Beyond the Edge第9集简介–假期准备
在本集”超越边缘“中,Howie Ross主持了一场关于假日准备的讨论,深入探讨企业为迎接即将到来的假日季高峰所需采取的重要步骤。 Edgio应用程序和应用程序安全与性能平台产品管理高级总监Howie凭借其在Web开发和云架构方面的丰富经验,遍布各个行业,包括金融科技和电子商务。 与Edgio高级工程总监Ellery Womack和Edgio安全运营副总裁Tom Gorup一起,对话涵盖了从安全问题到性能优化策略等一系列主题。 随着黑色星期五,网购星期一和整个假日季的临近,该团队强调提前做好准备的重要性,以确保网站能够处理增加的流量并提供最佳性能。 他们讨论了负载测试,压力测试以及提前识别潜在应用程序错误和性能下降的重要性。 此外,该讨论还强调了安全措施(包括可见性,威胁检测和爬虫程序管理)在这一关键时期防范潜在攻击的关键作用。 随着企业为节日高峰做好准备,Howie,Ellery和Tom提供了切实可行的见解和最佳实践,帮助组织应对挑战,抓住假日季节带来的机遇。
Howie Ross:欢迎来到Beyond the Edge,我们将深入了解影响现代数字业务的保险和趋势。
我是你的主持人,Howie Ross。 我是Edgio产品管理的高级总监 应用程序和应用程序安全和性能平台 在这里,我专注于Web加速,包括CDN和边缘计算。 我从事Web开发和云架构约20年,在此期间,我曾在许多行业工作,包括金融科技和电子商务,我曾在城市服装,Coach,Verizon和M&M’s等品牌工作过。
Ellery Womack也加入了我的行列。
Ellery Womack: 大家好,我是Ellery,Edgio的高级工程总监。 我与建筑师,工程师和问答团队合作,帮助Edgio客户从我们的产品中获得最大价值。 在过去的三年中,我的团队利用Edgio技术和性能工程改进了客户的核心Web生命周期,帮助客户提高了收入和搜索引擎优化收益。
Howie Ross: 谢谢Ellery。 今天,Tom Gorup也加入了我们的行列。
Tom Gorup: 谢谢你的邀请。 这将是一个很有趣的地方。 我是Edgio安全运营或安全服务副总裁Tom Gorup。 因此,与安全和服务相关的一切,这两者的组合都属于我的团队。 这就是您的全天候安全运营。 您是安全,架构师和威胁情报。 所有这些伟大的东西都在我的权限之内。
Howie Ross: 太棒了。 今天,我们将讨论如何为假日季准备好您的网站。
我知道这似乎遥不可及,但要真正利用疯狂的节日购买季节,我们需要现在开始准备,因为在这个节日期间,当销售和促销运行在绝大多数B2C业务在零售,旅游,和酒店,餐饮/娱乐业,网站体验到大幅增加的流量。
因此,企业确实需要为这种增加的负载做好准备,因为许多企业依赖于黑色星期五,网购星期一和整个假日季节增加的收入。 在这一关键时期未能达到您的目标可能会对企业造成毁灭性影响。 Tom,组织现在应该思考和做些什么,以确保假日季取得成功?
Tom Gorup: 这是一个很好的问题。 我认为准备很重要,对吧? 你越能提前做到这一点,你就会越好,你可以制定更好的计划。 当我从安全的角度看世界时,我会把它分为三个不同的类别或三个支柱,定义为您的安全态势的一部分。 它是可见性,暴露性和威胁,实际上,这一切都始于可见性。
我认为企业现在可以做的是开始发现和理解那些资产,这些资产对于即将到来的任何销售以及在假日活动开始时需要完全稳定和安全的任何应用程序都至关重要。 这样做的一个好方法可能是税务服务管理工具,扫描互联网并查找您不知道的API或打开您不知道的端口。 我们看到了很多。 因此,我认为您可以做的第一件事就是开始建立一个库存,其中包含您需要准备,测试和保护的资源和资产。
Howie Ross: 是的,这很有意义,因为很难确保您不知道的东西在那里。 您是否觉得在这个假期期间风险增加了?
Tom Gorup: 是的,100%。 假期收入可观。 对于一些企业来说,50-80%的收入在假日季节得到了支持。 因此,他们的Web资源或客户购买的渠道必须具有高可用性,这一点至关重要。 攻击者喜欢利用这些场景,您知道DDoS是勒索并不少见,或者有各种攻击会抑制销售的能力。 所以我们现在开始忙于为客户准备这些活动,您知道,在比赛当天,大家都可以在甲板上亲自动手,对吧?
Howie Ross:那么Ellery,除了安全问题之外,企业还应该考虑并为确保假日季成功做好准备?
Ellery Womack: 谢谢Howie。 因此,我们的许多客户担心无法处理黑色星期五流量增加的负载。 在这之前,他们已经开始对应用程序进行负载测试和压力测试。 通常,当黑色星期五到来时,企业会以短信爆炸和电子邮件的形式发送营销活动,这会引发应用程序负载的大幅高峰。 我们的许多客户已经开始进行这些负载测试,他们正在与我们合作确定应用程序错误和性能下降的根本原因。
Howie Ross: 是的,这很有意义。 然后,你知道,一旦你得到负载测试的结果,你必须确保你可以承受负载,正如你提到的,比你准备好的要多一点。 这是多年前的事,但我和我一起工作,住在费城,我和一家当地总部的折扣零售商合作,我确定他们的供应严重不足,我们认为这将是他们的假期负荷。 但既然如此,您知道他们的大部分业务都是在实体店,他们不想添加额外资源,直到黑色星期五。
当然,由于网站上的流量不断崩溃,我们遇到了问题。 然后,他们已经准备好注册使用其他监控工具并添加额外的服务器。 你知道,这必须在火灾演习类型的场景中完成,而不是更有控制和准备的场景。 是的,我们必须了解基础设施可以承受的负载并对其进行适当规划。
Tom Gorup: 不幸的是,某些企业通常需要一个事件才能开始投资于安全领域。 实际上,我今天早些时候作为一名安全分析师进行了一次谈话。 入门级是一种看起来,嘿,我该如何进入行业? 他问的一个问题是,您是否必须说服企业他们需要安全,结果好坏参半? 但我认为,企业往往希望做正确的事情。 他们只是不知道从哪里开始。
10年前,当您试图说服企业他们需要安全保护,或者需要额外的服务器时,这已经取得了长足的进展。 这些天,发现更多的企业想要这样做;他们只是不知道从哪里开始,而且,你知道,他们能负担得起吗? 这些就像他们所面临的一些挑战。
Howie Ross: 是的,这是一个伟大的点。 您知道,您谈到了攻击服务管理和了解您的暴露。 所以,你知道下一步是什么,一旦我们知道我们已经取得了什么,我们现在应该采取哪些额外的步骤来保护我们的财产在这个关键时期.
Tom Gorup: 是的,问题很好。 首先,我们拥有库存,而没有人会拥有100%库存的可见性,对吗? 你不能期望100%。 所以,我总是说,不要停下来或陷入像哦,我还没有完全的能见度,我不能继续下去。 拿出你所拥有的,然后开始看它。
谜题的接下来部分是暴露和威胁。 暴露:你的弱点在哪里,你的盔甲中的筹码在哪里,然后你是如何被攻击的? 当我思考如何在阿富汗和伊拉克取得战斗阵地的时候,我就在这三个支柱上着陆了。这些都是我所看到的,是的,我不能保护我看不到的东西,也不能确保我有一个很好的火场。 我需要有良好的掩护和隐藏,如果我有曝光,我需要知道它们。
有时候,你接受这些风险,有时候你可以减轻这些风险,但当这场战斗发生时,当攻击开始时,知道敌人是如何攻击的,你就可以调整你的姿势。 您需要这三个要素才能开始做出这样的决策,而现在您很可能会受到攻击,这样您就可以利用英特尔来做出明智的决策。
这是两件事情要开始融入其中,你的漏洞在哪里,你是如何被攻击的,获得良好的可见性,然后开始规划,你知道,也许做一些,你知道,我已经提到负载测试,如果你遇到DDoS攻击会发生什么,接下来会发生什么?
我的意思是,很多团队成员都在打电话,他们会找人来指导他们,做桌面练习,在之前跑几次,我认为这对你应对不可避免的攻击有很大的帮助。 但你可以减少停留时间,你可以减少网站离线的时间,如果你准备充分,你就会在一天结束时大获全胜。
Howie Ross: 是的,很棒的一点。 我想说,与因DDoS攻击或安全事件而脱机的网站一样糟糕的是,您知道,这种网站表现不佳,没有利用这种增加的流量,以及在这个假期期间开展的促销活动。 那么,Ellery,我们还能做些什么来确保我们的站点达到最佳性能?
Ellery Womack: 这是一个很好的问题。 我们的客户正在关注的其中一件事是A/B测试。 因此,他们正在尝试为各种类型的页面提供新的体验,以了解什么能获得最佳的用户参与度,我们如何优化转化率,平均订单价值,每个会话的页面浏览量以及其他重要的业务KPI。 因此,人们正在他们的网站上测试新的页面模板,不同类型的促销,产品折扣等,他们希望以一种高性能的方式来完成此操作。
使用Edgio 7中的EDGE实验产品已成为他们的常用使用案例。 但是,我们的所有客户都可以有意识地提高性能。 因此,我们不断寻找机会来帮助客户在我们的网络上缓存。 缓存的内容将更加安全。
我们希望确保各种API的响应时间非常快。 我认为客户认识到,借助我们的可观察性和分析工具非常重要。 人们可能不知道这一点,但一个需要4.2秒加载的网站的转换速度是加载时间不到2 / 2秒的网站的一半。 这些方面对优化非常重要,我们有一支团队可以帮助客户实现这一点。 A/B测试和性能改进是其中的最前沿,这甚至会减轻源站的一些负载。 如果您的服务器需要更少的工作来完成相同的操作,那么您在黑色星期五上所需的服务器就会更少。
Howie Ross: 是的,很棒的分数。 实际上,我们的客户在黑色星期五前一个月来到我们这里,说我的网站太慢了。 我没有通过,谷歌的核心网络要素. 我不会得到这么多的有机交通。 我的转化率会更低。 你能做什么? 实际上我们可以帮助他们,但我们当时掌握的工具有些有限。 在某些用例中,我们可以帮助您了解一些预取功能并进行一些加速。 但真正要利用增加的流量并获得这些转化率。 您希望提前很长时间开始优化,这样您就可以知道这些高速缓存命中率很高,并使该站点尽可能达到最佳性能。
Ellery Womack: 是的,这是绝对正确的。 您知道,如果您想从此向后工作,如果黑色星期五和假日季节从11月开始,我们的大多数客户都希望在10月初的某个时候执行代码冻结或代码冷却。 我们能够在短短一个月内帮助客户提高30%的速度。 因此,如果您正在寻求性能改进,我肯定希望在6月或7月之前开始。
Howie Ross: 是的,这是一个很好的方面,因为当我们到达秋季时,我们应该处于代码阶段,或者我们称之为代码冷却,当然,您知道是否存在严重错误或安全问题。 我们将进行解冻和修补。 但是,我们应该在那个时候有效地被压制下来。 因此,您知道这与我们的团队息息相关,您知道我们最重要的资产,我们的员工。 那么,我们应该与会员一起做哪些准备工作,以确保他们为这种增加的流量做好准备?
Ellery Womack: 我想我可以开始这一个。 我们的一些客户正在与我们合作进行事故模拟运行,并确保我们为事故响应流程做好准备,我们正在工作手册和客户工作手册中记录这一点。 就Tom而言,你知道你需要为这些事情做好准备,并做好准备,但你不知道你有多准备,直到你真正完成了试跑。
因此,我们可以通过观察工具触发警报,说明网站已关闭,我们遇到了一个重大问题,并确保此问题已正确上报,正确的人员在正确的时间范围内做出响应。 我们可以在通话中或战场中召集合适的人员,以有效的方式调试或诊断问题,确保您也准备好让合适的人员随时待命。 您是否有一个日历来显示满足即时响应流程中关键角色的人员何时可用? 所以你经常有覆盖,我强烈建议至少有两个人。 正如我们想说的那样,两个是一个,一个不是一个。
Tom Gorup: 好极了。 我喜欢这个。 是的,进一步说,准备工作非常重要,运行桌面练习,确保您知道您的流程,您将致电谁。 您知道,CEO什么时候会发现您受到攻击,对吗? 这些事情需要散列出来,否则它会是混乱的时机到来,但也只是一般的用户意识从安全的角度,假日季节,是一个伟大的机会,攻击者跳入,发送网络钓鱼电子邮件,寻找其他方法来挤进你的基础设施。 因此,在假期期间提高意识非常重要。
有很多电子邮件来回来回. 有很多黑色星期五交易和AND和链接正在共享. 这些信息中还有很多恶意因素。 因此,确保您的用户(从人力资源部门到工程师)都意识到存在的风险是很好的。 我们还有一个 攻击趋势报告 在Edgio出发。 我们要了解的一件事是所有CVE (常见漏洞和披露),所有在今年第一季度发现或更具体地讨论的常见漏洞。
我们进一步细分,看看常见的弱点。 因此,导致该漏洞的产品中存在的漏洞是什么,我们看到的漏洞是首要的,我们将其称为前三个漏洞,即远程执行代码,拒绝服务和特权升级漏洞。 当您考虑可以为工程师提供什么样的培训或认知时,这些培训或认知是3大培训,我们可以围绕远程代码执行在我们的应用中的外观进行一些额外的安全培训。 我们如何在规范层面实施预防措施。 在我们的应用中,拒绝服务攻击是什么样子的? 开始进行一些威胁建模,同时培训工程师如何在代码级别规避威胁。
Ellery Womack: 因此,在我看来,远程执行代码是关于执行代码和远程服务器。 人们可以做些什么来确保恶意攻击者不会将代码注入网站并开始进行某种类型的数据截取攻击(如Magecart)?
Tom Gorup:客户端保护(CSP)是一个很好的功能,您可以利用大量输入清理是远程代码执行端的另一个要素,那就是我们不希望服务器端运行任何内容。
我们可以做什么样的输入净化? Edgio本身可以确保API在通过生产线发送之前得到正确的消毒。 您可以将该纲要置于工具本身并执行清理。 有很多控制措施,你可以到位来保护自己。
Howie Ross: 快速提问,Ellery。 因此,假设您知道我们已经努力工作了数月,我们拥有分析和观察能力,能够检测到我们的流量和任何针对我们的攻击。 我们针对性能进行了优化。 我们已经进行了桌面练习,现在已经是秋季了,我们知道假日季即将到来,我们可能没有这么多的代码部署,或者至少我们希望不部署。 那么我们可以做些什么呢?
Ellery Womack: 您现在知道,在秋季,我们最终帮助客户的通常是微调大量监控,仪表板和分析。 你已经磨练了所有重要的事情,但我们还可以监视什么. 当您没有为客户提供新功能和新功能的压力时,这是一个很好的时机,我们实际上可以将更多精力集中在监控和可观察性上。
确保他们对此做好准备,并确保我们为那些打算关注玻璃监控的人提供正确的工具,尤其是在黑色星期五和网络星期一等日子。 我们通常关注Glass和定期检查Web应用程序和API健康状况的人员。 确保他们拥有所需的所有见解;您知道有意义的见解非常重要。
Howie Ross: 很棒的地方。 Tom,从安全角度来看,在秋季假期即将来临之际,我们有什么可以做的?
Tom Gorup:这对我们来说并不少见,就像我们的安全架构师一样,我们与客户一起微调应用程序,还微调WAF,Web应用程序防火墙以及爬虫程序管理。
爬虫程序管理是一个很大的问题,您也可以了解一下。 您希望确保您拥有良好的SEO评级,不想打破良好的爬虫程序,但您也希望保护特定于事件的页面。 也许你不希望新的初始页面被发布。 使用爬虫程序管理确保您拥有相应的控制措施,使用LAGH确保这些措施提前得到适当的保护。 我们在WAF上做了大量的调整,以确保我们阻止了正确的流量,允许,对不起,是的,阻止了正确的流量,还允许了良好的流量通过。
速率限制是另一个限制。 将您从负载测试中学到的信息应用到安全工具中,以确保您可以在服务器从前端翻转之前对前端进行保护。 这些都是我们提前做的事情。 它只是确保一切都被紧紧地紧固到位,因为我们希望一个成功的假期活动。
Howie Ross: 您提到爬虫程序管理,我只是想仔细检查一下,因为您知道,从安全角度来看,我们经常认为爬虫程序是恶意的,并试图在我们的网站上做恶意的事情。 他们试图接管人们的账户和这种性质的东西。 但您知道,爬虫程序对于这个假日季节流量的增加至关重要,因为爬虫程序是您所熟知的搜索引擎,也是其他服务用来了解我们网站提供的内容的工具。 您称之为爬虫程序管理,而不是缓解。 我们认为,针对好爬虫程序进行调整与调整以100%防止坏爬虫程序同样重要。
Tom Gorup:我们注意到的是我们的技术趋势报告正在构建这种技术 还有很多网络管理员阻止好的爬虫程序,他们不想被谷歌,Yandex索引的特定页面,你有什么. 这就是爬虫程序管理。 您可以阻止好的爬虫程序,而不会对您的SEO产生负面影响,但要有针对性地围绕这一点。 然后,我们还想阻止恶意爬虫程序,因为我们不想,也许我们不想浪费我们的价格或保留席位。 爬虫程序管理有很多价值。
Howie Ross: 好的。 所以你知道,我们已经进入了秋天。 假设现在是比赛日,是黑色星期五。 除了踢脚吃感恩节剩余的食物之外,我们现在还能做什么呢?
Tom Gorup: 我不认为有人只是在踢他们的脚,至少在安全行业。 这只是我们急切地准备好开始的时候。 你想跳过那顿丰盛的午餐,或者你可以得到一个,你知道火鸡昏迷就在控制台,这不是一个好地方去睡觉。 这都是动手演示文稿。 我们经常与客户建立桥梁,每个人都在桥上谈论您所了解的情况,我相信Ellery可以深入了解网站性能的可观察性。
然后,我们还会不断检查交通状况。 我们是否看到了攻击并打破了即使是最小的攻击,以确保我们能够确保空间安全。 安全不仅仅是保护应用程序免受攻击,还确保我们在这里最大限度地提高可用性,对吗? 当我们可以关闭Web请求或CPU周期时,为什么会浪费在我们认为已知的攻击上? 大量的审查,观看控制台,只是跟上与工程团队的步伐,网络团队,以确保我们都在锁定同步. 通常,我们会在这个时候打开它,然后运行346小时,确保我们对该事件有很好的报道。
Ellery Womack:然后,一旦你的班次结束,你可以做一些零售治疗与所有折扣。
Howie Ross:Ellery,除了这种零售疗法之外,工程和业务团队目前还在做什么?
Ellery Womack: 我们一直在做的一件事就是分析。 人们正在进行检查,以确保我们达到了目标。 我们的许多客户已经做了黑色星期五和网购星期一的模拟活动,他们做了促销活动,帮助他们预测需求高峰,加载和浏览用户的模式。 我们正在验证这一点,以确保我们获得正确数量的用户,我们获得正确数量的添加到购物车活动和人员,你知道,浏览产品和生成产品展示等。 我们正在确保事情符合我们的期望。 我们希望确保性能达到标准水平。 使用实时用户监控的运行工具检查实时性能数据非常有用。
您希望确保网站的行为符合其应有的方式。 从服务器的角度来看,静态资产和内容正在提供,而且用户的浏览器正在适当地呈现所有内容也是其中的另一个关键方面。 我们希望确保网站保持平稳运行。 除了网站的性能外,我们还对所有方面都有实时见解,但满足对业务利益相关者有意义的业务KPI和其他指标也很有意义。
我希望本文概述了各组织现在开始应该思考和真正执行的事情,以确保他们为这个关键的假日季做好准备。 我们谈到安全和性能测试以及补救措施在流量分析和其他见解方面具有适当的可观察性的重要性。 确保我们所有的安全协议和工具都已到位,最重要的是,我们的团队已做好准备,并将在这期间可用。 当我们知道很多人旅行,你想尝试花一些时间离开。 但考虑到这一年中的这个时刻对企业来说是多么重要,我们真心希望这为您提供了一些思考和一些行动,您可以立即采取这些行动。
我只想再次感谢Ellery和Tom加入我们的行列,并感谢大家收听Beyond the Edge的这一集。 下次见。
