Chúng tôi sẽ giới thiệu các thay đổi và mở rộng các vai trò mà các thiết bị SLB sẽ đóng từ năm 2010 đến 2020
Phát triển từ LB sang ADC, thay đổi kèo bóng đá môi trường hoạt động
kèo bóng đá những năm 1990 và 2000, khi trọng tâm đầu tiên là cân bằng tải máy chủ, các thiết bị tải trọng máy chủ cân bằng được viết tắt là LB (Bộ cân bằng tải) Tôi nhớ rằng các sản phẩm mạng có vai trò như vậy được gọi là ADC (bộ điều khiển phân phối ứng dụng) và các chức năng của chúng bắt đầu hoạt động tương đối ổn định giữa năm 2010 đến 2020
Cho đến bây giờ, vai trò chính là phân phối các máy chủ cục bộ và toàn cầu, các chức năng của WAF (tường lửa ứng dụng web) và các biện pháp đối phó DDOS để bảo vệ máy chủ, mã hóa/giải mã các mô tả được sử dụng rộng rãi
Hình: Hình ảnh của ADC với các chức năng khác nhau được triển khai
Cũng kèo bóng đá giai đoạn này, các môi trường duy nhất mà các thiết bị được vận hành đã được thay đổi từ môi trường tại chỗ thành môi trường lai của môi trường đám mây hoặc môi trường đám mây tại chỗ Vì môi trường được sử dụng đã được mở rộng, mục đích sử dụng cũng sẽ thay đổi và các cải tiến hơn nữa sẽ được thực hiện
Sử dụng chung các dịch vụ dựa trên web
Thay đổi từ quan điểm của người dùng giữa những năm 2010 và 2020 là các thiết bị di động tiên tiến (như cái gọi là điện thoại thông minh) đã trở nên phổ biến và các cơ hội truy cập dịch vụ trên cơ sở dựa trên web đã tăng lên
Sự phát triển của các chức năng của chính trình duyệt web và phần mềm chạy trên máy chủ giúp nhận được các dịch vụ khác nhau (như tạo tài liệu, xem video, giao tiếp, vv) mà không cần cài đặt bất kỳ phần mềm đặc biệt nào làm nguồn truy cập
Những thách thức được đưa ra bởi việc khái quát hóa các dịch vụ đó là làm thế nào để làm cho các dịch vụ dựa trên web an toàn để sử dụng và cách bảo vệ chúng khỏi các cuộc tấn công Các chức năng như các biện pháp đối phó WAF và DDOS đã được thực hiện kèo bóng đá LB để giải quyết các vấn đề này
Bảo vệ thông qua các biện pháp đối phó với WAF và DDOS
kèo bóng đá khi bạn có thể xem/vận hành nhiều thứ khác nhau trên cơ sở trình duyệt web, đó có thể là một điểm yếu Nếu đó là cục bộ, bạn có thể đảm bảo một mức độ bảo mật nhất định bằng cách chỉ cho phép truy cập từ một vị trí hoặc thiết bị cụ thể, nhưng các ứng dụng web cho phép truy cập vào bất kỳ ai trên thế giới yêu cầu bảo vệ dựa trên nội dung truy cập
WAF (Tường lửa ứng dụng web) là một cách để ngăn chặn các cuộc tấn công và rò rỉ thông tin bằng cách xem nội dung truy cập và phản hồi cho các ứng dụng web Ban đầu, LB có chức năng cân bằng tải L7 thay đổi máy chủ được phân phối theo nội dung của các gói được trao đổi trên HTTP, làm cho nó trở thành một thiết bị mạng hoạt động tốt với WAF
Ngoài WAF, chức năng đối phó với DDOS để bảo vệ máy chủ khỏi lưu lượng truy cập quá mức được thêm vào LB, cho phép ADC bảo vệ máy chủ được thực hiện ở trung tâm
Hình: Hình ảnh phòng thủ sử dụng ADC có chức năng WAF và chức năng đối phó với DDOS
Sự lan truyền của HTTPS, sự cần thiết phải giải mã bằng ADC
kèo bóng đá khi các ứng dụng web đã được sử dụng rộng rãi, mã hóa (HTTPS) của các liên lạc liên quan đến web được trao đổi qua mạng đã nhanh chóng tiến triển Trước đây, có nhiều trang web và dịch vụ chỉ trao đổi các khu vực muốn cải thiện bảo mật, chẳng hạn như nhập thông tin người dùng và số thẻ tín dụng, thông qua HTTPS, nhưng bây giờ các trang web được sử dụng phổ biến nhất được mã hóa tất cả các liên lạc bằng HTTPS
Các vấn đề phát sinh từ việc sử dụng rộng rãi giao tiếp HTTPS bao gồm khó khăn kèo bóng đá việc xem xét nội dung của giao tiếp, yêu cầu tài nguyên CPU để giải mã giao tiếp HTTPS và quản lý chứng chỉ trên nhiều máy chủ có thể khiến nó trở nên phức tạp để cập nhật quy trình, nhưng sử dụng các sản phẩm ADC có thể giải quyết các sự cố này
Như đã đề cập kèo bóng đá phần đầu tiên, các sản phẩm LB/ADC từ lâu đã được trang bị các chức năng gia tốc SSL dựa trên H/W và bằng cách đặt các sản phẩm ADC trước máy chủ, giao tiếp với máy khách có thể được mã hóa bằng cách sử dụng HTTP, kèo bóng đá khi giải mã
Nhiều thông tin liên lạc đã được giải mã và kiểm tra với ADC được gửi trực tiếp đến máy chủ bằng văn bản đơn giản Bằng cách giải mã mã hóa với ADC và trao đổi ADC và máy chủ bằng văn bản thuần túy, giao tiếp với máy khách có thể được chuyển đổi thành HTTPS mà không tăng tải trên máy chủ và quản lý chứng chỉ cũng có thể được ADC thực hiện
Không quên các biện pháp lỗ hổng
Cuối cùng, tôi muốn viết về các biện pháp đối phó dễ bị tổn thương cho chính ADC
Sự thay đổi kèo bóng đá phát triển này đã dẫn đến sự cần thiết phải cẩn thận về các biện pháp dễ bị tổn thương kèo bóng đá chính ADC Nếu những kẻ tấn công sử dụng các lỗ hổng kèo bóng đá các ứng dụng OSS không được sử dụng trực tiếp bởi các dịch vụ ADC như Apache, OpenSSL và BIND hoặc các lỗ hổng kèo bóng đá CPU, dịch vụ có thể không có sẵn dưới dạng ADC hoặc nó có thể cho phép xâm nhập trái phép
Hình: Xu hướng số lượng CVE đã đăng ký (lỗ hổng)
Có thể nói rằng một sự thay đổi được nhìn thấy từ năm 2010 đến năm 2020 là điều quan trọng đối với các hoạt động để chú ý đến thông tin lỗ hổng được cung cấp bởi các nhà cung cấp và các nhà cung cấp khác, và để đối phó ngay lập tức nếu tìm thấy lỗ hổng
kèo bóng đá cột tiếp theo của tôi, tôi muốn giới thiệu các xu hướng từ năm 2020 trở đi
tác giả
CTC Technology Co, Ltd
Trụ sở hỗ trợ kỹ thuật
Hỗ trợ kỹ thuật Phần 3
Morioka Nobushi
Tham gia CTC Technology Co, Ltd
Là một kỹ sư mạng, ông đã cung cấp hỗ trợ kỹ thuật cho L1 đến L7 kèo bóng đá hơn 20 năm
Cô ấy giữ trình độ cấp cao nhất cho F5 và A10
