F5公司:"双十一"式的DDOS,你准备好了么?
不知不觉间,“双十一”购物节已经来到第六个年头。无论电商网站还是社交平台,我们都可以在最显著的位置看到各式“双十一”的折扣广告;同事、朋友们的交流也从日常的问候变为了促销信息的互通有无……然而,随着我国网络基础设施的不断改善、银行服务种类的增多以及智能设备普及的提升,日趋繁复的应用场景使得人们在享受在线购物便捷之余,对自身财务、信息的安全也变得更加关注。尤其在“双十一”这样巨量交易短时迸发的特殊事件中,网购服务链中的关键环节如何提升自己的安全性、保障最终用户在获得良好购物体验的同时、自身权益不受侵害,无疑成为了“双十一”工作的重中之重。如何在这个千亿元人民币的大狂欢下保证应用始终高效与安全,来自F5公司的亚太区安全架构师金飞先生从两个不同的角度进行了阐述。
应用定义的安全架构
金飞先生认为,在过往的“双十一”中,尤其是在交易最高发的前几个小时,用户往往会面临支付缓慢、无法支付或支付后显示交易失败等状况。究其原因则在于在极短时间内,用户通过各种客户段发起的交易请求超过了电商、或者银行处理能力,加之有不法分子在期间顺水摸鱼通过机器人进行抢拍、秒杀,或通过钓鱼、页面欺诈等盗取用户信息,导致整个服务环节缓慢且充满风险。事实上,这样超高频的应用需求,刚好符合DDOS攻击的所有特征,换句话说,“双十一”这样的事件,相当于一次对电商、银行等企业数据中心的DDOS攻击。不同于曾经“肉鸡”发送的握手请求,随着使用形态的变化,现在的DDOS攻击更多来自于应用层。所以,传统的防火墙方式对流量进行粗放式的清洗或拒绝很有可能会把正常需求拒之门外,从而使最终用户得不到良好的使用体验。金飞先生表示,在F5看来,现在的网络安全应该更加重视来自应用端的威胁,并且需要真正从应用的层面定义一个企业的安全架构。举例来讲,在“双十一”中,银行或电商需要对应用请求进行更加智能的判断与厘清,提前识别有效请求,甚至在必要的时候将一部分可疑请求“隔离”或迁移到云端,以更大的运算能力处理这些需求,从而保证应用全局的安全、快速、高可用。甚至,通过F5的应用安全解决方案,电商甚至可以判断应用请求是来自真正的用户还是“秒杀”机器人,从而从根源上确保电商与用户的双方利益。金飞强调,不同于传统网络安全,这些基于应用行为判定的安全策略,正是F5这样一直与应用“亲密接触”的ADN企业的强势所在。这也正是在“双十一”中,有很多F5工程师都会在银行、电商等用户的机房进行值守。
端到端防护保障信息安全
金飞先生认为,现在的线上购物环节较之五年前复杂了许多,而环节越多也就意味着潜在风险越大。简单来讲,从第三方下载的APP、到安全性不高的wifi、再到现在主流的注入病毒、页面欺诈与钓鱼网站,用户信息与财务在各个环节都有被不法分子获取的可能。因此,F5一直倡导在充分了解应用行为的基础上,执行端到端的安全策略,从而保障应用的安全与高可用。在这种端到端的应用链中,F5的端到端安全解决方案可以从用户端的app就开始进行安全防护:通过F5 Websafe在用户端保护敏感信息不被窃取,在传输时通过SSL加密保证信息的安全,直到银行端服务器通过F5 ASM进行进一步认证才可以对用户的资金进行授权交易。而这一系列加密策略的主动权,则完全掌握在用户自己的手中。此外,F5还提供了专门针对移动设备的应用安全解决方案,通过F5 MobileSafe,金融客户能过获得防钓鱼、恶意软件嗅探、防止自动交易以及客户敏感信息保护等多角度防卫机制,并可以主动智能的解除在用户移动设备上发现的本地威胁,同时不会以任何方式改变用户体验。金飞先生强调,F5不希望为用户提供“黑箱”式的安全解决方案,只有充分考虑用户的商业模式,从应用的角度规划、订制安全解决方案,才是应对“双十一”这类事件的最好方法。
最后,金飞先生风趣的建议,“理性消费、拒绝冲动“才是“剁手党“们避免信息与财务损失的非常好的方式;尽看折扣就盲目出手,往往更会得不偿失。