Home 播客 EP6 -您需要了解有关可组合安全的信息

Applications

Media

Expert Service

EP6 -您需要了解有关可组合安全的信息

Download

About The Author

Tom Mount

I enjoy problem-solving, breaking down processes to see how they can be improved, and learning new tools to help me solve those problems and improve those processes. I also enjoy interacting with my clients, earning their trust, and helping them choose the right solutions for their needs. Throughout my career I've enjoyed being able to work independently and with some great teams, expanding my knowledge of software development, and finding creative solutions to difficult problems.

Download

超越边缘的简介第6集–您需要了解的有关可组合架构及其对性能和安全性的优点

Tom Mount :您好,欢迎来到Beyond the Edge,在这里,我们深入了解影响现代数字化业务的保险和趋势。

我是汤姆·芒特。我是Edgio的高级解决方案架构师。我重点介绍我们的应用程序平台和构成该平台一部分的安全解决方案。我是一名网络开发者近20年,主要是为数字营销机构工作或与数字营销机构合作。在高等教育和电子商务方面做了很多工作,包括eBay，美国航空公司和宾夕法尼亚大学。

今天，我和Howie Ross一起参加了会议。

Howie Ross：你好，我是Howie Ross。我是Edgio Applications平台的产品管理高级总监,专注于Web加速,包括我们的CDN和边缘计算。我从事Web开发和云架构已有20年,在此期间,我有幸在许多行业工作,包括Fintech和EComm,在那里我曾与多个品牌合作过,包括Urban Outfitters，Coach，Verizon和M&M.

汤姆·芒特：太棒了。谢谢Howie。今天，我们想与您谈谈可组合架构所面临的安全挑战。具体而言，现在我们知道网站所有者和内容经理面临许多安全威胁。

根据IBM，有一项研究表明，83%的美国公司经历过数据泄露，在美国可能会造成高达940万美元的损失。这是全球平均水平的两倍多。 Okta，他们是全球最大的单点登录身份业务提供商之一。他们发布了一份报告，表明全球所有登录尝试中有34%是爬虫程序。这仅仅是爬虫程序试图进入网络帐户，这表明四分之一的组织因单次爬虫程序攻击而损失了50万美元。因此安全是一个巨大的威胁。这是一个我们必须处理的巨大问题。

当我们谈论可组合架构时，这确实开始变得更具挑战性。接下来，今天的播客，我们想看看可组合架构面临的一些威胁，以及我们可以做些什么。

所以在我们深入了解这一点之前，Howie，我想知道你能否为我们定义什么是可组合建筑，这对你意味着什么？

什么是可组合架构？

Howie Ross：当然，我可以试试。这是一种有些难定义的东西,但你看到它的时候就知道了。可组合架构确实是对所使用的单片一体化平台的反应，比如说过去十年，以及对用户体验和开发人员工作流程的限制。

因此，借助可组合的架构解决方案，整个堆栈都由工具和供应商组成，允许您选择一流的工具来满足组织和用户的需求。

Composable通常与无头或去耦前端相关联，在这些前端中，我们将表示层与数据层分离开来，通常依赖于微服务或至少API驱动的架构来促进这种无头去耦架构，并利用各种工具组成完整的解决方案。

Tom Mount：这听起来相当灵活，但听起来也似乎实施其中一些堆栈在技术上会更具挑战性。

为什么选择Composable？

什么会让公司选择采用可组合架构，而不是这种更单一的，你知道的，成熟的模式？

Howie Ross:是的,这是一个很好的问题。可组合架构有许多好处，包括如我所述，由于用户体验限制更少而改善了用户体验，对吗？所以在单片堆栈上，您通常会被限制为该堆栈提供哪些功能。然而，对于可组合的建筑来说，这有点像，天空是极限。

团队和设计师可以想象出他们想要的任何体验，然后您就会知道，在能够向最终用户推广这些功能方面，您将拥有更大的灵活性。

实际上，我们已经看到冰岛航空等组织将推出包括促销在内的新功能的交付时间缩短了90%。因此，您将缩短上市时间，缩短工作价值实现时间。

此外，正如我提到的，您需要选择一流的工具和供应商，并真正构建这种生态系统合作伙伴网络，您可以依赖这些网络来构建解决方案并实现该价值。

然后，它比单片堆栈更面向未来，因为您可以根据需要调换这些工具。因此，假设您的客户审核工具不再满足您的需求。您想使用另一个。您不必去替换整个解决方案。您只需替换该特定工具，继续在堆栈上迭代并保持其真正现代化。

汤姆·芒特：现在你在谈论语言。我的很多背景都是在Web上构建更多的应用程序，你知道，看看其中一些应用程序的架构，我喜欢这个想法，那就是必须喜欢一个面向未来的堆栈，在那里你可以将东西移入和移出。

我还认为，面向未来的技术不仅可以扩展到组件级别，还可以扩展到基础设施级别，对吗？我的意思是，我们现在看到的是，比5年前，10年前，更关注在边缘完成的任务，云中完成的无服务器任务。

当然，这一点得到了更多的强调，我认为有一个更灵活的体系结构，您可以将组件从更大的数据中心移出，迁移到更明显的云，一切都在数据中心，对吗？我们理解这一部分。

但我认为，拥有一个可以更专注于边缘并专门为边缘处理构建无服务器功能并保持这些功能快速灵活的功能的功能，这也是一个巨大的好处。我认为安全也是这样，也有好处，对吧？由于我们已经将越来越多的服务和更多的东西迁移到云中，并且您知道这些支持边缘的解决方案，因此安全也随之而来。

因此，我们现在可以在边缘实施大量ZeroTrust安全，而不必一路回到数据中心，而采用可组合架构让我们可以将ZeroTrust安全构建到应用程序本身的结构中。我看起来就像我在顶部说的那样，我已经建造了20年的网站。我在各地都使用过工具链。我认为，我们看到的一个好处是，特别是在一些可组合框架中，很多这些框架现在都具有用于静态站点生成的内置功能。

这些东西可以直接流式传输到构建管道中，并作为其中的一部分推入，您只需更换您想要的任何组件或架构即可。你的管道将构建所有这些,最终你会知道,提炼出来,你知道静态文件HTML,CSS,JavaScript,我们需要的图像,无论它们是如何构建的,以及哪些拼图组成在一起,管道最终仍然可以保持不变。部署仍然可以反映这一点。所以我认为，从架构的角度来看，这是一个让我印象深刻的问题，因为你可以从移动这些组件中获得的另一个好处。

客户成功案例–通用标准

Howie Ross：是的，这些都是您所知的重要方面，因此，除了对开发团队和客户的好处之外，您了解DevOps团队以及它为您的基础架构提供的选项还会带来显著好处。

无论是通过利用静态生成，您都知道为CDN和边缘构建站点，还是利用无服务器并真正利用云技术的这些进步来提高您的可扩展性和安全性。您知道，您知道，Tom和我很高兴与许多客户合作，他们已经踏上了这段旅程，走向组合，并看到了显著的好处。

因此，您知道客户包括您之前提到的一些客户，例如您知道的培训师和M&M，他们要么已经完成，要么正在完成他们的综合旅程。

另一个鲜为人知的客户被称为通用标准,他们的使命是成为世界上最具包容性的服装品牌。你知道,他们选择了在Shopify平台之上构建的可组合架构。

因此,您知道,与其受到Shopify在用户体验和开发人员工作流方面的限制,不如说他们在利用Shopify Storefront API并使用在Vue JS上构建的Nuxt框架构建可组合的解决方案。
他们看到您知道了显著的性能改进，您知道，将页面加载时间从您知道的几秒缩短到许多情况下的次级二级，并改进了您知道的，不仅是这些技术性能指标，而且是实际业务指标。

事实上,他们看到转化率提高了200%的结果,通过这种迁移可组合。当然，这确实影响到他们的底线，并帮助他们完成任务。

客户成功案例–鞋嘉年华

汤姆·芒特：是的，真的很棒。我的意思是我们谈论过你知道亚秒页面加载在这里,它的人总是. 我总是当我和人交谈时,我得到的侧眼睛就像你肯定的那样,不,这是真的。你知道我有时候炫耀的一个客户有类似的故事,这是一家叫鞋嘉年华的公司,所以他们也转向无头。他们有他们以前的建筑。他们特别关注与第一页加载和页面之间的转换等相关的性能问题。

所以他们的统计数据在他们进入无头状态之前,你知道,他们正在看,第一页加载3秒, 3秒, 3秒半,有时在你浏览时,从一个页面过渡到下一个页面,有时长达6秒。他们真的很想降低这一点。向下移动是一个好主意的原因有很多。

我们确实进行了大量的市场调查，结果表明，在页面加载过程中，客户每等待一秒，就会增加他们离开网站前往其他地方的机会。很明显，页面速度和转化率是密切相关的，他们认识到这一点。

于是，他们来到Edgio寻求帮助，他们立刻完成了向无头技术的迁移，他们已经完成了我们一直在讨论的一些性能改进。他们将他们的过渡,甚至他们的第一页加载到一秒钟,有时甚至不到一秒钟。他们在Edgio上的速度提升高达70%。他们的页面加载时间中位数为1秒，对吗？因此，由于选择了这种无外设架构并能够在堆栈的每个级别优化性能，他们看到了巨大的性能提升。即使是他们的页面加载，随后的页面加载，一旦他们实际登陆网站，他们的速度就会下降92%。其中一些页面加载时间缩短为500毫秒。因此，他们能够实现巨大的性能提升。

但Composable的吸引人之处不仅仅是性能。坚持鞋嘉年华。除了性能提升之外，他们还借此机会进入Composable，进一步加强了他们的一些安全工作。他们发现，在推出新的可组合网站后的30天内，他们跟踪了超过800万个被阻止的恶意请求。我想集中精力，我要确保我重申这些请求已被阻止。

这不是因为他们有800万个请求，他们不知道该怎么做，对吧？他们发现我们提供的安全解决方案能够阻止所有这些请求，并提供他们在收到大量恶意请求之前可能没有看到的内容的可见性。

Composable的安全优势

这种方式让我稍微谈论一些安全优势，因为到目前为止，我们花了很多时间谈论性能提升，它们是非常真实的。您知道，我们会跟踪客户到来的情况，我们希望看到他们的绩效提升，我们有一些惊人的成功故事。

但我认为安全优势是选择可组合架构的另一个很好的理由。我喜欢把它看作是一种分层，分层的防御，对吧？因此，我们希望让恶意攻击者尽可能远离您的源站，远离您的实际服务器和数据所在的位置。你可以想象一下，你知道，在你的房子周围设置一个栅栏。你可以在你的栅栏上有标志,比如说,要远离,你知道,不管什么东西。但这并不一定意味着你不会在晚上锁上门。它只是意味着你想把一个护栏尽可能远离你可能可以。

当您选择可组合的体系结构时，其中一个优点是您可以选择已安装的安全功能以及这些安全功能所在的位置。

我们建议您在每一个级别上都具备正确的安全性。因此，我们将在边缘部署安全性，并将安全性部署到源站。如果还有其他API或服务，我们提到，采用可组合设计通常意味着您会增加站点上暴露的API数量。因此，我们希望确保这些API具有安全性，并且借助可组合的架构，实现这一点实际上变得非常简单。你必须考虑所有这些地方,但你可以把所有这些不同的层次的安全.

有一个可组合架构的另一个好处，我之前已经谈到过，那就是有这些静态页面的能力。现在，静态页在性能方面非常出色，但它们在安全性方面也有很大的好处，因为静态页将最大限度地减少客户端和服务器之间发生的双向数据传输量。

如果你想到一种传统的单片式应用程序，PHP应用程序或类似的应用程序,有人在这个应用程序中输入数据,它必须回到服务器的后面。如果你正在加载一个新页面,服务器必须去请求此数据并将其发回。您的系统中有许多数据进出的机会。很明显，它有一些数据需要出来。

您希望确保并非所有系统中的数据都能输出出来。这就是我们所谓的数据泄露。

所以静态页面会减少别人通过Web浏览器中显示的页面来修补您的服务器的机会，因为页面上的所有内容都只是HTML，对吧？

没有，它已经有数据了。它不是从任何地方提取数据。它是在构建时考虑到了这些数据的。因此，拥有静态页面，当然性能提升也可能带来安全提升，然后这些静态页面可以直接从CDN中提供服务。

所以我认为这是这种安全的最后一个难题，那就是每次加载CDN页面时，不必返回服务器获取这些数据，而是缓存该页面，它在全球范围内可用，而且您的服务器甚至看不到这些请求，因为它们都是在外边缘处理的。

Howie Ross:是的,这是一个很好的方面。我同意，无论您是了解静态站点生成还是利用无服务器服务器端呈现，您都知道组合解决方案的主要优势之一就是能够以更有效的方式利用CDN。这将为您提供更快的页面加载时间，同时也会为您带来安全好处，因为您知道尽量远离恶意角色。

您可以从您的数据和皇冠宝石中了解，也可以最大限度地减少双向数据传输，但您知道，虽然有一些安全好处，但我认为也存在一些挑战。

您知道，我们讨论了如何组合解决方案，您知道您正在选择最好的供应商和工具，这意味着，您知道，有更多的工具，更多的供应商，这意味着您可能会了解更多有关您，您的系统和架构的方法。所以你知道,这是一个风险。

危害组织的一种越来越常见的方式是通过你知道模拟,对吧,而不是你知道强行强行进入你的网站或你的服务器。我只想知道如何通过社交工程师的方式看起来像你的一个员工。而不是不得不破坏您的核心网络和企业工具。我可能会破坏您在组合解决方案中使用的众多工具和供应商之一，因此您知道身份和访问管理变得越来越重要。

因此，您知道，您可以通过制定标准和单点登录等多种方式来缓解这种情况。但这是您想要的，您知道深思熟虑的事情，因为您知道数据截取的兴起，并且知道这是一类漏洞或漏洞利用。

它通常被称为法师手推车，这是此类攻击的原始利用之一，您知道攻击者将脚本放到网站上，然后会窃取个人信息。

在这种情况下,它是主要来自Magento网站的信用卡信息,它是广泛的,你知道,它真的是一种带到了最前沿的,你知道,这个问题的严重性和严重性,有的重要性,你知道,通过整个供应链管理你的代码的完整性。

您也知道，我提到了真正小心您的身份和访问管理的重要性，是的，这是非常有意义的。

Tom Mount：很明显，随着工具的增加，有更多的机会出现。我认为,从应用程序架构的角度来看,许多可组合的网站大量使用API调用服务器来填充新页面,从而加快浏览速度。我认为API安全是另一个你必须更加关注你正在做的事情和正在发生的事情的领域。

很明显，我不希望在网站上购物时使用我的页面。我不想为您缓存我的页面，您可能不想为我缓存您的购物车，因为这让人困惑，我不明白为什么。你知道为什么我把车拉起来的时候，我的车里有什么东西。

因此,我们显然需要确保我们有快速响应的网页,但我们也希望确保它们是针对个人用户的个性化的,通常,这是通过某种API访问来完成的,并且在很多情况下访问者的信息最终会被传输到API数据中。

因此，这就是安全中的零信任部分具体围绕API而来的地方，对吧？因此，我们可以执行边缘个性化等操作，从服务器抓取内容，缓存内容，在边缘而非浏览器中，我们从服务器中提取这些数据，并将其纳入我们发送的最终响应中。这是一个很好的方式,拥有真正快速,真正响应的页面,这些页面仍然缓存,但也有个人数据在它们上。

我们可以在边缘发挥一点安全功能的另一种方法是使用类似JSON Web令牌进行身份验证。这是AI不会深入到他们是什么的所有细节,因为它是我目前最喜欢的项目之一。我可以单独再谈20分钟。但播客,是的,我们会做,我们会在JTBTS上做一个播客。

是的，它最酷的部分是它的数据是以明文形式传输的，但它也得到了一个加密签名，服务器知道如何生成它自己的加密签名版本。

因此，您可以检查进入的用户的有效性，以确保您知道没有任何内容被篡改，凭据是正确的，并且您知道用户有权访问他们说他们应该有权访问的所有内容。

您可以验证该访问权限是否仍然有效和正确。您也可以在边缘使用剩余函数或云函数等功能。因此，无论您使用零信任身份验证还是其他机制，围绕API进行包装对于解决这些问题都是非常关键的。

API安全是必不可少的，因为对不起，我很抱歉，请继续。

Howie Ross：这是可组合架构的主要权衡之一，对吧？因此，您知道我们构建的应用程序不是为了充分利用CDN和边缘计算，而是为了保留您了解的动态体验，我们必须利用API进行个性化。您知道，我们的服务和API可能会激增，实际上会增加威胁表面积。

因此，现在利用API安全解决方案非常重要，这些解决方案将与您所了解的某些解决方案略有不同，您知道我们将要使用的更传统的安全解决方案，您知道我们将暂时讨论，因为它们需要针对该API用例进行定制。因此，我们首先需要确保我们了解所有API，对吧？

因此，您需要利用一个工具来发现API，帮助您查找和管理所有API，并确保我们没有我们喜欢称之为Zombie API的工具，这些API是您知道曾经开发过的API，您可能不再知道您已经迭代过，它们可能不再使用，但仍然存在。

因此，我们需要对我们的API和威胁表面积有一个完整的清单。此外，我们还希望您了解一些基本的安全实践，例如速率限制，对吧？

我们希望控制某人可以从这些API请求数据的速率，更具体地说，机器人或使用自动化的攻击者可以从这些API请求响应，这样它们就不会不知所措，从而有效地造成拒绝服务的情况。

我们可以通过API安全做的另一件事情是非常有趣的,并且随着我们采用和利用AI而变得越来越容易访问,我们称之为架构验证。这就是我们要做的事情，在我们提出请求之前，您的API就在边缘，我们将确保此请求符合您的API请求的架构，对吧？

因此，如果它看起来不像正确格式的API请求，我们将在大门处阻止它，我们将在网络边缘阻止它，并且它甚至永远不会进入您的基础设施，您知道，您的基础设施希望在那里被拒绝。但是，利用API安全将是至关重要的，您知道，它正变得越来越普遍，易于访问和有用。

汤姆·芒特：没错。您知道，我们讨论了一些可组合的具体安全问题，以及我们可以缓解这些问题的方法。但我认为也很重要的是，我们不要忘记旧的备用安全工具，对吧？ “那你先睡一会。”

我刚才提到过，您知道安保就像您知道有一堆不同的层次，只是因为您在晚上锁上大门并不意味着您将大门打开，对吗？

因此，让我们稍微谈谈一些一般的安全实践，这些实践可能仍然非常好，应该是整体体系结构的一部分，即使不是专门针对可组合体系结构。

增强安全态势的最佳实践

Howie Ross：当然。您知道您提到的这种分层安全方法。我们也常常称之为纵深防御，对吧？因此，您知道攻击者和皇冠宝石之间的关系，而皇冠宝石通常是您了解公司和用户的数据。我们希望有多个安全层，以便在一个安全层被破坏的情况下，我们仍然有这些额外的安全层。因此，我们希望有许多缓解措施和系统。

首先，您提到的Tom将成为我们的Web应用程序防火墙的旧备用设备，我们希望确保我们拥有一个强大的WAF，其中包含一组真正出色的托管角色，以阻止对所有已知漏洞的预期。

我们要确保您知道我们正在与一个合作伙伴合作，为我们称之为零日攻击的新的和新兴的攻击迅速发布修补程序。

因此，我们可以在边缘的WAF上部署修补程序，缓解所有服务中的漏洞，而不必四处走动并单独修补您的每个API。

此外，我们之前讨论过爬虫程序的影响，爬虫程序攻击的增加，系统上发生的爬虫程序请求的数量。现在不是所有爬虫程序都是坏的，对吧？爬虫程序爬行我们的网站，并将这些数据提供给搜索引擎。因此，我们必须让某些爬虫程序进入他们的工作，并阻止爬虫程序，恶意爬虫程序，这些爬虫程序试图执行潜在的拒绝库存等操作，对吧？他们试图买所有的运动鞋或所有的门票之前,其他用户可以得到他们。

爬虫程序也在执行帐户接管等操作。他们只是尝试不同的用户名和密码组合，或者尝试从另一个站点泄露的用户名和密码。他们可能会在您的网站上试用，因为他们知道许多人重复使用密码。因此，让爬虫程序管理解决方案到位至关重要。

Tom Mount：是的，当然，我想您知道我们听说过的另一个，您知道爬虫程序管理问题，我们的售票员就像您知道的那样，我们遇到了售票员的问题，他们的售票员会立即被爬虫程序抓住，对吗？

新的运动鞋下降从制造商和所有突然这些运动鞋刚刚消失。我告诉人们，有时候大约50%的人开玩笑说，在10年内，互联网基本上只是攻击其他爬虫程序的爬虫程序，对吧？ “那你打算怎么办?” 爬虫程序将从其他爬虫程序购买鞋子。他们将攻击其他网站。

我还会说，就爬虫程序攻击而言，我记得当我首次进入业界时，DDoS攻击是罕见的，对吗？拒绝服务攻击非常罕见，因为它花费了大量的金钱和精力来处理其中一种攻击。现在不是这样了,对吧? 就像我们看到过爬虫程序攻击一样。这是，我想这就是今天的现实情况，您不必成为拒绝服务攻击的目标，攻击者也不必富有才能运行这些攻击。工具集，工具链和云计算资源来加速这些工作。

我的意思是，我们甚至看到过拒绝服务攻击，其中包括我们称之为爬虫程序网的攻击，对吧，它们只是被强行强制执行此攻击的计算机，可能包括智能冰箱或洗衣机上的计算机，对吧？

这是由于越来越多的东西连接到互联网和越来越多的计算可用在较小的软件包中越来越多地分布在全球。我们已经看到拒绝服务攻击的大幅增加。

我想大家都知道，我们不仅考虑安全，而且还考虑最佳实践，对于构建网站而言，现在是2024年，此时此刻，您至少需要CDN，因为CDN将是真正吸收这些级别的攻击，尤其是这些分布式攻击的最佳方式。

这是不是要停止每一个? 无。但您知道，在过去五年中，我有两三家公司具体不知道他们受到攻击，因为他们的CDN非常擅长吸收攻击。

只是在袭击发生后,他们才回到他们的日志中。很久之后，我不会这么说，几个小时或一天或两天后，他们回到他们的日志中，就像哇，在过去，我们刚刚收到了数百万，数百万，数百万的请求。

我不知道这里发生了什么。有时候，如果他们打开了警报功能，他们可以看到流量的增加，但他们从来没有真正在网站上看到过。因此，CDN实际上是处理这些拒绝服务攻击的一种简单方法。

所以你知道,即使所有的新的安全机会都在那里,像一些API安全的东西对我来说真的很吸引人。我喜欢谈论这些东西。

ZeroTrust安全领域中的一些事情正在发生，您知道，我们在这方面的进展速度令人兴奋。

但您知道您仍然需要CDN的旧产品，仍然需要WAF，对吗？我的意思是，这些都是很好的工具，无论您在前进过程中决定选择哪种架构，它们都将继续是很好的工具。

嗯，我想你提到的其中一件事只是顺便说一句，因为你提到有一个很好的合作伙伴了解这些事情。

我认为Web应用程序构建曾经有一种感觉，尤其是在大型企业中，我们总是不得不独自工作，对吗？我们需要自己的内部专家，我们需要自己的内部人员来做到这一点。这导致许多内部人员花费了很多长时间，变得非常沮丧，而且有点烧坏了。

因此，当您选择可组合架构时，请记住，这不仅仅是您可以选择同类最佳的实际架构。您还可以找到同类最佳的合作伙伴,帮助您浏览这一领域。