客戶背景
早前有獨立機構舉辦了大型的民間全民投票活動,大眾可通過手機應用程式或於票站即時就普選特首原則表態。其實,類似活動早於2012年便已出現,但當時甫啟動即遭到針對性的DDoS(Distributed Denial of Service)攻擊,嚴重影響投票過程以及結果的準確性。有見及此,這次主辦機構絲毫不敢怠慢,積極物色專業可靠的寄存服務商,協助應付網絡攻擊和一切有可能發生的突發狀況,以確保是次投票活動能夠順利進行,亦期望藉著這次機會打造成功案例,為往後進行的大型投票計劃訂下技術藍圖,落實活動可持續發展的必備條件。
面臨挑戰
參考過往經驗,要成功舉辦全民投票活動絕對是一項艱巨任務。首先,由於投票反應未可完全預料,亦有可能出現投票繁忙時段,例如活動剛開始的時候、晚間用戶活動高峰期等,因此需要設法確保系統能夠承受龐大、突發性的數據流量,保持網絡流暢度。
此外,畢竟投票活動在明、黑客行動在暗,該機構需要做好充足的保安措施,範圍包括:
- 確保系統安全性,例如預防應對DDoS攻擊等針對性攻擊
- 確保資料安全性,尤其是保障活動參加者的私隱資料
- 防止不正當行為,例如造假及種票等
UDomain 提供的解決方案
確保系統安全 + 保障用戶私隱 + 防止不正當行為 = 唯有UDomain做到
自1998年成立至今,UDomain已為數以萬計的大企業和中小企提供優質網絡服務,因而累積了豐富的實戰經驗,尤其對大中華地區的網絡生態、惡意攻擊的動向、區域性技術之特性等均瞭如指掌。即便我們現已成為業界領導者,但仍堅持對每位客戶用心付出,而對這次全民活動更是加倍嚴陣以待,主要循以下三個方向來擬訂技術策略:
方向一:如何提升流暢度,並確保系統安全性?
這類公眾活動的參與人數高企,本來便會造成驚人的數據流量,若再遭到惡意攻擊,流量「泡沫」將會直接對伺服器造成沉重負擔。為了做到在保安上滴水不漏,以應付變化多端的惡意攻擊,同時確保投票系統運作無誤, 讓投票者能獲得最佳的用戶體驗,UDomain專業團隊不吝嗇用上大量人力物力,為該機構客戶設計了牢不可破的多層運作兼防禦架構 (見下圖):
UDomain 多層防禦架構 | 方案類別 | 作用 | 重要性 |
---|---|---|---|
第一層 | Black Hole Route方案 | 判斷連線來源以防禦特定地區的攻擊 | ★★★★★ |
第二層 | Security-as-a-Service 雙重DDoS方案 |
防禦來自區內及各國的DDoS攻擊 | ★★★★★ |
第三層 | 負載平衡系統 (Load Balancer) | 進行分流,並有效減緩DDoS攻擊 | ★★★★★ |
第四層 | 代理伺服器 (Proxy Server) | 提升流暢度,為核心硬件加上金鐘罩 | ★★★★★ |
第五層 | 海外雲端伺服器 (Cloud Server) | 為架構核心,負責處理資料 | ★★★★★ |
首先在架構最底層的核心部分,客戶部署了近百台位於世界各地的雲端伺服器 (Cloud Server),主要負責處理投票的相關數據,而我們重中之重的目標,就是確保這些伺服器的安全性。在這核心層之上,UDomain 的網絡專家聰明地建設了多重架構,從而分解DDoS攻擊,令防禦工作更上一層樓。
在底層的雲端伺服器之上,我們於數據中心內部署了數十台的代理伺服器 (Proxy Server) 以擔任緩衝角色,藉以提升整體的數據存取速度,為用戶帶來快速流暢的使用體驗。此外,由於黑客攻擊所產生的流量先會被分流至Proxy Server,便可有效降低對核心雲端伺服器的影響,網絡安全性和流暢度均會大幅提升。
這一分層設置了電訊級的負載平衡系統 (Load Balancer),用於進行分流以優化數據處理,縮短回應時間,亦能有效減緩如SYN flood等的DDoS攻擊。
在負載平衡系統之上,我們嵌入了獨家研發的雙重DDoS防禦技術,通過這種Security-as-a-Service的概念,令客戶能以更低成本享用企業級的防禦服務。這卓越的技術能夠雙管齊下,分別針對來自大中華/亞洲以及歐美的DDoS攻擊特性來採取防護措施,提升整體安全性。
架構最外層是Black Hole Route方案,主力進行判斷連線來源以防禦特定地區的攻擊等把關工作。在系統遭到攻擊的時候,被派到受影響IP的流量便會即時被棄掉,阻止問題流量進入架構。
方向二:如何確保資料安全性,特別是保障用戶私隱?
在投票的過程中,用戶需要輸入完整的身份證號碼、姓名及電話號碼,這些都是極為敏感的個人資料,絕對不容有失,稍有差池便會釀成公關災難和法律風險,並打擊市民以後參與類似投票活動的信心和意欲。為確保用戶私隱不會曝露於人前或落入他人手中,系統會為用戶輸入的資料作Hash 加密,將之變成無意義的字符,所以即使編寫程式的開發人員亦只會看見亂碼。
方向三:如何防止不正當行為,例如造假及種票?
透過上述的多重架構,系統的保安以及運作順暢度便不會在技術層面上出岔子。而為了進一步確保投票的公平性、公正性,設法只限本地IP投票是合理的做法。為此,UDomain運用了特別技術來阻截來自內地及海外的連線,從而防止非本港人士企圖造假或種票。
要準確判斷連線是否來自香港,UDomain需要與HKIX緊密合作,並在路由器(Router)之上另設Black Hole Route。然而,任何機構要成功設定Black HoleRoute殊非易事,大前提是必須擁有自家的AS Number,方能與各家ISP位於 HKIX的路由器取得連繫,亦即是與ISP數據中心的Upstream Provider的路由器進行BGPRouting Table Update / Announce。UDomain多年來與HKIX並肩作戰,加上備有自家的AS Number、充裕的IP Address區段以及強大的邊緣路由器(Edge Router) 等,要為客戶設定Black Hole Route可謂輕而易舉。
小結
在UDomain的悉力協助下,是次全民投票活動圓滿落幕,並為往後舉行的類似活動奠下良好的技術基礎。在這次案例中,UDomain一方面需滿足高頻寬用量的要求,同時更要為系統提供全方位防護,以杜絕DDoS攻擊和盜取敏感資料的黑客等,亦要兼顧阻止種票等不當行為。雖然任務艱巨,但我們的專業團隊最終不負所託,憑藉在行內首屈一指的實戰經驗,悉心部署了多層技術架構,將Black Hole Route方案、Security-as-a-Service雙重DDoS方案、負載平衡系統(Load Balancer)、代理伺服器(Proxy Server)及海外雲端伺服器完美整合,計劃之周詳為業界罕見。這次的成功鞭策我們繼續堅持「以客為先」的服務理念,哪怕要求如何嚴謹,仍會竭盡所能,做到最好。