海外數據中心節點(diǎn)
穩定云服務(wù)平臺,輕松獲取本地化資源
根據越南18年6月通過(guò)的網(wǎng)絡(luò )安全法,規定在越南境內提供的互聯(lián)網(wǎng)相關(guān)服務(wù)的國內外企業(yè),需將用戶(hù)信息數據存儲設置越南境內。法規將在2019年1月1日開(kāi)始實(shí)行。采用本地服務(wù)部署后,相對遠程覆蓋,本地網(wǎng)絡(luò )延遲更低、穩定性更佳,APP手機應用或PC端服務(wù)將更快速流暢。
調研了解,目前越南共有10個(gè)數據中心,2個(gè)海底光纜登陸點(diǎn)和6條海底電纜。UCloud胡志明節點(diǎn)選擇和當地唯一一家通過(guò)Uptime認證的Tier3級機房FPT合作。機房可用性承諾99.982%,網(wǎng)絡(luò )運營(yíng)商接入VNPT、FPT,距離胡志明新山機場(chǎng)40分鐘車(chē)程,距市中心25分鐘車(chē)程。UCloud用戶(hù)可以通過(guò)控制臺服務(wù)(Console)輕松獲取當地優(yōu)質(zhì)的IDC和網(wǎng)絡(luò )資源。
截止目前,UCloud已經(jīng)在尼日利亞、巴西、印度、泰國、印尼、中國臺灣、俄羅斯等多個(gè)本地化地域成功落地。通過(guò)UCloud服務(wù)平臺實(shí)現海外業(yè)務(wù)部署,可以規避因數據中心選擇帶來(lái)的潛在業(yè)務(wù)風(fēng)險。另外,我們提供的云主機彈性擴容、高可用數據庫、高性能SSD 云盤(pán)存儲、分布式消息系統等產(chǎn)品,助力用戶(hù)快速完成部署、業(yè)務(wù)容災、數據分析等需求場(chǎng)景。
數據中心外景
全球Anycast分布式安全清洗服務(wù)
高強度DDoS攻擊一直是數據中心外網(wǎng)網(wǎng)絡(luò )面對的最大挑戰,能否有效防護高流量攻擊,直接影響用戶(hù)業(yè)務(wù)可用性和穩定性。DDoS攻擊來(lái)自全球范圍,伴隨UCloud海外云服務(wù)平臺不斷深入本地化覆蓋,從全球范圍規劃、抵抗高強度流量攻擊成為UCloud協(xié)助出海企業(yè)拓展業(yè)務(wù)愈加清晰的能力集成。
在追求用戶(hù)最佳防護體驗的目標下,安全團隊以強化自主研發(fā)的本地清洗服務(wù)為重心。不斷打磨本地清洗防護策略后,順勢升級為Anycast分布式清洗方案。通過(guò)Anycast公網(wǎng)路由就近選路原則,實(shí)現攻擊流量的就近分流、清洗,以此抵抗100G以上的高強度流量攻擊 。
全球Anycast分布式清洗,生效前后示意
強化本地清洗防護能力
攻擊發(fā)起的時(shí)間、地點(diǎn)、規模有極大的不確定性,會(huì )非常迅速、直接影響到網(wǎng)絡(luò )穩定。而數據中心能夠快速檢測、自動(dòng)化完成惡意流量的清洗對保障用戶(hù)業(yè)務(wù)可用性至關(guān)重要。與其被動(dòng)“等待“攻擊,UCloud網(wǎng)絡(luò )安全工程師采取主動(dòng)從海外、國內等不同地方模擬DDoS攻擊流量的方式,周期性壓測機房的安全服務(wù)可靠性,及時(shí)檢查、發(fā)現本地服務(wù)可能存在的漏洞,跟進(jìn)迭代檢測、清洗等安全防護環(huán)節,以此強化機房的防護能力。
本地安全清洗防護
同時(shí),實(shí)戰演練的方式可以加深與關(guān)聯(lián)服務(wù)或部門(mén)的聯(lián)動(dòng)配合,如物理網(wǎng)絡(luò )、虛擬網(wǎng)絡(luò )、技術(shù)支持等,提高安全事件處理效率。截止目前,本地安全清洗支持的如下類(lèi)型的防護:
- 安全清洗防護策略
- 協(xié)議分層
- 清洗內容
- 不合法報文清洗
- 連接耗盡
- 分片攻擊
- 異常標志位
- 分片攻擊
- 重復負載清洗
- 采用WAF進(jìn)行專(zhuān)業(yè)防護
- 分布式擴展安全清洗防護
多節點(diǎn)路由就近選路情形下,以臺北某一款游戲項目為例。當來(lái)自不同城市的用戶(hù)訪(fǎng)問(wèn)該款游戲時(shí),路由選路自動(dòng)選擇合適的UCloud就近機房,入口流量到相應可用區,最后通過(guò)專(zhuān)線(xiàn)或公網(wǎng)隧道訪(fǎng)問(wèn)臺北業(yè)務(wù)。
公網(wǎng)就近選路訪(fǎng)問(wèn)臺北可用區
以上跨地域訪(fǎng)問(wèn)場(chǎng)景同樣符合北美、南美或歐洲發(fā)起對臺北可用區的高強度DDoS攻擊場(chǎng)景特征。基于該原理,當用戶(hù)流量到達就近機房的WBR網(wǎng)絡(luò )服務(wù)層, 安全策略要求同時(shí)鏡像一份流量到安全檢測系統。根據預設的防護機制觸發(fā)安全策略,對異常流量引流封堵、清洗,最后將正常流量回注到WER服務(wù),通過(guò)專(zhuān)線(xiàn)或公網(wǎng)隧道送至目標機房。
物理網(wǎng)絡(luò )實(shí)現方案動(dòng)態(tài)展示
因此,當發(fā)生高流量DDOS攻擊時(shí),攻擊源就近引流至多個(gè)機房的DDOS防護集群,進(jìn)行分布式清洗,保障目標攻擊機房的業(yè)務(wù)穩定性。安全防護過(guò)程中,用戶(hù)無(wú)需切換業(yè)務(wù)外網(wǎng)IP。相應地,本地清洗能力越強壯、全球防護集群節點(diǎn)越多,全球Anycast防護能力也越強。
多集群分流清洗,臺北為例
用戶(hù)接入Anycast分布式清洗
目前,Anycast網(wǎng)絡(luò )方案已經(jīng)完成全球節點(diǎn)路由宣告,防護覆蓋歐洲、美洲、東南亞等。UCloud海外云平臺用戶(hù)綁定Anycast EIP即可接入分布式清洗防護服務(wù),提供最高100G 清洗能力試用。
接入Anycast EIP后,用戶(hù)可以根據業(yè)務(wù)覆蓋區域以及歷史攻擊來(lái)源,調整各個(gè)分布防護節點(diǎn)的封堵、清洗策略。在默認清洗策略的基礎上,重新整合、匯聚提升目標節點(diǎn)的安全防護能力。同時(shí),實(shí)現靈活地控制來(lái)自不同地域的流量訪(fǎng)問(wèn) 。獨享整段Anycast EIP用戶(hù),我們提供客戶(hù)定義的路由宣告場(chǎng)景,不僅支持安全清洗防護,同時(shí)利用UCloud骨干網(wǎng)絡(luò )規避公網(wǎng)路由繞行,延遲過(guò)高的問(wèn)題。
控制臺態(tài)勢感知服務(wù)顯示攻擊源及其類(lèi)型
云服務(wù)平臺近期更新產(chǎn)品
以用戶(hù)需求、提供產(chǎn)品價(jià)值為出發(fā)點(diǎn),UCloud平臺除了安全DDoS防護、SSD云盤(pán)產(chǎn)品的架構升級,在計算、網(wǎng)絡(luò )、存儲、數據分析等產(chǎn)品功能也有不斷拓展延伸、迭代更新,詳情參考下表:
