双11实战 | 高并发场景下的流量安全

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全态势管理CSPM免费试用,1000次1年
简介: 2021天猫双11是首个100%的云上双11整体计算成本三年下降30%。在高并发极限场景考验下,WAF产品性能相较去年提升36%,节约服务器资源20%DDoS防护“千人千面”......

1.gif
2021天猫双11是首个100%的云上双11

整体计算成本三年下降30%

在高并发极限场景考验下,

WAF产品性能相较去年提升36%

节约服务器资源20%

DDoS防护“千人千面”

......


2.jpg


每年双11护航都是一个典型的高并发场景下的流量安全问题。阿里云安全团队将护航双11的实战经验用到服务云上百万客户,同时又将服务云上百万客户得来的广阔视野反哺双11的安全护航,安全产品、专家经验、技术实力在实战中被不断的打磨和丰富,形成了阿里云安全每天抵御60亿次攻击的防御实力。

对于阿里云安全团队来说,高并发场景不只在双11期间才会遇到,在服务云上诸多客户形形色色业务的时候也会经常遇到,尤其是数字化越来越深入发展的现在,业务流量经常出现较大程度的波动。为了更好的服务客户,以及应对双11的极限场景,阿里云安全团队将这种高并发场景下的安全护航做到日常,以“四两拨千斤”之力应对云上高度复杂且经常翻新的安全风险。


3.jpg

双11护航



01

统一边界,安全策略自动全网覆盖


所有生产网流量必须经过一个统一的接入层,抗DDoS攻击、Web应用防护等安全能力统一部署在接入层,基于云上全局视野,安全策略及时动态调整,一旦变更,全网自动覆盖,安全产品自动联动响应。同时,统一接入层拥有专属硬件集群,可以弹性扩容,支撑业务动态波动,安全防护无感丝滑。

这里的统一接入层有点类似于DMZ上云,云上DMZ更加适应大流量、高并发、强波动的业务特点,相较于传统DMZ区,云上安全不再“各自为战”,云盾平台统一安全管控,云端威胁情报动态感知,单点威胁全网阻断,自动化编排响应,安全事件处置效率提升百倍,数字化开放生态平台,无感应对复杂场景扩容。更多可以参考《上云之前靠体力,上云之后靠脑力》


4.jpg


5.jpg

绿色双十一



02

自动化的原生安全能力解“海量”之困


自动化发现公网IP,降低漏网之鱼


双十一期间业务激增,需要更多的云服务资源,会新增很多公网IP。

传统做法是人工将新增的公网IP一 一上报给安全团队,安全团队上线安全策略。

这种做法的弊端是人工上报很容易漏掉一些IP,漏掉的公网IP没有被安全策略覆盖,一旦被黑客发现,即使你拥有再厉害的安全产品也无济于事。彼时,安全人期待是,不要出现“漏网之鱼”。

而当业务上云后,基于原生的安全能力,系统可以自动去捞取随着业务扩容而新增的公网IP,尤其针对一些核心业务系统的IP可以重点探查,让漏网之鱼无网可漏。


自动发现误拦截


在高并发场景下进行Web防御时很容易出现误拦截的情况,阿里云安全基于全局视野,从IP类型、拦截频率、拦截数量等不同维度,通过近实时的计算,自动化的发现误拦截情况,排除一定不是误拦截的情况后再进行更进一步判断,将安全专家从海量告警中解放出来,留出更多精力专注在真正的风险研判和处置之上


联动商业化产品,高等级安全防护自动切换


尤其是针对DDoS攻击,当攻击超过设定好的机房承受能力峰值时,系统会自动切换到阿里云具有更高防御能力的DDoS防护产品,防御能力瞬间提升20-50倍,抵御上T攻击,保障业务稳定平稳度过。


6.jpg



03

与业务场景深度结合,

防御策略也可以“千姿百态”


以往由于无法判断每个IP所代表的具体业务场景,只能对所有核心IP进行一致化的防护策略。业务上云后,基于云天然一体的原生优势,通过打通域名、网络资源管理、业务等不同系统,可以精准判断出单IP的多维度属性,进而判断每个IP背后所代表的业务敏感性与重要性。基于此可以实现:

Ÿ  

从针对群像IP到单IP的个性化防护策略

尤其是面对DDoS攻击,当某一IP达到清洗阈值时,系统会自动判断,采取不同的防御策略。

特殊业务场景定制化防护策略

对于一些特殊的业务场景,DDoS防护能与业务版块联动,根据每个业务的个性化需求采用不同的处置策略。

结合业务场景,提升检测准确率

对于一些比较关键的业务场景,单从流量本身进行分析很容易出现误伤,结合流量背后的业务场景综合分析,可大幅提升检测准确率。


7.jpg

回归客户价值,聚焦客户体验



04

打铁还需自身硬

提升产品底层性能,应对极限场景考验


双11期间业务范围增大,为了提升防御效果会上线更多且复杂的防御策略,如何用有限的资源去承载更多的安全防护业务,就需要有效降低每个策略所占用的CPU资源,因此安全产品底层性能也需要调优,以支撑已有以及新增的安全策略高效执行。


01 代码逻辑优化,性能提升20%

对于WAF安全引擎自身的性能,通过分析性能开销与热点,进行针对性内部代码逻辑优化,性能提升超过20%。


02 优化安全策略逻辑,性能提升16%

为每个安全策略进行详细性能优化,包括哪行策略存在性能热点,并给出专业的优化建议。梳理线上空跑策略,进行下线处理。通过优化安全策略的逻辑,性能提升超过16%。


03 精准定位原因,提升检测成功率

提升性能的最终目的是提升检测成功率。首先了解现有的检测成功率,针对网络抖动原因等因素进行定向分析,对症治疗,最终提升检测成功率。目前阿里云在web安全的检测成功率可达到99.999%。


8.jpg


实战经验沉淀进安全产品,为客户所用

阿里云将护航双11的实战经验沉淀成产品能力,服务云上广大客户。


“千人千面”的DDoS防护

在护航双11过程中,阿里云安全团队沉淀出了结合业务场景进行个性化防御的能力,并将这种能力沉淀进DDoS防护产品。


阿里云DDoS防御可以提供“千人千面”的防护能力,针对不同客户的业务流量与站点自身的容量构建基线模型,学习站点可承受的流量范围,同时辅助情报积累实现防御策略的个性化设置。

防误伤的机制,秒级调整处置策略

在“千人千面”的基础上,阿里云的DDoS防护内置了 “防误伤机制”。防误伤机制在客户业务流量发生突变时可以自动学习这种突变是由正常用户带来还攻击者导致的,如果是正常用户因为促销等因素导致的频繁访问,进而造成业务流量异常,安全防御策略会自动回收,以保障业务稳定进行,防止误伤正常用户。

 
“大促模式”一键开启,无感防护

“大促模式”是双11护航的另一个经验沉淀,客户可以在DDoS防护产品中一键开启该模式,只需要设置大促的起止时间,相关的安全策略会自动生效,不需要安全人员做任何操作,即可保障大促期间不因安全策略导致业务误伤的情况,与防误伤机制相比,无论是客户还是最终用户,提供的都是无感防护。


9.jpg


双11已经走过十年之久,安全护航也经历了从最开始的手忙脚乱到现在的镇定自若。所谓实践出真知,安全实力只有在真正的攻防对抗下才能真正精进,也只有在这个过程中才能得以验证有效性。阿里云致力于将经过实践检验的安全产品、服务和方案提供给云上客户,为中国数字化转型的发展保驾护航。

相关文章
|
22天前
|
缓存 NoSQL Java
高并发场景秒杀抢购超卖Bug实战重现
在电商平台的秒杀活动中,高并发场景下的抢购超卖Bug是一个常见且棘手的问题。一旦处理不当,不仅会引发用户投诉,还会对商家的信誉和利益造成严重损害。本文将详细介绍秒杀抢购超卖Bug的背景历史、业务场景、底层原理以及Java代码实现,旨在帮助开发者更好地理解和解决这一问题。
54 12
|
2月前
|
缓存 监控 Java
Java 线程池在高并发场景下有哪些优势和潜在问题?
Java 线程池在高并发场景下有哪些优势和潜在问题?
|
3月前
|
NoSQL Java Redis
京东双十一高并发场景下的分布式锁性能优化
【10月更文挑战第20天】在电商领域,尤其是像京东双十一这样的大促活动,系统需要处理极高的并发请求。这些请求往往涉及库存的查询和更新,如果处理不当,很容易出现库存超卖、数据不一致等问题。
74 1
|
4月前
|
消息中间件 存储 负载均衡
高并发流量杀手锏:揭秘秒杀系统背后的削峰技术!
本文介绍了秒杀场景下的“削峰填谷”策略,通过消息队列缓冲用户请求,避免高并发对系统造成冲击。文中详细解释了消息队列的工作原理及如何通过预扣减库存和分布式锁确保数据一致性,同时还提出了合理的消息队列配置、高可用性及数据库负载均衡等最佳实践。通过这些技术手段,可有效提升系统的稳定性和用户体验。
176 8
高并发流量杀手锏:揭秘秒杀系统背后的削峰技术!
|
3月前
|
存储 缓存 NoSQL
大数据-38 Redis 高并发下的分布式缓存 Redis简介 缓存场景 读写模式 旁路模式 穿透模式 缓存模式 基本概念等
大数据-38 Redis 高并发下的分布式缓存 Redis简介 缓存场景 读写模式 旁路模式 穿透模式 缓存模式 基本概念等
81 4
|
3月前
|
Java Linux
【网络】高并发场景处理:线程池和IO多路复用
【网络】高并发场景处理:线程池和IO多路复用
71 2
|
4月前
|
缓存 分布式计算 Hadoop
HBase在高并发场景下的性能分析
HBase在高并发场景下的性能受到多方面因素的影响,包括数据模型设计、集群配置、读写策略及性能调优等。合理的设计和配置可以显著提高HBase在高并发环境下的性能。不过,需要注意的是,由于项目和业务需求的不同,性能优化并没有一劳永逸的解决方案,需要根据实际情况进行针对性的调整和优化。
136 8
|
3月前
|
Java Linux 应用服务中间件
【编程进阶知识】高并发场景下Bio与Nio的比较及原理示意图
本文介绍了在Linux系统上使用Tomcat部署Java应用程序时,BIO(阻塞I/O)和NIO(非阻塞I/O)在网络编程中的实现和性能差异。BIO采用传统的线程模型,每个连接请求都会创建一个新线程进行处理,导致在高并发场景下存在严重的性能瓶颈,如阻塞等待和线程创建开销大等问题。而NIO则通过事件驱动机制,利用事件注册、事件轮询器和事件通知,实现了更高效的连接管理和数据传输,避免了阻塞和多级数据复制,显著提升了系统的并发处理能力。
82 0
|
3月前
|
消息中间件 前端开发 Java
java高并发场景RabbitMQ的使用
java高并发场景RabbitMQ的使用
126 0
|
5月前
|
存储 缓存 监控
函数计算产品使用问题之调用sd生图时,怎么保证高并发场景正常运行
函数计算产品作为一种事件驱动的全托管计算服务,让用户能够专注于业务逻辑的编写,而无需关心底层服务器的管理与运维。你可以有效地利用函数计算产品来支撑各类应用场景,从简单的数据处理到复杂的业务逻辑,实现快速、高效、低成本的云上部署与运维。以下是一些关于使用函数计算产品的合集和要点,帮助你更好地理解和应用这一服务。