当前位置:黑鲸出海 > 热点资讯 > 干货分享 >  满满干货|Cloudflare助力在线业务提高安全性、性能和可靠性的5种方法

满满干货|Cloudflare助力在线业务提高安全性、性能和可靠性的5种方法

发表时间:2021-06-24  来源:Cloudflare  作者:Cloudflare  浏览:次  
互联网瞬息万变,现代企业的性质也随之改变。伴随数字化转型,企业面临着新的挑战和增长机会—从预测客户的数字化需求并加以满足,到建立强大的防线来抵御基于 Web 的攻击、克服延迟问题、防止网站中断,并维持网络连接和性能。

互联网瞬息万变,现代企业的性质也随之改变。伴随数字化转型,企业面临着新的挑战和增长机会—从预测客户的数字化需求并加以满足,到建立强大的防线来抵御基于 Web 的攻击、克服延迟问题、防止网站中断,并维持网络连接和性能。

在优化在线客户体验时,企业需采取一种可将强大的站点安全性、性能和可靠性集于一体的策略。尽管该策略涉及许多组成部分,但此处的五个关键因素可以帮助企业满足客户需求并提供安全无缝的用户体验。


利用 DNS 和 DNSSEC 支持来最大化可用性和正常运行时间

DNS(域名系统)通常被称为“互联网电话簿”,它将域名转换为数字 IP 地址,并使浏览器能够加载互联网资源。由于 DNS 旨在接受为其分配的任何地址,因此选择正确的DNS 安全策略至关重要。如果缺乏正确的 DNS 安全策略,企业将面临多种风险,包括 DNS 劫持、中间人攻击、敏感用户信息暴露和丢失、网络钓鱼以及其他主要威胁。随着 DNS 攻击变得越来越普遍,企业开始意识到缺乏有韧性的 DNS 会在其整体安全策略中造成薄弱环节。

公司可以采用多种方法来部署韧性 DNS 策略。他们可以使用托管 DNS 提供商来托管所有 DNS 记录,在全球多个节点提供查询解析,并提供集成的 DNSSEC 支持。通过向现有的 DNS 记录添加加密签名,DNSSEC 为域名系统增加了一层安全保护。公司还可以通过部署多 DNS 策略来建立额外的冗余—即使主 DNS 出现故障,辅助 DNS 仍可以使应用程序保持在线状态。希望维护自有 DNS 基础设施的大型企业可以将 DNS 防火墙与辅助 DNS 结合使用。此设置为本地 DNS 基础设施增加一层安全性,并有助于确保总体 DNS 冗余。

客户成功案例

一家加密货币公司提供一种开源的客户端工具来与区块链进行交互,由于一次复杂的 DNS 攻击将所有查询重新路由到了假冒网站,该公司需要提高其 DNS 安全性。黑客设法让其中一台权威服务器相信,对公司网站的所有查询都应定向到一个新的目的地。假冒网站看上去与公司的网站一模一样,但是利用欺骗手段将用户的私钥转移给了黑客,使攻击者获得大量的加密货币。

像互联网上的许多网站一样,他们成为攻击目标的原因在于互联网核心基础设施中的一个重大漏洞,并因此失去了客户的信任。为了确保这种情况不再发生,他们采用了 Cloudflare DNS。迁移到 Cloudflare 是实施 DNSSEC 的最直接方法,因为他们能够从统一、易用的仪表板中配置和管理协议—不仅提高了安全环境的韧性,还确保了依赖他们来保护其加密资产的客户享受到更安全、更高效的用户体验。

通过最不拥塞的路线 路由流量来加速内容交付

如今,大多数 Web 流量都通过 Content Delivery Network (CDN) 传送,包括来自 Amazon 和 Facebook 等主要网站的流量。CDN 是一组地理位置分散的服务器,可帮助将互联网内容快速交付给遍布全球的用户,还可以降低带宽成本。

通过分布全球多个位置的服务器,CDN 能够在更接近网站访问者的位置分发内容,从而减少任何固有的网络延迟并缩短页面加载时间。CDN 还通过其网络中的缓存传输静态资产,从而减少了对托管 Web 服务器的请求数量,并降低了带宽和托管成本。

客户成功案例

这是世界最大按需送餐服务公司曾经面临的一个困扰。该公司的合作伙伴遍布美国数千个城市,而且门到门服务依赖于其在线平台和智能手机应用程序,故始终提供快速、可靠的用户体验对其至关重要。这不仅有助于为不断增长的用户群提供支持,而且还加强了与当地餐馆和商人的合作关系。

最初,该公司面临一些性能方面的挑战。他们缺乏具有韧性的 CDN 以及图像大小调整解决方案,后者是提供流畅用户体验的关键。访问该站点的客户需要浏览不同食物选项的高分辨率照片,并且随着公司的发展,向用户展示的菜单项目数量也会随之增加。由于需要通过其平台提供大量高质量的图像,因此找到一种解决方案以优化图像交付并减少延迟非常重要,尤其是因为以前的图像大小调整解决方案每月要花费数千美元。

Cloudflare 通过 Cloudflare 内容交付网络 (CDN) 帮助送 餐服务提供商提升其用户体验。在拥有超过 2500 万互联网资产的全球网络支持下,Cloudflare CND 可在尽可能靠近最终用户的位置缓存静态内容,并与 Argo Smart Routing 协同工作,通过最快路径智能路由内容请求。并且,借助 Cloudflare Image Resizing (图像大小调整 解决方案),该公司可缓存图像并减少延迟,使其 CPU 利用率降低了 20%。

通过全局负载均衡流量来最大程度地降低站点中断的风险 


最大化服务器资源和效率可能是一种微妙的平衡行为。
服务器过载或与最终用户在地理位置上相距太远,可能会对业务产生不利影响,因为延迟增加和服务器故障会导致收入损失、客户信任度下降和品牌退化。

基于云的负载平衡器可在多个服务器之间分配请求,以处理流量高峰。负载平衡决策发生在靠近用户的网络边缘,因此企业可以缩短响应时间并有效优化其基础设施, 同时最大程度地降低服务器故障的风险。即使单个服务器发生故障,负载平衡器也可以在其余服务器之间重定向和重新分配流量,从而确保客户永远不会遇到明显的延迟或发生站点中断。利用负载平衡器,企业还可以主动运行状况检查,从而找出性能不佳的服务器并在实际发生故障之前采取预防措施。

客户成功案例

一家总部位于加拿大的大型电子商务平台(在全球 175 个国家/地区运营)需要一个集成的性能和安全解决方案,于是他们开始寻找一个能够确保方案易于实施并有助于降低基础设施成本的提供商。依赖其平台的企业超过 100 万家,该公司要求迁移到 Cloudflare 的过程无缝平滑,以免任何一家的业务遭到中断。通过将每个站点都放置在 Cloudflare 的全球网络上,这家电子商务公司为客户提供了更快的体验,进而推动整个平台销售的增长。

这些性能效益的一个核心部分在于 Cloudflare 负载平衡,使该公司能够利用动态转向,换句话说,为特定用户将流量定向到最快的源服务器池,从而减少延迟并进一步加速流量。现在,该公司可以精确控制其流量在源服务器之间的分布,并获得在网络边缘进行这些决策的额外性能和准确性效益。

保护应用程序免受恶意攻击


在互联网上,基于 Web 的企业可能受到来自不同位置、具有不同复杂程度的广泛攻击。在保护 Web 应用程序和其他业务关键型资产的安全时,分层安全策略可以帮助防御多种威胁。

A. Web 应用程序防火墙保护

Web 应用程序防火墙简称 WAF,通过过滤和监控 HTTP 流量来保护 Web 应用程序。有了 WAF,企业可以防御零日攻击,并使应用程序免受常见威胁的侵害,例如跨站点请求伪造 (CSRF)、跨站点脚本 (XSS) 和 SQL 注入攻击 ——这些攻击可能会使服务器受损并导致数据遭到盗窃或篡改。 

通过 WAF ,企业还可以设置规则保护其应用程序中的漏洞并防御新出现的威胁,对企业的安全策略保持精细控制。基于云的 WAF 通常是最灵活、最具成本效益的解决方案,因为它们可以持续更新以防御新的威胁,而无需在用户端增加大量工作或成本。

B. DDoS 攻击防护

对于大多数网站而言,网络流量高可能是一件好事,因为这可以带来更多的转化、客户和销售。但是,Web 流量激增也可能源于旨在破坏网络连接、让服务器无法应付并阻止合法用户访问站点的网络攻击。

DDoS 攻击是一种用大量非法互联网流量使服务器,设备、网络或周围基础设施不堪重负的恶意尝试。通过消耗目标设备和互联网之间的所有可用带宽,这些攻击不仅会造成严重的服务中断,而且还会导致客户无法访问企业的资源、从而给企业带来明显的负面影响。

C.恶意机器人防护

除了其他常见的网络安全威胁外,恶意机器人活动的攻击也会导致网站受损——恶意机器人可能使 Web 服务器不堪重负,扭曲分析、阻止用户访问网页、窃取用户数据并危及业务关键型功能。

善意机器人是指经过编程可执行有用任务的软件应用程序,例如扫描网页上的内容和响应网站上的客户查询。但是,机器人也可能会受到黑客的利用,被用于执行恶意活动,包括凭据填充和破坏敏感数据,以及窃取 SEO 内容和破坏业务运营。通过实施机器人管理解决方案,企业可以区分有用和有害的机器人活动,并防止恶意行为影响用户体验。

保持网络正常运行


A.保护网络基础设施

仅仅保护 Web 服务器并不足够。企业通常在公共或私有数据中心中托管本地网络基础设施,这些基础设施也需要防御 DDoS 攻击。许多 DDoS 缓解提供商依靠两种方法来阻止攻击:清洗中心,或通过硬件盒进行本地扫描和过滤。两种方法都会带来可能对业务造成不利影响的延迟。清洗要求将网络流量重新路由到指定地理位置的集中式清洗服务器,以尝试从非恶意流量中过滤或“清除”恶意流量。将所有流量重新路由到地理位置较远的清洗中心会导致額外的延迟,这对于大多数应用程序而言通常是不可接受的。

另一种 DDoS 防护技术使用本地硬件盒来扫描流量并滤出恶意请求。与清洗类似,由于通过盒子重新路由网络流量以完成扫描过程的瓶颈性质,扫描硬件会导致网络延迟并抑制性能。默认情况下,本地 DDoS 防护设备通常具有带宽限制,这个限制由组织的网络容量和设备的硬件容量决定。

检测和防护 DDoS 攻击的更好方法是在网络边缘靠近源的位置进行。通过在全球分布式网络中最近的数据中心扫描流量,即使在发生严重的 DDoS 攻击时,也可以确保高服务可用性。这种方法可减少将可疑流量路由到地理位置较远的清洗中心所带来的延迟。它还可以缩短攻击响应时间。

B.保护 TCP/UDP 应用程序

在传输层,攻击者可能会淹没服务器上所有可用的端口,从而攻击企业的服务器资源。这些DDoS 攻击可能导致服务器对合法请求的响应缓慢,或者根本不响应。在传输层防止攻击需要可以自动检测攻击模式并阻止攻击流量的安全解决方案。


结论

创造卓越的在线体验需要正确的安全性和性能策略,从而不仅使企业加快内容交付的速度,而且确保网络的可靠性,并保护其 Web 资产免受站点中断,数据盗窃和其他严重攻击的侵害。

Cloudflare 的网络遍布全球 95 个国家/地区的 200 多个城市,提供可扩展的集成全球云平台,可帮助企业为其本地、云端和 SaaS 应用程序提供安全性、性能和可靠性。要了解如何保护在线业务,请访问 Cloudflare.com。

注:文章源自于互联网,如有侵权,请联系客服删除。
19951839869
黑鲸出海客服