9月16日,Distributed Cloud|2021全球分布式云大会在上海举办,京东云安全产品部总监肖思兴出席主论坛,做《京东云星盾:分布式云上应用安全交付实践》的主题分享,同时京东云星盾凭借在安全防护、应用加速方面领先的一站式解决能力,荣获“分布式云最佳产品奖”。
在云安全领域,京东云围绕云的产品架构,从边界、业务、系统、开发运维以及安全运营管理等方面推出了数款企业级的安全产品。除此之外,京东云还提供专业的安全服务,帮助客户做等保合规、风险评估、安全众保、安全培训等业务,以下为现场分享内容。
多云及云边计算相结合的方式将会是未来应用架构的发展趋势
从产品技术看
以资源的角度分析,云提供的是计算存储网络,包括快速交付、按需付费等。除此之外,运行环境对云同样重要。在企业上云之后,除了使用这些资源,同时还需要用到大量的PaaS中间件产品,这些产品有些是基于开源的软件,提供了托管式服务,有些是企业自研的PaaS产品。企业在集成这些PaaS产品的时候,需要用到SDK。实际上企业在开发应用的时候,是针对一个云来做开发应用,而应用运行在一朵云上再迁移到其他云上的时候,成本会非常高,需要对业务应用系统进行重构,这就是单云锁定的问题。
现如今,除了云厂商做了PaaS产品服务以外,还有很多开源软件提供云上托管式的PaaS产品和服务。而除了开源云厂商,还有很多实力出众的初创公司也在提供PaaS产品。
很多企业都是通过K8S平台进行容器化的交付部署,屏蔽了各个云底层不一致的情况,可以帮助企业快速进行多云之间的应用部署,真正做到一次编译构建,然后到处运行。
从企业自身发展看
企业在采用多云战略后,会引入多个竞争对手,这样有利于企业获得更具性价比的产品和服务。对于企业来讲,很多应用需要快速推向市场,而对于所需的技术,企业不可能都是自己来构建,像现在大量使用直播推流、分发以及消息系统等产品,企业在选择合作伙伴的时候,要选择更适合企业自身的产品,然后快速建立属于企业自身的业务系统,甚至企业可以要求这些供应商帮助进行定制化的开发。
从单云与多云产品看
在单朵云上会出现各种各样的问题,在面对这些问题的时候,企业是被动等待业务恢复还是主动做一些迁移,在云间做切换来恢复服务,这是很重要的一点。而多云会带来几个好处:跨地域部署;关键数据灾备;业务场景爆发。
京东云推出的混合云操作系统云舰,给客户提供多云一致的容器运行环境,提供多种PaaS能力,包括TPaaS,数据库、中间件等,联手合作伙伴丰富PaaS产品,此外提供了APaaS产品,里面包括DevOps/微服务等。
关于应用交付的三点需要,首先是应用路由,集群之间需要有负载均衡的能力,除了请求流量,还需要进行业务维度的处理,比如说在零售的场景,云舰做了专业化部署。然后是边缘渲染,它是在服务端生成,但是会存在时延大的问题。
除了以上功能需求,做应用交付还要解决以下几个问题。第一个是安全,避免攻击对应用导致业务中断、数据防窃等行为导致企业直接的经济损失;第二个是低时延,避免性能降低业务转换率,企业对用户体验重视程度越来越高,有一个案例,加载时间增加1秒的话,转换率减少7%;第三个是灵活、可编程,利用多云进行AB测试、灰度发布、负载均衡等功能。
京东云星盾:混合云应用安全实践
京东云星盾:新一代分布式安全防护架构
京东云星盾的推出,主要解决了进行应用交付所存在的安全、低时延以及是否灵活可编程的问题。
京东云星盾是为混合云多云应用打造的一站式SaaS应用交付平台,每个边缘节点均部署完全一致的软件栈,无需代理实现安全防护、全站加速应用路由、负载均衡等功能。
在传统交付领域,很多硬件产品首先部署在边缘上,这就会让时延变得更低。现在采用多云站点之后是去中心化的基础设施,是怎么从多云上拿取这些内容的问题。
此外可以做到近缘防护,从防御的成本上来说是最低的,可以帮助企业节省大量的带宽、计算成本。
京东云星盾提供了安全、加速、负载均衡、边缘、函数计算等功能,安全防护提供了WAF、SSL以及爬虫管理、DNS,以及在网络整合应用层进行DDoS防护。对于WAF防火墙,首先面对Web的攻击防护,进行了安全漏洞的覆盖,可以更好针对安全组件做漏洞防护。目前WAF产品防护能力目前已经进入Gartner的第一象限。
基于上述的这些功能,接入星盾可以帮助企业进行全站加速、反爬与防恶意刷单、防挂马、防拖库、抗拒绝服务攻击、全站HTTPS升级:免费提供品牌SSL证书。
业内领先的BOT机器人识别技术,有效保护企业数据
目前,在BOT领域的技术挑战依然很大。京东云星盾引入行为分析、机器学习手段,以及通过大量的用户访问数据来训练得到这个模型。该模型针对每个请求会打出一个分值,这个分值越高,说明机器人的概率越大。在接入一段时间后,面板上会显示出历次请求的分布情况,这对后续进行安全规则建设的时候,就可以首先评估这套规则的影响范围,做到精准防护,再结合WAF,做一些挑战论证。
Worker:京东云星盾边缘函数计算平台
在京东云星盾里的Worker产品,是边缘函数计算平台。基于这个平台,企业可以实现定制化、个性化的需求。这些程序运行在边缘节点上,触发这些程序运行有两种方式,一种通过HTTP请求,还有一种设置一个定时任务方式。
对于函数计算,有两个问题值得关注,一是安全隔离,二是启动延时。对于安全隔离,Worker产品利用沙箱技术,把风险暴露面降到最小。对于冷启动,Worker产品可以做到零时延,属于业内领先;同时Worker产品支持一些主流语言的使用,比如像JAVA Script、Python、PHP等语言。
一站式全站HTTPS升级
京东云星盾可以帮助企业做全站HTTPS安全升级,企业不需要购买任何证书,代码不需要进行修改,京东云星盾可以自动识别,完成全站HTTPS的改造。
多云一定是未来发展趋势,很多企业已经采用多云的战略,在去中心化的IT架构当中,企业可能需要像边缘计算这种技术来更好地完成应用交付,星盾会为用户带来非常稳定强大的支持。