EP9 -ホリデーシーズンの準備

Beyond the Edgeの紹介エピソード9–ホリデーシーズンの準備

「Beyond the Edge」のこのエピソードでは、Howie Rossがホリデーシーズンの準備のために企業が取る必要がある本質的なステップに飛び込む、ホリデーレディネスについてのディスカッションをホストする。 Edgio ApplicationsおよびApplication Security and Performance Platformの製品管理シニアディレクターであるHowieは、Fintechやeコマースを含むさまざまな業界にわたるWeb開発とクラウドアーキテクチャの豊富な経験を活用している。 Edgio社のエンジニアリング担当シニアディレクターEllery Womack氏と、Edgio社のセキュリティオペレーション担当副社長Tom Gorup氏が参加し、セキュリティ上の懸念からパフォーマンス最適化戦略まで、幅広いトピックをカバーしている。 ブラックフライデー、サイバーマンデー、ホリデーシーズン全体が迫っている中、チームはウェブサイトが増加するトラフィックに対応し、最適なパフォーマンスを提供できるようにするために、早期準備の重要性を強調している。 負荷テスト、ストレステスト、潜在的なアプリケーションエラーやパフォーマンスの低下を事前に特定することの重要性について議論する。 さらに、この重要な期間中の潜在的な攻撃に対する保護において、可視性、脅威検出、ボット管理を含むセキュリティ対策の重要な役割に焦点を当てている。 企業がホリデーラッシュに備えて準備を整えるにつれて、Howie、Ellery、Tomは、組織が課題を乗り切り、ホリデーシーズンによってもたらされる機会を活用するのに役立つ実用的な洞察とベストプラクティスを提供する。

Howie Ross: Beyond the Edgeへようこそ。現代のデジタルビジネスに影響を与えるトレンドの保険とアウトを掘り下げる。

私はあなたのホストよハウィー・ロス Edgio社の製品管理担当シニアディレクター アプリケーションとアプリケーションのセキュリティとパフォーマンスのプラットフォーム CDNやエッジコンピューティングを含むウェブアクセラレーションに焦点を当てている。 ウェブ開発とクラウドアーキテクチャを20年ほどやっている。その間、フィンテックやeコマースなどの多くの業界で働き、アーバンアウトフィッターズ、コーチ、ベライゾン、M&M’sなどのブランドと仕事をしてきた。

エラリー・ウォマックと合流した

エラリー・ウーマック： こんにちは、私はEllery、Edgioのエンジニアリング部門シニアディレクター。 私は建築家、エンジニア、Q&Aのチームと協力して、Edgioのお客様が当社の製品から最大の価値を引き出すのを支援している。 過去3年間、私のチームは、Edgioテクノロジーとパフォーマンスエンジニアリングを使用してコアWebバイタルを改善することにより、顧客が収益の増加とSEOの利益を促進するのを支援してきた。

Howie Ross： ありがとうエレリー。 今日はトム・ゴラップも加わった

トム・ゴラップ： ありがとう これはとても楽しみになりそうだ。 エドジオのセキュリティオペレーションまたはセキュリティサービス担当副社長、トム・ゴーラップだ。 だから警備とサービスに関連するものは全て私のチームの中にある それが24時間365日のセキュリティ操作だ セキュリティ、建築家、脅威インテリジェンス。 その偉大なものはすべて私の権限の範囲内にある。

Howie Ross： 素晴らしい そう今日、私達はあなたのウェブサイトを休日の季節の準備ができて得る方法を論議しようとしている。

私はそれが遠いようであることを知っているが、実際に休日の購入の季節である狂気を利用するために、私達は販売および昇進が小売、旅行、およびホスピタリティのB2Cビジネスの大多数で動いているこの休日の間にウェブサイトが劇的に増加した交通を経験するので今準備を始める必要がある。

したがって、多くの企業がブラックフライデー、サイバーマンデー、ホリデーシーズン全体からの収益の増加に依存しているため、企業はこの増加した負荷に実際に備える必要がある。 そしてこの重要な期間の間にあなたの目標に当らないことはビジネスのために壊滅的である場合もある。 トム、ホリデーシーズンを成功させるために、組織は今何を考え、何をすべきか？

トム・ゴラップ： いい質問だな 準備って大事だと思うんだよね? これより先に得ることができるよりよいオフ、あなたが場所に置くことができるよりよい計画。 私が安全保障の観点から世界を見るとき、私はそれを3つの異なるカテゴリーまたは3つの柱に分類して、あなたの安全体制の一部として定義されている。 可視性、暴露、脅威であり、そして実際には、すべて可視性から始まる。

企業が今からできることは、売上が近づいているものや、ホリデーイベントが始まったときに完全に安定して安全である必要があるアプリケーションに不可欠な資産を見つけて理解することだと思う。 そのための素晴らしい方法は、税務サービス管理ツールのようなもので、インターネットをスキャンして、存在を知らないAPIや知らないオープンポートを探すものである。 多くのことを見かける。 だから、私はあなたが最初にできることは、あなたが準備し、テストし、そして時が来たときに確保する必要があるそれらのリソースとそれらの資産のインベントリを実際に構築し始めることだと思う。

Howie Ross： それは理にかなっている、なぜなら、あなたが知らないものがそこにあるのを確保するのは非常に難しいからだ。 この休暇期間の間に増加した危険があるように感じるか。

トム・ゴラップ： ええ、100%。 休日はかなりの収入である。 一部の企業では、収益の50-80%がホリデーシーズンを通して支えられている。 そう、顧客がから購入している網資源か導管が非常に利用可能であることは重大である。 攻撃者はこれらのシナリオを利用するのが大好きで、身代金としてDDoSを知っていることも珍しくないし、販売の継続を妨げるような攻撃がある。 今は顧客向けのイベントの準備で忙しくなってきているんだ試合の日には全員が甲板越しにやるんだ

Howie Ross: Ellery、ホリデーシーズンを成功させるために企業はセキュリティ上の懸念に加えて、他に何を考え、準備すべきか。

エラリー・ウーマック： ありがとうハウイ だから私たちの顧客の多くは、ブラックフライデーのトラフィックによる増加した負荷を処理できないことを心配している。 そしてまた、それに先立って、彼らはアプリケーションの負荷テストとストレステストを始めた。 ブラックフライデーが近づくと、企業はSMSの爆発や電子メールの形でマーケティングキャンペーンを発信し、アプリケーションの負荷が大幅に増加する。 多くのお客様がこれらのロードテストを開始し、アプリケーションエラーやパフォーマンス低下の根本原因を特定するために協力している。

Howie Ross： そう、それは多くの理にかなっている。 そして、一度ロードテストの結果を得たら、そのロードを維持できるかどうかを確認することが重要だ。 これは何年も前のことですが私はフィラデルフィアに住んでいて地元のディスカウント小売店と働いていたのですが彼らはホリデーシーズンの積荷になると思っていたものに対してひどく不足していたのです しかしそれを考えると、彼らは彼らのビジネスのほとんどが実店舗にあった時代であり、ブラックフライデーになるまで追加のリソースを追加したくなかった。

もちろん、私たちはウェブサイト上のトラフィックの結果として問題を抱えているクラッシュし続けた。 そしてその時点で、彼らは追加の監視ツールにサインアップして追加のサーバーを追加する準備ができていた。 それは消防訓練のようなシナリオで行われなければならなかった制御され準備されたシナリオではなく インフラが維持できる負荷を理解し適切に計画することが重要だ

トム・ゴラップ： それは頻繁に誰かのためのイベントがセキュリティにも行くいくつかの企業のために投資を開始するために取ることは不運である。 実は今日セキュリティアナリストとして話してたんだ エントリーレベルというのは「どうやって業界に参入するのか？」 彼が尋ねた質問の一つは企業にセキュリティが必要だと納得させなければならないのか？ しかし私が思うにビジネスは正しいことをしたいと思っている どこから始めればいいのか分からないだけだ

10年前、セキュリティが必要だとか、追加のサーバーが必要だと企業を説得しようとした時、それは大きく進歩した。 最近では、より多くの企業がそれをやりたいと思っている。彼らはただ、どこから始めればいいのかわからないだけでなく、それを買う余裕があるのか? それらは彼らが書く挑戦のいくつかのようなものである。

Howie Ross： ええ、それは素晴らしいポイントだ。 攻撃サービス管理について話したし、自分の危険性を理解すること。 だから、我々がそこに何を得たかを知ったら次のステップは何か、我々がこの危機的な時期に我々の財産を保護するために今取るべき追加ステップのいくつかは何かを知っている。

トム・ゴラップ： そう、すばらしい質問。 まず、在庫があって誰も100%持っていない可視性。 100%は期待できない だから、私はいつも言っている停止するか、またはああ、私はまだ完全な可視性を持っていない、私は続けることができないように追いつく。 持っているものを取って見てみるんだ

パズルの次のピースは暴露と脅迫である。 暴露:あなたの脆弱性はどこにあり、あなたの鎧のチップはどこにあり、そしてあなたはどのように攻撃されているか? アフガニスタンやイラクでの戦闘位置をどう確保したか考えていた時私はこういった３つの柱にたどり着いたのです見えないものを守ることはできないし良い射撃場を確保することもできない 良い隠蔽と隠蔽が必要だ暴露された時は意識する必要がある

時にはリスクを受け入れて緩和することもあるがその戦いが起こったとき攻撃が始まったとき敵がどのように攻撃しているかを知ることで姿勢を調整できる この3つの要素がそのような意思決定を始めるのに必要であり、あなたは今日攻撃されている可能性が高いので、その情報を使って良い意思決定を行うことができる。

それは、あなたの脆弱性はどこにあるのか、どのように攻撃されているのか、その良い可視性を得て、計画を開始する、あなたが知っている、あなたが知っている、ロードテスト、あなたがDDoS攻撃に遭遇した場合はどうなるか?

多くのチームメンバーが電話で飛び込んでガイドをしてくれる人を探していて卓上演習をしてくれる人を探していてそれは避けられない攻撃に対するあなたの反応には大いに役立つと思う しかし、滞留時間を短縮でき、サイトがオフラインになる時間を短縮でき、十分な準備ができていれば、一日の終わりに大きな勝利を収めることができる。

Howie Ross： ええ、素晴らしいポイント。 DDoS攻撃やセキュリティインシデントの結果としてオフラインになっているサイトと同じくらい悪いのは、パフォーマンスが低く、この増加したトラフィックを利用していないサイトと、この休暇期間中に実行されているプロモーション。 では、Ellery、私たちのサイトが最適に機能していることを確認するために他に何ができるか?

エラリー・ウーマック： いい質問だな お客様が注目しているのはA/Bテストである。 そこで彼らは、最高のユーザーエンゲージメントを得るもの、コンバージョン率、平均注文額、セッションごとのページビュー、その他の重要なビジネスKPIを最適化する方法を確認するために、さまざまなタイプのページで新しい体験を試している。 だから、人々は新しいページテンプレート、さまざまなタイプのプロモーション、製品割引などをテストしているウェブサイト全体で、彼らは同様に高いパフォーマンスである方法でこれを行いたい。

Edgio 7のようなエッジ実験製品を使用することは、それらのための一般的なユースケースとなっている。 しかし、意図的にパフォーマンスを改善することは、すべての顧客ができる。 そのため、ネットワーク上でのキャッシングをサポートする機会を常に探している。 キャッシュされたコンテンツの安全性が向上する。

さまざまなAPIの応答時間を非常に高速にしたい。 そして、顧客は、私たちの観察可能性と分析ツールによってそれを認識していると思う。 人々はこれを知らないかもしれないが、ロードするのに4.2秒かかるウェブサイトは、2 1/2秒未満でロードするものの半分の速度で変換しようとしている。 これらのことは最適化するために本当に重要であり、私たちはこれで顧客を助けることができるチームを持っている。 A/Bテストとパフォーマンスの改善はその最前線にあり、オリジンからも負荷がかかるだろう。 ブラックフライデーに必要なサーバーの数が少なくても、サーバーが同じ操作を完了するために必要なサーバーは少なくなるだろう。

Howie Ross： ええ、素晴らしい点。 ブラックフライデーの1ヶ月前に、私たちのウェブサイトが遅すぎると言っている顧客が実際に私たちに来ていた。 Googleのコアウェブバイタルを渡さない オーガニックトラフィックはあまり得られない コンバージョン率が低くなる。 あなたに何ができるか？ 私たちは実際に彼らを助けることができるが、その時点で私たちが自由に使えるツールはいくらか制限されている。 特定のユースケースでプリフェッチやアクセラレーションを行うのを助けることができる。 しかし実際にその増加した交通を利用し、それらの転換率を得るために。 その最適化を前もって始めておくと良い。そうすれば、高いキャッシュヒット率を得て、そのサイトが出来る限り最適にパフォーマンスを発揮するようになる。

エラリー・ウーマック： ああ、その通りだ。 ブラックフライデーやホリデーシーズンが11月に始まる場合、ほとんどのお客様はコードフリーズやコードチルを10月上旬に行いたいと考えている。 お客様がわずか1か月で30%速くなるのを支援できた パフォーマンスの向上を求めているのであれば、6月か7月までには必ずそれを始めると思う。

Howie Ross： そう、それは素晴らしいポイントだ。なぜなら、秋になるまでには、コードフェーズにいるはずだし、コードチルと呼んでいるからだ。もちろん、重大なバグやセキュリティ上の問題があるかどうかは知っているからだ。 解凍して修復する しかし、その時点で効果的にペンシアルにされるべきである。 これは我々のチームとの繋がりを知っている我々の最も重要な資産である我々の人材を知っている では、この増加するトラフィックに備えていることを確認するために、Withメンバーと一緒に準備のどのような側面を行う必要があるか。

エラリー・ウーマック： 始められるかな 一部の顧客は、インシデントのドライランのために私たちと協力して、インシデント対応プロセスの準備ができていることを確認しており、私たちはそれを実行表と顧客の実行表の両方に文書化している。 トムの前の指摘によれば、あなたはこれらのことに備えておく必要があることを知っているが、実際にドライランを行うまで、どのように準備しているかわからない。

そう私達はウェブサイトがダウンしているそして私達が重大な問題を抱えていることを私達の観察力のツールから警告をトリガーし、これが適切にエスカレートされ、適切な人々が適切な時間枠で応答していることを確認することができるか。 電話や作戦室で適切な人材を集めて効果的な方法で問題のデバッグや診断を行い、適切な人材が電話に出る準備ができていることを確認する。 即時応答プロセスで重要な役割を果たす人々がいつ応対できるかを示すカレンダーがあるか。 だから、常にカバレッジがあり、私は非常に利用可能な少なくとも2人を持っていることをお勧めする。 我々が言うように、2は1であり、1はなしである。

トム・ゴラップ： それは良かった 気に入ったよ うん、それをさらに取る、準備は重要である、実行している卓上の練習、あなたが呼ぼうとしているかだれを知っていることを確かめなさい。 あなたが攻撃されていることをceoはいつ知るようになるの? これらのことはハッシュアウトする必要があり、そうでなければ時が来たら混乱になるだろうが、セキュリティの観点から見て一般的なユーザー意識だけでなく、ホリデーシーズンには、攻撃者が飛び込んだり、フィッシングメールを送信したり、インフラストラクチャに押し込む他の方法を見つける絶好の機会でもある。 そう休日のまわりで意識を高めることは重要である。

たくさんのメールが行き来している。 ブラックフライデーのお得な情報やリンクがたくさん共有されている。 その情報の中には悪意もたくさんある。 だから、人事部門からエンジニアまでのユーザーが、そこにあるリスクを認識していることを確認するのは良いことだ。 また、 攻撃の傾向レポート ここエドジオに来て そして、私たちが調べたことの一つは、今年の第1四半期に発見された、または実際にはより具体的に話し合われた、すべてのCVE(Common Vulnerabilities and Exposures)である。

共通の弱点を調べるためにもう少し詳しく説明した。 製品の中に存在していた脆弱性がその脆弱性をもたらしたのは何だったのか、そして我々が見たのはトップだった。トップ3はリモートコード実行、Denial Service、特権昇格の脆弱性だった。 エンジニアにどのようなトレーニングや意識をもたらすことができるかを考えているとき、それらは3つの大きなものであり、私たちのアプリでリモートコードの実行がどのように見えるかについての追加のセキュリティトレーニングを行うことができる。 そして、コードレベルで予防策を講じるにはどうすればよいか。 Denial Service攻撃はアプリ内でどのように見えるか? 脅威モデリングの一部を開始するだけでなく、コードレベルでそれを回避する方法についてエンジニアをトレーニングする。

エラリー・ウーマック： 私の理解では、リモートコード実行とは、コードとリモートサーバを実行することである。 悪意のある攻撃者がWebサイトにコードを挿入して、Magecartのような何らかのデータスキミング攻撃を開始しないようにするには、どうすればよいか?

Tom Gorup:クライアントサイドプロテクション(CSP)は多くの入力サニタイズを活用できる素晴らしいものであるリモートコード実行側のもう一つのピースは、サーバーサイドで何も実行したくないということだ。

どのような入力のサニタイズを行うことができるか? Edgio自身は、APIがラインを越えて送信される前に適切にサニタイズされていることを確認できる。 そのスキーマをツール自体の中に入れて、そのサニタイズを行うことができる。 あなたがあなた自身を保護するために適所に置くことができる多くの制御がある。

Howie Ross： 簡単な質問だ、エラリー。 だから、あなたが知っているとしよう、私たちが何ヶ月も仕事に一生懸命だったとしよう。そして、あなたが知っているように、私たちのトラフィックと私たちに対する攻撃を検出することができる、私たちの分析と観察可能性が整っている。 パフォーマンスを最適化。 私たちは卓上演習を行ったが、今は秋だ。ホリデーシーズンが近づいていることは知っているだろうし、おそらくそれほど多くのコード展開をしていないか、少なくともそうでないことを望んでいる。 では何をすればいいのか？

エラリー・ウーマック： 秋になると、多くのモニタリングやダッシュボード、分析を微調整することでお客様を支援することになる。 君は重要なことを学んだが他に何を監視できるか 新しい機能や新機能を顧客に提供するというプレッシャーがない今こそ、監視と観察可能性にもっと集中できる絶好の機会だ。

彼らがそれに備えていることを確認し、特にブラックフライデーやサイバーマンデーのような日にガラスの監視を目にする人々に適切なツールを提供することを確認する。 私たちは通常、ガラスやウェブアプリケーションやAPIの健全性を非常に定期的にチェックしている人々を監視している。 収集するために必要なすべての洞察を持っていることを確認する。意味のある洞察が本当に重要であることを知っている。

Howie Ross： 素晴らしいポイント。 トム、ホリデーシーズンが近づいている秋に、セキュリティの観点から何かできることはないか？

Tom Gorup:セキュリティアーキテクトのように、顧客と協力してアプリを微調整するだけでなく、WAF、Web Application Firewall、ボット管理も微調整することは珍しくない。

ボット管理はあなたがまた見ていることができる何かであることができる大きい1である。 SEO評価が良いことを確認したい、ボットを壊したくないが、イベントに固有のページを保護したい。 多分その新しいスプラッシュページがちょうどまだ解放されてほしくない。 ボット管理を使用してコントロールが適切に設定されていることを確認し、Laughを使用して事前に適切に保護されていることを確認する。 イベントに至るまでWAFで多くのチューニングを行い、適切なトラフィックをブロックしていることを確認し、失礼、ええ、適切なトラフィックをブロックして、良いトラフィックを通過させる権利を許可する。

レート制限は別のものである。 ロードテストで学んだ情報をセキュリティツールに適用して、サーバーがフロントエンドで保護できることを確認してから、その反対側にサーバーがひっくり返る前に。 それは我々が前もって行ういくつかの事である。 それはちょうど私達が成功した休日のでき事がほしいと思うのですべてが締められ、適所に締められていることを確かめている。

Howie Ross： あなたはボット管理について言及していたが、私はそれを再確認したい。セキュリティの観点から、私たちはボットを悪意のあるものとみなし、私たちのサイトで悪質なことをしようとしていることがよくあるからだ。 彼らは人々の口座やその性質のものを乗っ取ろうとしている。 ボットは検索エンジンを知っているものであり、他のサービスが私たちのウェブサイトが提供するものを理解するために使用することを知っているので、ボットはこのホリデーシーズンのトラフィック増加に不可欠であることを知っている。 緩和ではなくボット管理と呼ぶ。 私たちは、悪いボットを100%防ぐためにチューニングされることと同様に、良いボットに合わせてチューニングされることが重要であると信じている。

Tom Gorup:私たちが気づいたのはテクノロジートレンドレポートで また、GoogleやYandexなどでインデックス化したくない特定のページのための優れたボットをブロックするウェブ管理者もたくさんいる。 つまり、ボット管理である。 SEOに悪影響を与えることなく、良いボットをブロックすることはできるが、そのようなことには意図を持って対処する。 そして悪いボットをブロックしたいのです価格を削ったり席を予約したりしたくないから ボット管理には多くの価値がある。

Howie Ross： 分かった だから秋に入ったんだ 今はゲームの日でブラックフライデーだとしよう 私達は私達のフィートを蹴り、それらの感謝祭の残り物を食べること以外何をすることができるか。

トム・ゴラップ： 少なくともセキュリティ業界ではまだ誰も足を上げていないと思う ちょうど準備ができている時だ 大きなランチは飛ばしたいのか、七面鳥の昏睡状態をコンソールで知ってるのか、寝るには良くない場所だ。 すべて実践型のデッキ。 私たちは、橋の上でみんながあなたのことを話しているような、顧客との橋渡しをすることがよくある。そして、Elleryは、サイトのパフォーマンスに関する観察可能性について掘り下げることができると確信している。

それから常に交通状況を点検している。 我々は、我々がスペースを確保することができることを確認するために、攻撃を見て、小さな攻撃でさえも打ち砕いている。 セキュリティとは、アプリを攻撃から保護するだけでなく、可用性を最大限に高めることでもある。 WebリクエストやCPUサイクルをシャットダウンできるのに、既知の攻撃と見なされるものに浪費する理由は何か？ コンソールを見て、エンジニアリングチームやネットワークチームとペースを合わせて、我々全員が同期していることを確認するために、多くの精査。 通常は、「ねえ、この時点でそれを開き、その後346時間実行する予定だ。イベントをしっかりカバーしていることを確認する。

Ellery Womack :シフトが終われば、すべての割引が付いている小売療法をすることができる。

Howie Ross: Elleryは小売療法に加えてエンジニアリングチームやビジネスチームは今何をしているのか？

エラリー・ウーマック： 我々が常に行っていることの一つは、分析である。 人々は我々が目標を達成していることを確認している。 私たちの顧客の多くは、ブラックフライデーとサイバーマンデーのために既にある種のドライランイベントを実施している。そこでは、ユーザーの需要と負荷と閲覧パターンの急増を予測するのに役立つプロモーションを実施している。 適切なユーザー数を得るためにカートに追加するイベントやユーザーの数を得ること、商品を閲覧したり商品のインプレッションを生成したりすること。 我々は、物事が我々の期待内にあることを確認している。 パフォーマンスが同等であることを確認したい。 リアルタイムのユーザーモニタリングである実行ツールを使用してライブパフォーマンスデータを確認することは非常に有用である。

ウェブサイトがべきである方法を振っていることを確かめたいと思う。 静的な資産とコンテンツが提供されているというサーバーの観点からだけでなく、ユーザーのブラウザがすべてを適切にレンダリングしていることも、その重要な側面の1つである。 サイトがスムーズに運営されていることを確認したい。 ウェブサイトのパフォーマンスだけでなく、すべてのことについてライブインサイトを持っているが、ビジネスKPIやビジネスステークホルダーにとって意味のあるその他の指標も満たされていることは理にかなっている。

これが、組織がこの重要なホリデーシーズンに備えていることを確認するために、今から検討し、実際に実行する必要があることの概要を提供してくれることを願っている。 トラフィック分析やその他の洞察に関して、適切な観察可能性を持つセキュリティとパフォーマンスのテストと修復の重要性に触れた。 我々全員がすべてのセキュリティプロトコルとツールを準備していること、そして最も重要なことは、我々のチームが準備していること、そして、この期間中に利用可能になることを確認する。 多くの人が旅行することを知っていて、あなたが時間を取りたいと思うとき。 しかし、この時期がビジネスにとってどれほど重要であるかを考えると、私たちは本当にこれがあなたに思考のための食料とあなたがすぐに取ることができるいくつかの行動を与えてくれることを願っている。

ここに参加してくれたElleryとTomにもう一度感謝したいし、Beyond the Edgeのエピソードを聞いてくれてありがとう。 またね。