极致安全守护大促!解密618京东云抗D攻防大练兵
1个月备战,1小时部署
安全目标提前制定,安全需求尽早收集,安全巡检杜绝遗漏,安全问题及时修复,尽量避免应急,这是每一个安全人员的目标,要做到真正的用户无感知,也需要所有工作人员具备强烈的责任心和安全意识。在京东平台所有业务部门和企业级客户为大促做扩容准备的同时,安全团队会协助各业务部门进行资产梳理和风险评估工作,提前1个月完成安全防护方案、应急预案、演练方案以及方案的评审工作。
与传统IT安全防护不同,云原生安全产品和服务无需在方案初识阶段投入大量资源和人力进行部署、测试。由于所有平台线上业务均有实际成本消耗,如提前进行部署,将额外带来巨大的成本增加,因此所有的云原生安全产品和服务均是根据业务按需配置和调用,而自动化、服务化、可弹性伸缩的属性,能够让安全产品在1小时内快速完成接入和使用。
超仿真攻防演练备战618
攻击演练是检验云原生安全产品防护能力和应急预案最有效的手段。大促活动准备期间,京东云安全团队协同网络部门、各业务部门进行了多轮针对性的攻击演练。由于模拟攻击是针对线上生产环境发起,防守方未被提前告知攻击时间和流量,并且线上业务也随时可能遭受来自互联网的真实攻击流量,无形中提升了攻击演练的复杂度。
京东云安全团队经历多次大促攻防演练的洗礼,在预案中充分考虑各方面安全风险,从容应对突发状况。在本次618备战抗DDoS攻防演练中,攻击方模拟发起攻击峰值超过上百Gbps,CC攻击峰值上万次每秒。防守方对海外安全加速产品、IP高防、NF1-TP防护产品和联动防护机制进行了验证,均符合预期,并且在事后的演练复盘中对部分可进行自动化处理的步骤进行了优化,进一步缩短了安全响应处置时间。
业务中断将对品牌形象、企业营收、用户体验等造成巨大影响。为保障消费者体验,维护商家利益,京东云利用云原生安全能力,结合京东平台各业务场景,为平台和用户打造了一个安全可信任的云环境。同时通过定期的攻防演练对安全产品的防护能力,防护机制,应急响应流程等进行检验,在攻击场景和攻击手段不断变化的当前,不断提升安全产品和安全人员的硬实力。
京东云安全产品与防护方案
京东云作为京东零售、物流等核心业务上云的技术底座,需适应京东平台多协议的业务场景和基于容器、虚机、物理服务器的混合基础架构,将云原生安全的智能调度,弹性伸缩特性和大促场景进行匹配,既要实现成本的精细化管控,又要在不影响用户体验的情况下实现高效的攻击防护。
面对大促业务流量压力和攻击风险,京东云通过海外安全加速产品,为全球用户提供一站式的加速与安全体验,国内平台业务集群通过机房级网络流量管控设备NF1-TP进行全流量实时攻击检测和防护,并按需联动云端IP高防进行T级攻击流量清洗。从海外到国内、从运营商网络到机房网络构建企业级云原生安全纵深防御体系。
根据历史数据统计,平台遭受DDoS攻击源超过90%来自海外,为保障海外用户良好的访问体验,京东云应用海外安全加速产品,通过分布全球的安全加速节点,为海外用户提供近缘加速并通过专线进行回源,保证极速的访问体验,同时拦截海外攻击流量,大幅降低进入国内运营商网络的DDoS攻击流量,为国内安全防护缓解压力。
国内机房全面部署京东云私有化抗D产品NF1-TP,旁路部署提供实时全流量安全检测,一旦发现攻击秒级进行流量牵引清洗。NF1-TP具有高性能网络负载能力,经历京东平台多次大促考验,同时具备云原生弹性可扩展属性,可根据机房带宽进行灵活扩容缩容,大幅降低部署和运维成本。另外NF1-TP也为京东云平台DNS集群提供千万级攻击请求处理能力,保障域名解析服务的稳定运行。
针对百G以上的大流量DDoS攻击,京东云IP高防产品提供T级DDoS攻击弹性防护能力,同时针对应用层DDoS攻击提供精细化的防护。另外,IP高防与NF1-TP进行联动,实现业务按需自动切换,保障业务在无攻击状态下的零延迟体验,也大幅降低了常态接入IP高防带来的业务带宽成本。
在辅助安全运营决策方面,京东云通过DDoS安全态势大屏,实时展示机房和业务安全状况,从攻击类型、攻击流量、攻击来源等不同维度展现攻击数据,实现安全数据可视化。
图/DDoS安全态势防护大屏
安全能力的建设没有捷径,京东云安全背靠京东集团整体技术体系,历经十八年京东618、11.11等大促磨练,积累了丰富的攻防技术能力和实战经验。基于自身对复杂业务场景网络安全需求的理解,由内向外服务了政企、金融、零售、泛互联网等行业客户,未来,京东云安全也将持续专注于安全防护,为客户提供更全面、精准、智能的网络安全服务。
End
|往期回顾|
京东科技打造“供应链+场景+技术”服务 护航数字人民币618消费体验