DE{CODE}: Edge Neden Bir Edge Örneği Değil?
Yayınlanan: 2023-02-12Uçta olduğunuzda, hız, güvenlik ve sunucu sağlığı sonradan düşünülemez. Bu oturumda, Cloudflare Ürün Başkan Yardımcısı Sergi Isasi ve WP Engine Ürün Müdürü Pavan Tirupati, oluşturduğunuz veya sürdürdüğünüz her web sitesinin başarısı için uç önceliği zihniyetine sahip olmanın neden gerekli olduğunu tartışıyor
Oturum Slaytları
Tam Metin Transkript
PAVAN TIRUPATI : Selam millet. Yaşın gerçekten uç bir durum olmadığını anlatan bu oturumda bize katıldığınız için teşekkür ederiz. Ben, The Outreach ekibiyle birlikte WP Engine'de Ürün Müdürü olan Pavan Tirupati ve WP Engine müşterilerini büyütmek ve güçlendirmek için uç noktanın güvenliğinden, performansından ve güvenilirliğinden birincil derecede sorumluyum.
Ve bugün Cloudflare'den bize katılan Ürün Yönetiminden Sorumlu Başkan Yardımcısı Sergi. Sergi, kendini tanıtmak ister misin?
SERGI ISASI : Tabii. Beni kabul ettiğin için teşekkürler, Pavan. Ve oturumumuza katıldığınız için herkese teşekkür ederim. Pavan'ın dediği gibi, Cloudflare'de Uygulama Performansı Ürün Başkan Yardımcısıyım ve uç noktamızın performansına ve güvenilirliğine odaklandım. Tüm müşterilerimiz için işleri hızlı ve güvenilir hale getirmek istiyoruz. Ele aldığım ürünler, Cloudflare'in uçta, yani hem katman 4 hem de 7'de trafiği nasıl aldığı ve işlediğidir. Buna önbelleğimiz, proxy'miz, FL spektrumumuz, DNS sistemlerimiz gibi Cloudflare'ın temel teknolojisi, sertifika yönetim sistemlerimiz ve IP adresi yönetim sistemleri ve ardından yeni uç uygulamalar, yani yük dengeleme, yepyeni Bekleme Odası ürünümüz ve yakında çıkacak Web3 ürünlerimiz.
Yaklaşık 4 ve 1/2 yıldır Cloudflare'deyim. Ve yine, bugün burada olduğum için mutluyum.
PAVAN TIRUPATI: Muhteşem. Ve bugün, Edge'in tam olarak ne olduğunu, nasıl yararlı olduğunu ve başlığın da belirttiği gibi Edge'in neden artık bir Edge vakası olmadığını daha derinlemesine incelediğimiz harika bir oturumumuz var çocuklar. Sizler için hazırladığımız ajandamız, Edge'in ne olduğunu ve bunun faydalarını daha derine inmek. Ve bu zamanlar göz önüne alındığında, güvenliğe daha fazla odaklanmak çok önemlidir.
Bazı örneklerden bahsedeceğiz ve bazı güvenlik tehditlerinden bahsedeceğiz. Edge'in buradaki kitle ve dünyada dijital varlığa sahip herkes için nasıl faydalı olacağına da bakacağız. Ayrıca, bu güvenlik tehditlerinden ve sorunlarından bazılarını yaşayan insanlar için faydalı olabilecek bazı özel örneklere de bakacağız.
Bu yüzden heyecan verici, becerikli ve anlayışlı olacak. O halde burada bazı bağlamlar belirleyerek başlayalım. Kenarın ne olduğuna dair bir temel belirlemek istiyorum. Şirketlerin, geliştiricilerin doğrudan dijital deneyimler yaratma ve kontrol etme becerileri üzerine kurulu bir oluşturucu kültürüne geçiş yaşadıklarını söylediğimde, kimsenin şaşırmadığını düşünüyorum.
Siteler ve uygulamalar yekpare yapılardan daha çok mikro hizmet mimarisine geçtikçe, çeşitli kaynaklardan içerik sunma yeteneği giderek daha önemli hale geliyor. Ve bazen son mil olarak da adlandırılan, aslında son kullanıcılarımıza en yakın olan internetin bir parçası olmanın sınırlarını biliyor ve anlıyoruz. Ama ayrıntılara girmeden önce Sergi, seyirciye üstünlüğün ne olduğu ve hatta neden kritik olduğu konusunda bir seviye belirlemek istiyorum.
SERGI ISASI: Tabii. Bu nedenle, bulut bilgi işlemde uzun zamandır “bulut yalnızca başka birinin bilgisayarıdır” şeklinde bir söz vardır. Bu sözü gerçekten seviyorum. Bu, masaüstünüzde veya dizüstü bilgisayarınızda sahip olacağınız şeyin aynısı olduğu anlamına gelir, ancak onu yalnızca başka biri yönetiyor. Ve kenar tamamen aynı şey, sadece kullanıcıya daha yakın.
Bu neden önemli? Cloudflare'da her şeyin kullanıcıya olabildiğince yakın olmasını istiyoruz. Ve gerçekten söylediğin o ifadeye iniyor, ki bu son mil. Bu nedenle, yazılımınızı ne kadar hızlı yaparsanız yapın, ne kadar verimli hale getirirseniz getirin, bir şeye tepki verseniz bile - yazılımınız milisaniyenin altında çalışabiliyorsa, yine de ışık hızına mahkumsunuzdur. Ve yazılımınız kullanıcının cihazında değilse veya kullanıcıya mümkün olduğunca yakın değilse, kullanıcı o küçük gecikmeyi yaşayacaktır. Ve bazen bu gecikme iyidir ve bazen son kullanıcı için çok ama çok sarsıcıdır. Dolayısıyla amaç, uçta son kullanıcıya yakın olmanın mantıklı olanını veya çekirdeğe yakın olanı optimize etmektir.
Ve Cloudflare'in yaptığı şey, her şeyi uç noktalara taşımaya çalışmak. Bence benden bu sohbeti yapmamı istemenizin nedenlerinden biri, tartışmasız dünyanın en büyük uç ağlarından birini yönetmemiz ve açıkçası bundan inanılmaz derecede gurur duymamız. Cloudflare 10 yıldan biraz daha eski ve bu ağı bunca zamandır inşa ediyoruz. 250 şehirde, 100 farklı ülkede, dünyadaki internet kullanıcılarının %95'inin 50 milisaniye yakınında olma hedefiyle – ve aslında bu hedefe ulaştık – büyüdü. Ve yine, son mil - 50 milisaniye içinde olabilirsek, bu son kullanıcıların her biri için çok daha hızlı olabiliriz.
Diğer kısmı ise diğer ağlara bağlanmak. Bu nedenle, dünya genelinde 10.000 başka ağa, örneğin birçok yerel ISP'ye bağlanıyoruz ve ardından kendi omurgamızı da işletiyoruz, bu nedenle çekirdeğe veya kaynağa gitmemiz gerektiğinde bu trafiğin ana taşıyıcısını yapıyoruz. daha hızlı. 2021'i saniyede 100 terabit'in biraz üzerinde bir kapasite ile kapattık. Hem müşterilerimiz için trafikteki artışlar hem de müşterilerimize ve ayrıca kendi ağımıza yönelik saldırılardaki artışlar için yatay ölçeklendirme söz konusu olduğunda bu önemlidir.
Son 30, 40 yılda bilgi işlemle ilgili ilginç olan şeylerden biri, nerede anlamlı olduğuna ve o sırada tüm bilgi işlem gücünün nerede olduğuna bağlı olarak uçtan çekirdeğe ve istemciye ileri geri geçişidir. Dolayısıyla, halka açık internete kadar tüm yolu düşünürseniz, ana bilgisayarlarınız vardı. Çekirdekte çok fazla bilgi işlem gücünüz ve uçta çok az bilgi işlem gücünüz vardı ve bunu ileri geri değiştirmek için gerçekten küçük miktarlarda bant genişliğiniz vardı. Yani ana bilgisayara komutlar gönderiyordunuz ve o da size bu komutların sonuçlarını metin olarak geri gönderecekti.
Oradan uç noktadaki pek çok ilerlemeye geçiş yaptık, böylece çok sayıda şişman istemciye sahip oldunuz – Windows, Microsoft Word, şu anda uç noktada çok fazla işlem yaptığınız ve ardından bunu tipik olarak geri gönderdiğiniz tüm o şeyler bu içeriği paylaşmak için çekirdek.
Uç ve çekirdek güçlendikçe bulut uygulamalarını görmeye başladınız. Bu değişikliği cihazınızda yapmak yerine, değişikliği bir web tarayıcısında yaptınız ve bu, paylaşım için diğer cihazlara yayıldı. Mobil cihazlarımız olduğunda bu gerçekten önemli hale geldi, özellikle daha az bilgi işlem ancak çok daha fazla bant genişliğine sahip erken mobil cihazlar.
Peki bu neden kritik? Bu gerçekten tamamen kullanıcının hız beklentileri ile ilgili. Dolayısıyla kullanıcı her zaman iyi bir kullanıcı deneyimi ister. Ve özellikle bugün, iyi bir kullanıcı deneyimi fikri bir tür anlık etkileşimdir. Bir bağlantıya tıklıyorum, bir düğmeye basıyorum, bir şey oluyor ve nerede olduğu gerçekten umurumda değil. Nerede olduğunu bile bilmiyor olabilirim ama hızlı olmasını istiyorum.
Değişen diğer bir şey de kendimizi bulduğumuz çevredir. Dolayısıyla, büyük ölçüde bu cihazlar daha güçlü hale geldiği için önemli ölçüde daha fazla saldırı var. Ardından, güvenlik ve mahremiyet yalnızca kullanıcılar için değil aynı zamanda hükümetler için de öncelikli hale geldiğinden, pek çok değişen düzenleme görüyoruz. İşte bu nedenle Cloudflare, POP'ları eklemeye devam ediyor. Daha fazla kullanıcı görüyoruz, daha fazla trafik görüyoruz, daha fazla saldırı görüyoruz ve uç noktalara yerleştirebileceğimiz ve bu son kullanıcılar için güçlü hale getirebileceğimiz daha fazla kullanım durumu görüyoruz.
PAVAN TIRUPATI: Muhteşem. Biraz pop'a girebilir miyiz? POP nedir? Ve zaman içinde KOK'larda neler değişti? Ve özellikle POP'un Cloudflare uygulamasını incelersek, benzersiz olan nedir?
SERGI ISASI: Bunu geri getirdiğin için teşekkürler. KOK'ları çok söylüyorum ve bunun ne anlama geldiğini belirtmeliyim. Bu bir internet Varlık Noktasıdır. Ve Cloudflare durumunda ve diğer birçok durumda, birinin bir POP hakkında konuştuğunu duyduğunuzda, bunun anlamı, bir yerde duran ve yazılım çalıştıran bir sunucu yığınıdır.
Zaman içinde neyin değiştiğine gelince, neyin değiştiğine karşı neyin değişmediği hakkında konuşmak aslında daha kolay. Ve buna biraz gireceğiz. Yani 11. nesil sunucularımızdayız. Blogumuzda bu yinelemelerin her biri hakkında yazıyoruz. Uç noktalarda daha hızlı bilgisayarlar almaya devam ediyoruz ki bu harika. Daha düşük maliyetler, daha fazla yetenek ve son kullanıcılar için genel olarak daha iyi şeyler anlamına gelir.
Zaman içinde değişen ilginç şeylerden biri, aslında üç farklı CPU mimarisine veya aslında iki farklı CPU mimarisine, üç üreticiye uygulamış olmamızdır. Bu yüzden hem Intel hem de AMD çalıştırıyoruz ve ayrıca ARM'yi de uç noktamızda çalıştırıyoruz.
Zamanla değişen diğer bir şey de, sadece konum eklemeye devam etmemiz. 10 yılı aşkın bir süre önce piyasaya sürdüğümüzde kaç taneye sahip olduğumuz benim için net değil. Düzine aralığındaydı. Ancak, erken bir Cloudflare hayranı olan, kurucularımızı tanıyan CTO'muzun komik bir hikayesi var, ancak Avrupa'da bulunduğu yere yakın bir POP alana kadar Cloudflare'a katılmayı reddetti. Bu ne zaman gelecek dedi. Ve sonra katılacağım.
Lokasyonlarımız öncelikle talebe bağlı olarak büyüdü. Yani bir bölgede çok fazla trafik görüyorsunuz, genellikle bir bölgeye donanım koymak ve orada trafik hizmeti vermek aslında daha ucuzdur. Biz de ilk başta bunu yapmaya başladık.
Büyüdüğümüzde, yerel ortakların veya ISP'lerin kendileri ve son kullanıcıları için işleri daha verimli hale getirmek için bizden bölgede donanım oluşturmamızı istemeye başladıklarını görmeye başladık. Bu, Cloudflare'in dünyasında ilginç bir deniz değişimiydi.
Asıl hedefimiz, son kullanıcıların 100 milisaniye yakınında olmaktı. Sonra daha iyisini yapabileceğimizi anladık. Şimdi 50 milisaniye hedefimiz var. Ve yıllar geçtikçe bunun daha da küçüldüğünü görürseniz şaşırmam.
Değişmeyen şey, çok erken bir tarihte, bize özgü ve oldukça önemli bir seçim yapmış olmamızdır; bu, her konumdaki her uç sunucuda aynı yazılımı çalıştıracak olmamızdır. Bu, mühendislik ekiplerimizin çoğu için daha kolay bir seçim haline geldi. Her cihazda neyin çalıştığını biliyoruz ve orada sorunları biraz daha verimli bir şekilde giderebilir ve çalıştırabilirsiniz. Bazı mühendislik ekiplerimizin de bu nedenle çok daha fazla işi var.
Hem uzun vadede hem de kısa vadede işleri ölçeklendirmeyi çok daha kolay hale getiriyor. Kısa vadede, yüke ve o noktada o noktada ne olduğuna bağlı olarak kaynakları gerektiği gibi farklı hizmetlere taşımamızı sağlar. Her makinede yatay olarak ölçeklendirebiliriz.
Uzun vadede, yeni makinelerin nereye gitmesi gerektiğine proaktif bir şekilde karar vermemizi sağlıyor çünkü tüm yığını çalıştırmamız gerektiğini biliyoruz. Mühendislik ekiplerimiz ve özellikle ürün mühendisliği ekiplerimiz için diğer büyük avantaj, hizmetler genelinde tutarlı performanslara sahip olmamızdır. Bazı konumların belirli kullanıcı türlerine daha yakın olması ve bu nedenle daha hızlı olması ve farklı bir deneyime sahip olması bizi endişelendirmiyor. Sunucular arasında ve dünya çapında tutarlı olacak.
Ve sahip olduğumuz en büyük değişikliklerden biri – bu, bu noktada muhtemelen üç yaşında – artık müşterilerimizin kodlarını Workers ürünümüz aracılığıyla uç noktamızda çalıştırmalarına izin veriyoruz. Ve buradaki güzel avantaj, o müşteri ürününü dağıtmayı seçtiğinde, aslında dünyanın bölgesini seçiyor. Onları, Batı ABD'de yarışmak istiyorum ya da neyiniz var demeye zorlamıyoruz. Yazılımları tüm konumlarda konuşlandırılmıştır ve gözbebeklerine mümkün olduğunca yakın çalışır.
PAVAN TIRUPATI: Harika. Peki kenar, çekirdekle nasıl karşılaştırılır?
SERGI ISASI: Tabii. Yani biraz mimarinize bağlı. Ve bazı mimariler için uç, çekirdektir ve çekirdek de uçtur. Tek bir yeriniz varsa, her şeyi aynı anda yaparsınız.
Bununla birlikte, genel olarak, uç bilgi işlem için daha hızlı ve daha verimli olacak ve çekirdek, sırları ve yapılandırmayı sakladığınız ve verileri çekirdekten uca aktardığınız yerdir.
PAVAN TIRUPATI: Cloudflare'nin bir çekirdeği var mı? Ve eğer öyleyse, nasıl uygulanır?
SERGI ISASI: İlk günden itibaren, evet. Ve bunun hakkında pek konuşmuyoruz. Bu biraz ilginç. Ama bir düşünürseniz, 2009'da kurulduk ve bu nedenle 2009'da her şeyi uç noktalarda çalıştırmak inanılmaz derecede pratik değildi ve bazı şeyler için şimdi pratik değil.
Peki çekirdekte ne çalıştırıyoruz? Konfigürasyon yönetimi– bu yüzden yazılımı zorlamalıyız. ve bunu bir yerden yapmalıyız, bu yüzden hala Cloudflare yazılımını, tüm yeni sürümlerimizi zorluyoruz, her gün kodumuzu çekirdekten uç noktaya zorluyoruz. Ardından, hala temel veri merkezlerimizle konuşan müşteri yapılandırmasını da çalıştırıyoruz. Ve oradan kenara gider. Ve aslında burada WP Engine ve DNS yazılımımızdan ilginç bir hikaye.
Bu nedenle, ilk günlerde Cloudflare, açık kaynaklı DNS yazılımı olan PowerDNS'i çalıştırıyordu. Ve 2013'te kendi DNS yazılımımız olan dahili olarak RR DNS dediğimiz bir şey oluşturmaya başladık. Ve çok verimli bir yazılım parçası. Yüzbinlerce kayıt türünden bazı bölgelerimiz vardı ve her şey bu gereksinimlere göre nispeten iyi ilerliyordu. Sonra WP geldi ve bölgemizde muhtemelen bir milyondan fazla kaydımız olduğunu söylediler. Ve güncelleme hızı, yani bir değişiklik yapma ve bunu bizim sınırlarımıza taşıma yeteneği inanılmaz derecede kritikti, çünkü bu, bir müşterinin katılım sağladığı ve bu deneyimi yaşaması gerektiği anlamına geliyordu. Ve bu bizim için gerçek bir uç vakaydı. Biz de buna baktık ve dedik ki, tamam, çekirdeğimizi nasıl yönettiğimiz konusunda yeniden çalışmamız ve bu trafiği hem içeriğin boyutunu hem de güncelleme hızını ve sıklığını işlemek için uca göndermemiz gerekiyor.
2016'da, DNS mühendislerimizden biri olan Tom Arnfeld, WP Engine ile gerçekten ne istediğinizi ve neden istediğinizi ve 2017'de nasıl görüneceğini ve nasıl görüneceğini gerçekten anlamak için oturup konuşamayacağını sordu. 2022, artık buna beş yıl kaldığımıza göre. Ve böylece 2017'de yaptığımız şey, CEO'muzun isteği üzerine verileri sihir gibi kenardan taşımak için DNS yazılımımızın tüm veri yapılarını yeniden yazmaktı. Ve aslında ihtiyacı olan bir müşterimizin olduğu şeylerden biriydi, bu ihtiyacı karşılamak istedik, ancak verileri çekirdekten uca nasıl taşıdığımızı yeniden düşünmemiz gerekti.
Hâlâ özünde yaptığımız bir başka şey de analitiktir. Böylece telemetri uçtan çekirdeğe gelir. Müşterilerimiz, analizlerini görüntülediklerinde bir panoya veya bir API'ye giderler ve bunların tümü çekirdekten sunulur.
Zamanla, müşteri boyutu ve artan saldırı karmaşıklığı, aslında telemetriyi nasıl yaptığımızı yeniden düşünmemize neden oldu. Örneğin, önceden tüm DDoS tespit yazılımlarımızı çekirdekte çalıştırırdık. Böylece telemetri uçtan gelirdi, çekirdek derdi ki, bu bir DDoS'a benziyor ve hafifletmek için verileri uca geri gönderiyordu. Bu, bazı DDoS saldırıları için yeterlidir, ancak diğerleri için bu kararı gerçekten uçta vermemiz gerekir. Bu nedenle, çekirdeği birkaç yeni sistemle çalıştıran orijinal Gatebot sistemimizi, geçen yılın ortalarında, aslında uçta çalışan ve çekirdekten bağımsız kararlar veren ve ardından geri bildirimde bulunan, böylece sürekli olarak saldırıya uyum sağlayan orijinal Gatebot sistemimizi güçlendirdik. yüzey.
Temelde konuşacağım son şey, bugün makine öğrenimimizin çoğunu çekirdekte yapıyoruz. Özellikle güvenlik ürünleri için makine öğrenimine büyük ölçüde güveniyoruz. Ancak uçta bundan daha fazlasını yapmak istiyoruz çünkü muhtemelen DDoS sistemiyle benzer bir model görüyoruz. Bu nedenle, makine öğrenimimizin daha fazlasını uçta da çalıştırmaya başlamak için NVIDIA ile ortaklık kurduk.
PAVAN TIRUPATI: Sergi, DDoS ve güvenlikten bahsettiniz. Özellikle güvenlik son derece kritik olduğu için, bunu biraz araştırmak istiyorum. Bazı trendler ve gördüğünüz şeyler neler?
SERGI ISASI: Elbette, bizim için biraz kırık bir rekor, ancak DDoS saldırıları rekor kırıyor. Her yıl bu rekoru kırıyoruz. Bunun nedeni, botnet'lerin aslında boyut olarak büyümesi ve daha güçlü cihazlardan yararlanmasıdır. Bu nedenle, cep telefonunuzun veya bilgisayarınızın önceki yıla göre ne kadar hızlı olduğunu düşünürseniz, her ikisinin de büyük saldırılar başlatmak için giderek daha fazla kapasiteye sahip olmaları mantıklıdır; Kısa bir süre önce “saniyede 2 terabayt” saldırısı – Duyduğumuz en büyük ikinci saldırı – ve ayrıca çok fazla aktarım hızı olmadan bazı şeyleri yapabilen daha akıllı saldırılar, ama belki çok fazla istek ve pahalı istekler.
Gerçekten burada bahsettiğimiz şey, saldırılardan daha fazla karmaşıklık. Ve en ilginç olduğunu düşündüğüm istatistik, biz bir şey
az önce bahsettiğimiz şey, bizim uç noktamızdaki trafiğin %8'inin hafifletilmiş olmasıdır. Bu nedenle, biz herhangi bir kural veya buna benzer bir şey yapmadan önce, %8 tamamen kaldırılır; bu, uçta güvenlik yapmayı düşünen bir müşteri için, uygulamalarında birçok işlemden ve etkileşimden hızla kurtulabileceği anlamına gelir. bir tür saldırı olduğu için istemediklerini veya ihtiyaç duymadıklarını açıkça ortaya koyuyorlar.
PAVAN TIRUPATI: Evet, ve WP Engine'de, ağ tekliflerimizden biri olan Advanced Network'ü tüm müşterilerimiz için varsayılan hale getirmeye çalışıyoruz, böylece bu ek güvenlik katmanından faydalanabilirler. Ayrıca, ek güvenlik düzeyleri ve katmanları arayan müşterilere daha uyumlu olan güvenlik teklifimiz GES ile daha önce görülmemiş bir büyümeye tanık oluyoruz. Ve beraberinde gelir – GES, bir web uygulaması güvenlik duvarı ve Argo Smart Routing ile birlikte gelen bir şeydir.
Ancak burada vurgulamak istediğim bir şey şu ki, WP Engine müşterilerinin %65'i şu anda bu ağların hiçbirinde değil. Argo Akıllı Yönlendirme ve WAF, kesinlikle fayda sağlayabilecekleri bir şeydir. Öyleyse, bu akıllı yönlendirmenin ve WAF'ın bir Cloudflare perspektifinde nasıl çalıştığını biraz genişletebilir misiniz?
SERGI ISASI: Tabii. Yani Argo çok ilginç bir ürün. Cloudflare'a çok özel ve aşina değilseniz biraz kafa karıştırıcı bir şey. Yani Argo, bahsettiğim telemetriyi, uç telemetriyi alıyor ve aslında internet üzerinden daha iyi rotalar arıyor. Dahili olarak, internet için Waze gibi bir söz var, sanırım bu biraz işe yarıyor. En sevdiğim benzetme değil ama makul bir benzetme.
Çünkü bazen rotalar verimsizdir ve tutarlı değildir. Yani bugün, doğrudan orijine gitmek daha hızlı olabilir ve bazen olmayabilir. Bazen bir tür internet sıkışıklığını atlatmak için bir Cloudflare ucundan diğerine geçmek bizim için daha anlamlı olur.
Argo'nun en önemli noktası, hem kullanıcıdan uca hem de uçtan kaynağa kadar son mil verimliliğini %40 oranında düşürmesidir; çünkü muhtemelen içeriğinizin tamamını uçtan sunmuyorsunuzdur. Ve bu, temelde bir düğmeye basarak ve uygulama için herhangi bir kod değişikliği gerektirmeden büyük bir artış.
PAVAN TIRUPATI: Bu aslında oldukça anlayışlı. Teşekkürler. Müşteri tabanınız için ne gibi değişiklikler gördünüz? Saldırılardaki artışın ve saldırıların gerçek yüzeyinin pratik etkisi nedir?
SERGI ISASI: Bence 2020'deki ve 2021'deki büyük değişim, fidye yazılımı saldırılarının ve farklı türde bir fidye yazılımının yükselişini görmeye başlamamız, yani uç noktayı ele geçirip şifreleyen bir yazılım değil, bunun yerine saldıracağız. ve bize ödeme yapmazsan seni alaşağı ederiz.
2020'de bunlardan epeyce gördük. 2021'de bir artış ama modelde bir değişiklik gördük. Ve model değişikliği, genel olarak bir hedef bulmaktan ziyade, aynı sektörde bir hedef bulmaktı. İlginç olan, çok sayıda seslendirme IP ve telekonferans şirketinin hedef alındığını gördük. Mantıklı, değil mi? Herkes daha çok uzaktan çalıştığı için bu hizmetler kritikti. Saldırganın orada çok açık bir hedefi olması için hem kullanıcıların hem de sağlayıcıların çevrimiçi kalması önemliydi.
Hala geçerli olan bir şey, paylaşılan zekanın önemli olduğudur. Her bir müşterinin hedef alındığını görürken, bu uygulamalara aynı saldırı modellerinin girdiğini görüyorduk, bu da bizim gibi o trafiği gören birinin işini kolaylaştırıyor, bizim engellememizi kolaylaştırıyor.
PAVAN TIRUPATI: Evet, öngörülebilirlik veya kalıplar aslında verileri anlamada iyidir, yani bunu anlıyorum. Ancak bu çağrıdaki geliştiriciler genel olarak koruma hakkında nasıl ve nerede düşünmeli? Burada paylaşabileceğiniz, geçmişte gördüğünüz en kötü durum senaryosu nedir?
SERGI ISASI: Tabii. Yani en kötü durum senaryosu, odaklanmış bir saldırıdır. Bu nedenle, biri sizi gerçekten çevrimdışı duruma getirmek istiyorsa, bu tür motive olmuş bir saldırganla başa çıkmak son derece zordur. Bu nedenle, bir şekilde tartışmalı olan veya bir tür düşmanı olabilecek bir uygulama çalıştırıyorsanız, dikkate alınması gereken bir şeydir. Ve bu, bugünlerde pek çok şey.
Burada sahip olduğum saldırı, Adidas'ın saniyede 17.2 milyon istek aldığına bir örnek. Yani bu verim değil, bu sadece gerçek bir meşru HTTP isteği. Bunlar büyütülmedi veya sahte değildi. Yani bu saldırganın, bu bağlantıları kurabilecek ve onları meşru - ya da aslında meşruymuş gibi gösterecek yeterli cihaza erişimi vardı. Son derece dağıtılmış saldırı. Bazı bölgelerde biraz yoğunlaştı, ancak konumlarımızın büyük çoğunluğunda görüldü.
Ve en kötü durum senaryosu, azaltmanın pahalı olmasıdır. 7. katmanda yapıldı. Bu yüzden bağlantıyı kabul etmek zorunda kaldık. Saldırıyı meşru trafiğe karşı savuşturup tanımlayabilmemiz için SSL'yi sonlandırmak zorunda kaldık – bu, ileri geri giden bir dizi el sıkışma anlamına gelir. Yani bu öyle bir şey ki, bunu şirket içi bir WAF'ta veya bunun gibi bir şeyde çalıştırmaya çalışıyorsanız, trafiği bulmak şöyle dursun azaltmak bile çok, çok pahalı olacak.
PAVAN TIRUPATI: Harika. Teşekkürler Sergi. Güvenliğe bağlı kalarak, şu anda Rusya ve Ukrayna'da tanık olduğumuz gibi savaş zamanlarında siber saldırılarda beklenen bir artış var. Aslında, CIA ve FBI, bu saldırıların yıkıcı doğası ve bu zamanlarda kritik varlıkların ve verilerin ne kadar savunmasız olabileceği hakkında ortak bir tavsiye yayınladı. Büyüklüğü ne olursa olsun tüm kuruluşların daha yüksek bir güvenlik duruşu benimsemesini tavsiye ediyorlar. Ve WP'de bu yükselişi saldırılarda da görüyoruz.
Bu tür etkinliklere hazırlık konusunda ne düşünüyorsunuz? Ve bu tür durumlara nasıl hazırlanabiliriz? Rusya-Ukrayna savaşı dışında akla gelen diğer büyük olaylardan biri de geçen yıl tanık olduğumuz ve dünyadaki hemen hemen birçok uygulamayı etkileyen Log4shell olayı.
SERGI ISASI: Evet, yani cevap vermeliyiz. İçinde bulunduğumuz dünya bu. Bir şeyler oluyor ve gerçekten, gerçekten çok kötü şeyler oluyor ve bunlara tepki vermemiz gerekiyor. Ukrayna söz konusu olduğunda, tonlarca bilgi paylaşamıyoruz, ancak paylaşabileceğimiz şeylerden biri, Ukrayna'daki trafiğin genel kullanıcı perspektifinden nispeten tutarlı kalmasına rağmen, güvenlik duvarı hafifletmelerinin önemli ölçüde arttığını gördük.
Yani, daha önce bahsettiğimiz tipik %8'den toplam isteklerin %30'una kadar çıktı. Ve bu, normal kullanıcı trafiğine karışan daha fazla saldırı trafiği olduğu anlamına gelir. Ve yine, önceki örnekte olduğu gibi, bunlar pahalı hafifletmelerdir, 7. katmanda yapılması gereken şeylerdir, çünkü 4. katmana dayalı normal saldırılardan bunları belirlemek zordur.
Log4shell hakkında konuşuyoruz, bu muhtemelen uzun zamandır hatırlayabildiğim en büyük olaydı. Yani bu sektöre oldukça sert vurdu. Her ikisi de Cloudflare'da birçok kişinin dahili tartışmayı okuduğunu hatırlıyorum ve sadece, aman tanrım, bu çok büyük.
Saldırganın bazı rasgele karakterler girmesine izin veren bir güvenlik açığı ve çok yaygın bir yazılım parçasıydı ve ardından bu karakterlerin varlığı, yazılımın gidip saldırganın eklediği bir URL için bir git isteği yayınlamasına neden oluyordu. Yani herkes karışıyordu. Bağımlılıklarınızı bilmiyor olabilirsiniz. Bu tür bir ders, bağımlılıklarınızı bilmek, hangi yazılımı çalıştırdığınızı ve bu yazılımın hangi yazılımı çalıştırdığını bilmektir.
Ama asıl önemli olan, burada pek çok zekice istismarın olmasıydı. Bu nedenle, bunu müşterilerimiz ve sizin müşterileriniz için hafifletirken, içeriğin varlığı ve bu içeriği kodlamanın farklı yolları olduğu için güvenlik duvarı kurallarımızda sürekli olarak uygulanmak zorunda kalan birçok farklı varyasyonumuz vardı.
Log4j ile ilgili en ilginç şey olduğunu düşündüğüm şeylerden biri, onu günlük kaydı boru hattında görmemizdi. Dolayısıyla, uygulamanızın dış dünyadan bağlantı almayacak kadar güvenlik duvarına sahip olduğunu düşünseniz bile, içinde bu karakterlerin bulunduğu bir günlük olayı çekerseniz, yine de gider ve bu isteği gönderir. Yani basit bir güvenlik duvarı yeterli değildi.
Edge burada önemlidir ve çok faydalıdır çünkü savunmasız olup olmadığınızdan emin olun veya olmayın kontrolleri başlatmanın hızlı ve kolay bir yolunu bulmanızı sağlar. Kontrolleri uygulamaya koymanın hiçbir dezavantajı yok, bu da onu ücretsiz müşterilerimize bile sunmamızın bir başka nedeni. Dolayısıyla, tek kontrol noktası aslında bu senaryoda çok yardımcı oluyor.
PAVAN TIRUPATI: Bu senaryoda trafiği ölçeklendirmek için müşterilerin kullanımına sunulan araçlardan veya tekniklerden bazıları nelerdir?
SERGI ISASI: Elbette, her senaryo için Cloudflare üzerinde çalışanlarımız var. Bu, kodunuzu uç noktamızda çalıştırmanıza olanak tanır ve yatay olarak ölçeklendirme konusunda endişelenmeden istediğiniz her şeyi oluşturabilirsiniz.
2021'in başlarında Bekleme Odası adlı bir ürünümüzü de tanıttık. Bekleme odası, muhtemelen aşina olduğunuz bir şeydir. Bir şey almaya gittiniz ve o şeyden yeterince alıp almadığınıza karar vermek için sıraya girdiniz. Bir uygulama için de çalışabilir. Siteye bağlanıp iyi bir deneyim yaşayabiliyor musunuz? Yoksa beklemeli misin?
Bu aslında yaptığımız gerçekten ilginç bir ürün. Uçta oluşturduk ve Cloudflare çalışanlarını kullandık. Ve bu zordu. Muhtemelen çekirdekte inşa edilmesi daha basit bir üründür. Bu Cloudflare'ın DNA'sı değil. Uçta bir şeyler inşa edebiliriz ve gerçekten ölçeklendirmeye bakıyorduk. Bir şeyi özünde ölçeklendirmeye çalışırsanız, çok daha zor hale gelir.
Bekleme odasını yaparken en büyük sorunumuz paylaşım durumuydu. Yani, kullanıcıların dünya çapında tek bir bekleme odası deneyimi yaşamasını istediniz. Ve 200'den fazla lokasyondan bahsediyorduk. Bu kolay değil.
Bu yüzden size bir örnek vereceğim. Diyelim ki burada Körfez Bölgesi'nde bir konser var. O konser için alıcıların çoğu Körfez Bölgesi'nde olacak ve muhtemelen San Jose veri merkezimize bağlanacaklar. Ancak bazıları değildir. Konser için gelen veya belki de o sırada seyahat eden dünya çapında bir avuç veya birkaç alıcıya sahip olacaksınız.
Peki bunu nasıl adil hale getirirsiniz? Körfez Bölgesi'nde kullanıcılar için bir sıranız olamaz ve diğer her yerde kullanıcı için bir sıra bulunur. Bu, durumu uçtan uca nasıl paylaşabileceğimizi düşünmemizi gerektirdi. Ve bence bu, geleceğin bir nevi kenar için gittiği yer.
Ve durumu tüm konumlarda senkronize etmek ve paylaşmak için kendi Dayanıklı Nesneler ürünümüzü kullanıyoruz - burada slaytta görebilirsiniz -. Ancak biz bir endüstri olarak uçta bu sorunların çoğunu çözmeye çalışırken, uçta yazılımın paylaşımın hala zor olduğu çok daha fazla kullanım durumu görmeye başlayacağınızı düşünüyorum ve ne yaparsınız? tutarlılık hakkında, bu ister nihai ister acil olsun? Ve bence yazılımımızın geleceği bu.
PAVAN TIRUPATI: Harika. Teşekkürler Sergi. WP Engine'de, müşterilerimize performans ve güvenlik sağladığımızdan emin olmak için bu uç önceliğe sahip zihniyete sahip olduğumuzu biliyorum. Sergi, uçta bina yapan geliştiriciler için son düşünceleriniz veya tavsiye sözleriniz veya en önemli düşünceleriniz veya önerileriniz nelerdir?
SERGI ISASI: Bence her şeyden önce doğru yerde inşa ediyorsunuz. İkincisi, bence yaratıcı olmak. Bir yıl önce bana kenarda yapıp yapamayacağımızı sorsaydınız, eh, bilmiyorum derdim. Öyle düşünmüyorum. Ve burada bulduğunuz daha hızlı bir inovasyon hızı ve düşündüğünüz sorunları düşünen ve hem müşteri hem de ürün tarafında çözümler bulan çok sayıda yaratıcı geliştirici var.
Bir başka ilginç şey de iletişim kurmak ve paylaşmaktır. Özellikle geliştirici Discord'larında, sorunları çözmek ve sınırda daha fazla şey oluşturmak için yeni, yaratıcı yollar bulmaya yönelik çok hareket gördük. Bence son olarak, Cloudflare için bir eklenti olarak, yapamayacağınız bir şey varsa, bir Cloudflare ürün yöneticisi bulun. Bize bir e-posta gönderin, bizi Twitter'da veya başka bir yerde bulun ve ne inşa etmek istediğinizi bize bildirin, biz de inşa etmenize yardımcı olup olamayacağımızı görelim.
PAVAN TIRUPATI: Bu harika. Ve Edge'in artık bir Edge vakası olmadığını söylemenin adil olduğunu düşünüyorum, çünkü odak noktanız güvenlik ve performans ise, o zaman Edge olmanız gereken yer.
Edge hakkındaki o harika sözler için teşekkürler Sergi. Umarım bu oturumu yararlı bulmuşsunuzdur. Zaman ayırıp bize katıldığınız için teşekkür ederiz. Umarım günün geri kalanında iyi vakit geçirirsin.
SUNUCU: DE{CODE} 2022'nin özeti bu. Umarım bunu ilham verici bulmuşsunuzdur ve daha fazla WordPress uzmanlığı ve yeni topluluk bağlantıları ile ayrılıyorsunuzdur. Kaçırmış olabileceğiniz herhangi bir şeyi yakalamak veya bir videoyu tekrar izlemek için Cuma gününden itibaren sitede kayıtlı içeriğe dikkat edin.
Sponsor ortaklarımıza son bir teşekkür etmek istiyorum: Amsive Digital, Box UK, Candyspace, Draw, Elementary Digital, Illustrate Digital, Kanopi Studios, Springbox, Studio Malt, StrategiQ, WebDev Studios ve 10Up. DECODE bağış toplama etkinliğimize bağışta bulunduğunuz için çok teşekkür ederiz. Cömertliğini gerçekten takdir ediyoruz.
Şimdi, Katılımcı Merkezimizde ve oturumlarımızda bizimle etkileşim kuran herkes için, ilk üç kazananı seçeceğiz ve DE{COD}E'nin sonunda ödülünüzü nasıl alabileceğinizi size bildireceğiz. Yüz yüze veya sanal olarak gelecekteki etkinliklerimizde sizi tekrar görmeyi dört gözle bekliyoruz. Size en son WordPress geliştirme trendleri ve WordPress sitelerini daha hızlı oluşturmak için bunları nasıl uygulayabileceğiniz hakkında daha fazla bilgi vermek için sabırsızlanıyoruz. benden bu kadar. Bize katıldığınız için çok teşekkür ederiz ve kendinize iyi bakın.