双11实战 | 高并发场景下的流量安全

2021天猫双11是首个100%的云上双11

整体计算成本三年下降30%。

在高并发极限场景考验下，

WAF产品性能相较去年提升36%，

节约服务器资源20%

DDoS防护“千人千面”

......

每年双11护航都是一个典型的高并发场景下的流量安全问题。阿里云安全团队将护航双11的实战经验用到服务云上百万客户，同时又将服务云上百万客户得来的广阔视野反哺双11的安全护航，安全产品、专家经验、技术实力在实战中被不断的打磨和丰富，形成了阿里云安全每天抵御60亿次攻击的防御实力。

对于阿里云安全团队来说，高并发场景不只在双11期间才会遇到，在服务云上诸多客户形形色色业务的时候也会经常遇到，尤其是数字化越来越深入发展的现在，业务流量经常出现较大程度的波动。为了更好的服务客户，以及应对双11的极限场景，阿里云安全团队将这种高并发场景下的安全护航做到日常，以“四两拨千斤”之力应对云上高度复杂且经常翻新的安全风险。

双11护航

01

统一边界，安全策略自动全网覆盖

所有生产网流量必须经过一个统一的接入层，抗DDoS攻击、Web应用防护等安全能力统一部署在接入层，基于云上全局视野，安全策略及时动态调整，一旦变更，全网自动覆盖，安全产品自动联动响应。同时，统一接入层拥有专属硬件集群，可以弹性扩容，支撑业务动态波动，安全防护无感丝滑。

这里的统一接入层有点类似于DMZ上云，云上DMZ更加适应大流量、高并发、强波动的业务特点，相较于传统DMZ区，云上安全不再“各自为战”，云盾平台统一安全管控，云端威胁情报动态感知，单点威胁全网阻断，自动化编排响应，安全事件处置效率提升百倍，数字化开放生态平台，无感应对复杂场景扩容。更多可以参考《上云之前靠体力，上云之后靠脑力》

绿色双十一

02

自动化的原生安全能力解“海量”之困

自动化发现公网IP，降低漏网之鱼

双十一期间业务激增，需要更多的云服务资源，会新增很多公网IP。

传统做法是人工将新增的公网IP一 一上报给安全团队，安全团队上线安全策略。

这种做法的弊端是人工上报很容易漏掉一些IP，漏掉的公网IP没有被安全策略覆盖，一旦被黑客发现，即使你拥有再厉害的安全产品也无济于事。彼时，安全人期待是，不要出现“漏网之鱼”。

而当业务上云后，基于原生的安全能力，系统可以自动去捞取随着业务扩容而新增的公网IP，尤其针对一些核心业务系统的IP可以重点探查，让漏网之鱼无网可漏。

自动发现误拦截

在高并发场景下进行Web防御时很容易出现误拦截的情况，阿里云安全基于全局视野，从IP类型、拦截频率、拦截数量等不同维度，通过近实时的计算，自动化的发现误拦截情况，排除一定不是误拦截的情况后再进行更进一步判断，将安全专家从海量告警中解放出来，留出更多精力专注在真正的风险研判和处置之上。

联动商业化产品，高等级安全防护自动切换

尤其是针对DDoS攻击，当攻击超过设定好的机房承受能力峰值时，系统会自动切换到阿里云具有更高防御能力的DDoS防护产品，防御能力瞬间提升20-50倍，抵御上T攻击，保障业务稳定平稳度过。

03

与业务场景深度结合，

防御策略也可以“千姿百态”

以往由于无法判断每个IP所代表的具体业务场景，只能对所有核心IP进行一致化的防护策略。业务上云后，基于云天然一体的原生优势，通过打通域名、网络资源管理、业务等不同系统，可以精准判断出单IP的多维度属性，进而判断每个IP背后所代表的业务敏感性与重要性。基于此可以实现：

Ÿ  

从针对群像IP到单IP的个性化防护策略

尤其是面对DDoS攻击，当某一IP达到清洗阈值时，系统会自动判断，采取不同的防御策略。

特殊业务场景定制化防护策略

对于一些特殊的业务场景，DDoS防护能与业务版块联动，根据每个业务的个性化需求采用不同的处置策略。

结合业务场景，提升检测准确率

对于一些比较关键的业务场景，单从流量本身进行分析很容易出现误伤，结合流量背后的业务场景综合分析，可大幅提升检测准确率。

回归客户价值，聚焦客户体验

04

打铁还需自身硬

提升产品底层性能，应对极限场景考验

双11期间业务范围增大，为了提升防御效果会上线更多且复杂的防御策略，如何用有限的资源去承载更多的安全防护业务，就需要有效降低每个策略所占用的CPU资源，因此安全产品底层性能也需要调优，以支撑已有以及新增的安全策略高效执行。

01 代码逻辑优化，性能提升20%

对于WAF安全引擎自身的性能，通过分析性能开销与热点，进行针对性内部代码逻辑优化，性能提升超过20%。

02 优化安全策略逻辑，性能提升16%

为每个安全策略进行详细性能优化，包括哪行策略存在性能热点，并给出专业的优化建议。梳理线上空跑策略，进行下线处理。通过优化安全策略的逻辑，性能提升超过16%。

03 精准定位原因，提升检测成功率

提升性能的最终目的是提升检测成功率。首先了解现有的检测成功率，针对网络抖动原因等因素进行定向分析，对症治疗，最终提升检测成功率。目前阿里云在web安全的检测成功率可达到99.999%。

实战经验沉淀进安全产品，为客户所用

阿里云将护航双11的实战经验沉淀成产品能力，服务云上广大客户。

“千人千面”的DDoS防护

在护航双11过程中，阿里云安全团队沉淀出了结合业务场景进行个性化防御的能力，并将这种能力沉淀进DDoS防护产品。

阿里云DDoS防御可以提供“千人千面”的防护能力，针对不同客户的业务流量与站点自身的容量构建基线模型，学习站点可承受的流量范围，同时辅助情报积累实现防御策略的个性化设置。

防误伤的机制，秒级调整处置策略

在“千人千面”的基础上，阿里云的DDoS防护内置了 “防误伤机制”。防误伤机制在客户业务流量发生突变时可以自动学习这种突变是由正常用户带来还是攻击者导致的，如果是正常用户因为促销等因素导致的频繁访问，进而造成业务流量异常，安全防御策略会自动回收，以保障业务稳定进行，防止误伤正常用户。

 
“大促模式”一键开启，无感防护

“大促模式”是双11护航的另一个经验沉淀，客户可以在DDoS防护产品中一键开启该模式，只需要设置大促的起止时间，相关的安全策略会自动生效，不需要安全人员做任何操作，即可保障大促期间不因安全策略导致业务误伤的情况，与防误伤机制相比，无论是客户还是最终用户，提供的都是无感防护。

双11已经走过十年之久，安全护航也经历了从最开始的手忙脚乱到现在的镇定自若。所谓实践出真知，安全实力只有在真正的攻防对抗下才能真正精进，也只有在这个过程中才能得以验证有效性。阿里云致力于将经过实践检验的安全产品、服务和方案提供给云上客户，为中国数字化转型的发展保驾护航。