腾讯云黎文彦:CDN和安全如何结合?SCDN来了!

2018-04-12 22:05:55 来源: 众视媒体 热度:

2018年4月11-12日,2018亚太CDN峰会在北京隆重召开,大会由亚太CDN领袖论坛、电视云论坛、短视频论坛、视频云论坛、新技术论坛、运营商论坛、国际云论坛等7大部分组成。在视频云论坛上,腾讯云CDN技术专家团队负责人黎文彦作了题为《腾讯云SCDN:云计算时代的安全和CDN解决方案》的主题致辞。



图为:腾讯云CDN技术专家团队负责人黎文彦

一、腾讯CDN 3大优势解析

黎文彦首先介绍了一下腾讯云CDN的发展历程,2017年(腾讯云CDN元年,静态内容平台);2009年(第一个下载大客户腾讯游戏);2010年(流媒体平台搭载);2013年(腾讯云CDN对外服务);2014年(自建CDN带宽量突破20T);2016年(云CDN带宽年增长达到300%);2018年(储备带宽正式超过100T)。

据黎文彦介绍,腾讯CDN具有3大优势:

第一,腾讯自有业务形态丰富、完整,从国内甚至全球来看都是比较少见的,包括QQ、微信一些静态类下载、网站素材下载、大游戏包下载、腾讯视频点播/直播,还包括早期的电商和现在的金融业务,所有业务形态都包括在内。据统计,国内大概Top100视频客户80%已经加入到了腾讯云。

第二, 腾讯云一直强调稳定性和可用性。腾讯在稳定性和可用性上的思路是:1)部署隔离。例如下载类客户和点播/直播业务形态都是分开部署的,并且有些重要的客户完全物理上独立。2)腾讯有近20年的海量运营经验,使得在容灾切换上积累了非常丰富的经验。例如,网络的波动对CDN来说非常关键,腾讯所有业务一起联动,对全国网络或全球网络进行大数据分析,能够在第一时间内判断网络拥塞状况,做到秒级切换,用户无感知。3)安全防护。4)低水位,CDN负载较低。腾讯CDN始终维持在相对低的水位,所以任何一个突发状况都能从容应对。

第三,性能强,2018年2月份,Gartenr核心指标领先,如加速能力、流媒体支持能力、内容管理能力等核心指标领先于国内厂商。1)CDN架构,包括缓冲、负载均衡,所有CDN传统架构都是自主研发的。2)操作系统,腾讯Tlinux目前超过100万内核。3)协议栈优化是CDN一个关键武器,通过近几年TCP协议战,包括单边和双边优化,TCP协议栈优化效果在国内目前遥遥领先。4)对新的quic支持开始上线。5)TGP图片/超分辨率。6)
智享高清。

二、腾讯云在安全领域的布局

1、腾讯云WAF

在WAF方面,面对XSS跨站脚本/SQL注入/非法HTTP请求/webshell、开源漏洞/命令注入等等安全问题,传统的解决方案基本都是基于规则匹配、规则定期维护,不能保证误报率和漏报率。

腾讯在WAF应用安全里有怎样的积累呢?黎文彦表示,首先,腾讯自有业务19年来基本上每天攻击超过上千起,所有自有业务防护经验和数据沉淀在国内是非常庞大的库;其次,腾讯有七大安全实验室,始终专注安全技术研究和一些防护体系搭建,目前已经涵盖到互联网整个链条所有领域;再次,WAF基于机器学习一些语义理解新的WAF引擎目前全面上线。

2、CC/DDoS集中式的高防技术

从DDoS被攻击国家来看,中国已经成为重灾区,85%的攻击发生在中国,UDP flood/ACK flood占95%。目前超过100G以上的攻击愈发频繁,占到6%左右,200G以上攻击接近3%。云主机廉价易用,IoT逐渐成熟,这两个基础条件使得僵尸主机有越来越多的温床。

黎文彦介绍了腾讯云CC/DDoS集中式的高防技术。DDoS高防架构:外部流量进来以后有一个分光器,清洗中心和检测中心背后都是大数据分析能力,清洗完毕之后才导入到IaaS上来。目前腾讯在高防节点上全程有20个节点。腾讯正在雄安建设全新的防护中心,把大数据和AI等能力注入到安全中心来,目前已经建设成1T级别的BGP带宽,未来将持续扩大。

三、CDN和安全如何结合?

如何将CDN加速和安全防护结合起来呢?腾讯云推出了SCDN解决方案。SCDN到底要解决什么问题?第一,CDN单节点要具备最大的400G防护能力;第二,与高防T级节点联动的快速切换能力;第三,被DDoS攻击的域名识别能力。



图为:腾讯云SCDN整体架构

1)高性能CC防护技术

以往的做法,是在应用层,针对单个域名具体的url做统计。当超过某个提前设置好的阈值,就拒绝。这种模式下,单台设备能到10万QPS就很不错了。

但是在动辄百万千万的CC攻击面前,10万严重不够。具体到我们的做法是这样的:在Tlinux内核中,把判断过滤的逻辑,前置,并且重点优化了查找算法。并提供了黑、白名单两种模式。额外的,也支持HTTPs的解析。整个下来,单机的能力就有上百倍的提升。轻松达到硬件的极限。

   
 

2)高性能DDoS防护

数据区分配比较晚,对性能提升比较大,这是常规DDoS的防护办法,大概单机器能到100万包,实际上这种能力远远不够。腾讯云SCDN在协议栈前面做了前置判断,算法改进,对往返包做了非常大的优化。经过这些技术优化,极限是物理网卡。

3)与高防联动的调度

单节点防护能力如何提升?CC是非常正常的请求,如何防止这种请求,在应用层判断这个域名来的请求超过某个阈值时就拒绝。目前大部分市面上服务器在应用层做这个事情的话,10万QPS就到极限了。腾讯云SCDN在内核层来做,首先把CC的判断前置到最前面的节点;改进很多算法,有黑名单和白名单的过滤,现在也支持HTTPs的解析。这种方式相对应用层来说,至少是上百倍的性能提升,轻轻松松到达硬件的极限。

4)DDoS攻击域名识别

未来防止攻击,一个域名独享一个IP是可以的,但代价非常大。比如腾讯100万个域名,如果都要分配100个节点的话,就是100个IP地址,需要有1亿个地址,基本没有可行性。腾讯云SCDN的做法是首先尽量充分独立部署,当然复用肯定是有的,最关键的是基于大数据分析目前做到分钟级别快速识别,有了这些才为后续CDN上客户的分级、商业化作出最关键的一步。

责任编辑:方珍