“中國會員電商第一股”雲集的反爬蟲攻防戰 | 產業安全專家談

騰訊安全發表於2021-09-14



雲整合立於2015年,是一家由社交驅動的精品會員電商,被譽為“中國會員電商第一股”,資料資源積累量十分龐大。在資料的維護管理方面,過去雲集主要採用自建IDC方式部署,遷移到公有云後,伺服器和人工維護的成本大幅降低,最“瘋狂”的時候,一個運維人員可以直接管理一兩千臺的雲主機,這在過去是難以想象的畫面。


資料管理究竟該選擇雲伺服器還是自建IDC?選擇公有云後,資料安全問題該如何保障?電商行業備受困擾的網路爬蟲問題,公有云是否有對應的解決方案?針對以上問題,本期產業安全專家談邀請到雲集運維負責人吳兆榮,與大家分享雲集在反爬蟲攻防方面的實戰經驗。

“中國會員電商第一股”雲集的反爬蟲攻防戰 | 產業安全專家談

Q1:相比資料本地部署,公有云部署具有哪些優勢?

吳兆榮:首先,相比以往的自建例項,騰訊雲SaaS產品擁有較大價格優勢,實踐過程中,相同配置的服務,會有30%以上的成本節約。


其次,SaaS產品具備靈活性高、彈性伸縮等特點。電商是一個流量有明顯波峰波谷的行業,過度儲備我們的伺服器資源,會造成資源浪費。按照以往的操作,主機購買、部署、測試、驗證,需要花費大概一週的時間,而SaaS產品最後會將時間縮減到30分鐘。

 

Q2:資料“上雲”提升效率的同時,有哪些令人頭疼的網路安全問題?

吳兆榮:雲伺服器有其獨有的靈活優勢,雲平臺自身有一定的安全保障,雲租戶和雲平臺的安全能力是共擔的。雖然不用擔心基礎設施被攻擊,但是業務側本身對外開放,所以被攻擊的可能性也更大。


在業務側的安全方面,雲租戶一般要承擔主要責任。電商行業的商品資訊、交易資訊、會員資訊等重要資訊的價值很高,往往是黑灰產重點盯上的目標。會員資訊防止洩漏,商品資訊防爬蟲,應用服務防CC攻擊,營銷活動防“羊毛黨”等,都是電商行業普遍關注的安全問題。


上述資訊資料的攻擊者們,往往來源於競爭對手與黑灰產團伙,只要攻擊成功,獲利就很可觀。因此,相對於其他行業,電商行業面臨的網路攻擊,主要有集中性、長期性、多變性、技術先進性等特徵。

 

Q3:雲集是如何對抗這些問題的?

吳兆榮:從宏觀上,我們構建了縱深防禦的體系,從外到內覆蓋了DDoS、防火牆、WAF、主機安全、SOC等多個安全產品。同時,我們也會從多個維度進行防護,避免木桶效應造成的防禦短板,採取監控、識別、處理、最佳化的鏈路防護思路,對抗網路層DDoS攻擊。


從騰訊雲的平臺上,騰訊雲會給我們這樣的“大客戶”贈送一些免費防禦額度,一定程度上可以緩解網路層的DDoS攻擊。騰訊雲WAF作為網站應用流量的出入口,在面對HTTP Flood的DDoS攻擊(俗稱的CC攻擊)時有更好的防禦效果。同時,WAF還支援BOT防禦、SQL 注入、XSS 跨站指令碼、木馬上傳、非授權訪問等問題。


總之,我們認為,網路安全體系的建設並不是靜態的,而是不斷動態進化的,需要與攻擊者來回對抗,不斷進化提升防禦的水平。騰訊雲原生安全產品的易用性、快速響應,還有協同聯動能力都很不錯,是能夠適應動態多變的網路環境的。

 

Q4:雲集每年在網路安全上投入佔IT投入比大約多少

吳兆榮:雲集每年在網路安全上的投入會佔到伺服器成本的10%-15%。網路安全對於電商平臺至關重要,所以對於這方面的投入,我們認為這個比例是物有所值的。

 

Q5:面對網路安全的各種威脅,哪些安全產品/服務會讓您“眼前一亮”?

吳兆榮:騰訊雲WAF產品比較重新整理我之前對WAF的認識。相比於之前用過的傳統硬體WAF產品,騰訊雲WAF,無論是架構還是功能豐富度都遠超我們的預期。目前,我們正在使用騰訊雲的CLB-WAF(負載均衡型WAF),是去年底推出的旁掛式WAF。


做過運維的夥伴都知道一個痛點:閘道器式安全產品不敢隨便用。因為安全產品自身的不穩定性問題有可能導致業務故障,做旁路映象時無法及時攔截威脅。而騰訊雲CLB-WAF的旁掛式架構就沒有這個煩惱。簡單來說,旁掛式架構的原理是:CLB將業務請求映象給WAF叢集,同時等待WAF叢集反饋可信狀態來決定放行還是攔截,如果WAF叢集出現問題,一旦超時,CLB就會自動放行,不會影響業務轉發,這樣既解決了穩定性問題,又能及時攔截威脅,對於我們來說是眼前一亮的方案,目前已執行大半年,完全沒有因為WAF問題對我們業務造成影響。

 

Q6:網路爬蟲是電商行業的一大頑疾,你們是否有受到這方面的困擾?

吳兆榮:電商行業是爬蟲受害最嚴重的行業之一。針對電商行業的爬蟲,它有專業性高、變化多端的特點。相信電商行業大部分客戶,都會有這類的困擾。


目前雲集的反爬蟲策略,還處於不斷摸索、不斷進步的階段。雲集反爬蟲主要依賴騰訊雲WAF的BOT管理模組,它基於AI分析引擎,透過流量畫像匹配使用者爬蟲,從而建立模型和行為標籤,提供給我們爬蟲和IP情報,快速識別爬蟲行為,從而進行相關的干預。

 

騰訊雲WAF近期推出了“情報IP”功能,我們試驗下來效果非常明顯。只要某個電商客戶出現過爬蟲攻擊行為,該爬蟲就會自動加入到我們的情報IP中。當我們再次遇到這類爬蟲,WAF就會進行自動封禁。目前看來,這個功能在業內還是比較創新的,我們非常期待它長期的效果。




相關文章