。所以,更好的DDoS防護方案,也需要全球化部署來‘分佈式’地對抗各個區域產生的攻擊,為被保護的全球化業務提供最佳方案。
防護方案完整度:近些年來,雲化DDoS防護方案逐漸凸顯了其自身的優勢,於此同時,部署在企業機房出口的傳統DDoS防護方案,也是整體防護流程中能與雲端防護形成互補的重要組成部分。
在這四大能力的打磨上,阿里雲DDoS防護的技術、業務,走的是一條100%自研、自成長的道路。雖然對外商業化的時間是3年,但10多年對內保障的經歷,讓我們厚積薄發,藉助雲上優勢,做到業界領先。
一、從保護阿里到保護客戶:從業務實戰中來,再到業務實戰中去創新
阿里巴巴最早的DDoS防護系統是從電子商務淘系業務保障中發展而來的,隨後又相繼保障了像支付寶、優酷、新浪微博、陌陌、還有高德地圖等翹楚企業,業務遍及全行業。
經過多年實踐驗證和技術積累之後,孵化出了阿里雲DDoS高防產品,可輕鬆應對不同行業的各種複雜需求和場景。如今,我們在技術、業務和架構上,還不斷保持著“實戰、創新”的基因。從去年開始,我們正在發揮自身雲計算的優勢,針對政府、金融、遊戲、互聯網的多維需求,推出“一體化方案”。
例如遊戲行業,我們藉助阿里雲自研“彈性安全網絡”技術,推出了深入遊戲業務的解決方案‘遊戲盾’ —— 遊戲盾獨有的“分層而治”的思想,使用端上的秒級調度技術,讓黑客在龐大的遊戲盾安全大網中找不到攻擊的目標,不用儲備海量的帶寬,也可以讓業務的影響降低到很小的地步。
在架構上,基於阿里雲CDN平臺,結合 DDoS高防清洗資源,形成了一張分佈式的安全加速網絡,兼顧加速和大流量清洗防護需求。
二、清洗技術完全自主研發,根據業務需求快速更新迭代
基於自有技術,阿里雲DDoS防護在雲上構建了三大系統:檢測、清洗、調度。
DDoS攻擊檢測系統:
自主研發DPI集群流量檢測系統Beaver,提供DPI級別的秒級攻擊檢測能力,為攻擊發現和攻擊分析提供了最細粒度的數據基礎,強大的集群可針對T級流量達到秒級識別攻擊的能力,這也是阿里雲可以更快的清洗大流量攻擊的前提。
DDoS大流量清洗系統:
自主研發的T級清洗系統集群AliGuard,可以針對各種DDoS攻擊類型提供相對應的防護算法。Aliguard部署在阿里巴巴多個業務場景中,其中豐富的防護算法和運營系統,可以高效的處理海量攻擊,這套體系最為創新的地方在於其極高的效率,常見的流量型攻擊幾乎可以全自動做到100%的清洗。
智能調度系統:
實時流量檢測,業務監測,自主研發的智能調度系統,可以根據線路質量實時地自動調度流量到最優轉發線路,最快速度避免各級網絡擁塞或突發的鏈路抖動對企業業務的影響,並具備多地災備機房調度能力,實現機房級別的分鐘級切換。
三、戰略佈局全球,將雲的優勢發揮到極致
目前,阿里雲在全球18個地域建立了43個可用區,為全球數十億用戶提供可靠的計算支持,是亞洲規模最大的雲計算平臺 —— DDoS防護能力也成了全球企業的必備。目前,阿里雲DDoS防護網絡已經覆蓋了全球主要區域,共13個大流量清洗中心,總清洗能力大於10Tbps。
雲服務提供商中,在國內阿里雲首家提供BGP高防,實現對超大流量攻擊的防禦;在海外,阿里雲通過Anycast技術,整合分佈式清洗能力並提高了業務的可用性,為全球企業保駕護航。
除了全球部署以外,阿里雲的Anti-DDoS還有一大特點就是“默認防護”。也就是說,企業上雲之後,就具備基礎的“抗DDoS架構”,通過快速接入雲上DDoS防護產品,就能快速開啟能力,不用等,沒有天花板。
攻擊威脅情報也是基於雲的優勢實現的。阿里雲每天抵禦16億次攻擊,這些攻擊特徵背後的黑客情報,殭屍網絡信息,輸入到機器學習算法模型中,生成最新的攻擊特徵的分析,制定相應的防護策略。
四、廠商攜手構築生態鏈,實現雲上雲下結合
DDoS攻擊是資源與資源的對抗,更是人與人的對抗。當黑客手中掌握著全球的殭屍網絡資源,在對抗中往往需要聯合更多的廠商一起協同,這也是作為服務商的一份責任。
阿里雲非常重視全球合作伙伴的拓展,包括中國電信、中國聯通、香港電訊盈科(PCCW)、綠盟、安恆在內的運營商和服務商,均與阿里雲在Anti-DDoS領域達成緊密合作,一起為企業提供專業、一體化服務。
總結
目前,阿里雲DDoS防護產品平均每天抵禦 3000+起DDoS攻擊事件,2017年,成功抵禦的最大攻擊峰值為758.6Gbps。然而,數字對我們來說,只是昨天的一個腳印而已,真正需要我們關注的是未來的威脅,和如何解決它。
我們發現,近幾年來,隨著反射型DDoS攻擊的爆發,發起大流量DDoS攻擊的成本越來越低,攻擊也越來越大 —— 意味著攻防資源上的不平等情況將進一步被放大。
作為服務商,一方面,DDoS防護需要能調動全球資源,用分佈式的方法,處理分佈式的攻擊;另一方面,要深入到行業、業務本身,“低到泥土中去”,才能想出創新的辦法,提煉出有針對性的方案。最終,阿里雲的DDoS防護想帶來的改變是:撬動DDoS攻防的天平,讓企業用更小的成本,在更安全的互聯網中拓展業務。
閱讀更多 雲棲社區 的文章
