傳統智慧認為企業必須在安全性成本與效能與使用者體驗之間取得平衡。 這一想法意味著安全是每次數字互動的一項稅。 為了實現最佳響應和載入時間,必須最大程度地降低安全性。 或更好,優化。 但是,在應用程序堆棧中添加安全性可以提高性能嗎? 我們發現答案是肯定的。 在本部落格中,我們將探討我們如何達成此結論,以及應用程式效能降低的安全性相關原因,邊緣如何緩解這些問題,以及客戶如何實現9 %的效能提升。
惡意流量和您的網站app
Edgecast (現在稱為Edgio)平臺每天處理數十億個請求。 我們的威脅情報引擎利用這一龐大的數據源分析安全模式,並更新支援我們的Web應用程式防火牆(WAF),爬蟲程序抵禦和其他安全服務的簽名。 平均而言,我們發現超過16,000個惡意請求正在探查一個典型網站。 這些探測是自動化的,可在24月7日對未受保護的Web應用程式和漏洞進行搜尋和探測。 這些請求可能會中斷您的服務,尤其是當您的應用程式已承受來自合法用戶的沉重負載時。
在惡意流量進入應用程式之前將其移除是改善效能的最佳作法。 如果您使用的是WAF,您已經在這樣做了。 但與您的來源的關係至關重要。 在CDN邊緣執行WAF可確保惡意流量被丟棄,並且不會代理回原始伺服器。
加速惡意requests
CDN利用暫存來減少源伺服器上的負載。 但現代CDN還優化CDN邊緣和源伺服器之間的動態內容請求。 這適用於惡意和合法流量。 大多數Web應用程式威脅都針對Web應用程式中的動態功能,例如登入服務,數據庫查詢和API。 除非過濾和刪除它們,否則CDN將把它們視為合法,並努力加速好壞。 假設您注重性能並使用CDN來改善用戶體驗和控制成本,您的應用程序堆棧可能會無意中優化所有請求,包括惡意請求,這會降低源站資源的性能,甚至使它們脫機。
WAF和延遲
WAF旨在解決上述挑戰。 WAF可以在應用程式體系結構的任何位置部署。 它的位置始終會影響您的整體應用性能-無論是好還是壞。 無論WAF是在伺服器上執行,在數據中心作為獨立設備執行,還是通過第三方服務執行,還是集成到邊緣結構或CDN中,WAF都是檢查每個HTTP請求的另一層。 延遲和往返時間是因素,特別是當多個第三方解決方案鍊接在一起時。 隨著組織部署WAF,爬蟲程序緩解和DDoS保護服務,這種情況越來越常見。
通過CDN提供商將WAF移至邊緣可以立即獲得性能提昇,因為它旨在與邊緣邏輯集成,利用線上處理來減少躍點。
WAF體系結構
在體系結構級別,WAF就像應用程式堆棧中的任何其他組件一樣。 WAF的設計會影響體系結構性能,包括原始功率(如CPU,RAM,SSD)和軟體組件(如WAF操作系統和規則集)。 每天都會發現新的威脅。 隨著時間的推移,這些新的簽名可能會導致WAF執行時間過長,並且需要處理更多邏輯。
如果您的目標是優化性能,則了解WAF提供商的方法至關重要。 Edgio不僅僅是向我們的WAF添加新簽名。 我們優化它們以利用我們的系統架構並配置它們以高效地協同工作,這就是我們在性能測試中擊敗領先的源安全軟體的原因。 有關詳細資訊,請參閱我們的技術文章“通過更快的安全規則提高應用程式性能”。
案例研究
一位潛在客戶正在審查我們的平臺,以提高其網站的性能。 在概念驗證過程中,我們的網路表現出了性能提昇。 但有趣的是,啟動WAF後,性能又增加了27%。
經過進一步分析,我們發現WAF正在阻止持續的第7層攻擊。 由於攻擊不是大規模的,因此不會導致災難性的中斷。 由於客戶端未使用WAF,因此他們不知道攻擊及其持續時間。
