879
手遊公司安全負責人:在安全管理的Hard模式中,當一個好“玩家”
據全球媒體Venture Beat的數據,2016年,全球遊戲市場份額達到910億美元,手遊占據了一半,中國的手遊玩家數量,已經穩居世界第一。
在遊戲行業旺盛的生命力背後,網絡攻擊也在遊戲行業中逐利、蓄意破壞、助長惡性競爭。玩家的第二世界,也是 “惡魔的遊樂場”。
Steam最近公布的官方數據顯示,每個月約有77,000個Steam賬戶的憑據被盜,每年,全球針對遊戲行業的DDoS攻擊幾乎是成倍增長。
據全球媒體VentureBeat的數據,2016年,全球遊戲市場份額達到910億美元,手遊占據了一半,中國的手遊玩家數量,已經穩居世界第一。
在遊戲行業旺盛的生命力背後,網絡攻擊也在遊戲行業中逐利、蓄意破壞、助長惡性競爭。玩家的第二世界,也是“惡魔的遊樂場”。
Steam最近公布的官方數據顯示,每個月約有77,000個Steam賬戶的憑據被盜,每年,全球針對遊戲行業的DDoS攻擊幾乎是成倍增長。
而作為遊戲行業的安全負責人,肩負的責任除了係統的穩定、可用,數據的安全、保密之外,還有每一個玩家的體驗。對於遊戲行業來說,被攻擊所造成的業務中斷,不僅意味著資金損失和玩家流失,許多遊戲項目也有可能就此終結。
數據顯示,遭受攻擊2-3天後,遊戲公司的玩家數量一般會從幾萬人,跌落到幾百人。
作為一家國內知名手遊公司的技術運維和安全負責人,W(化名)6年來每天的工作時,都感覺“手上端著一個天平”,一邊是服務本身的穩定,一邊是給玩家最好的實時交互體驗。
“安全對於一家遊戲公司來說可謂非常重要。在極端情況下,安全可能直接決定了遊戲業務發展的成敗。如果企業內部的安全漏洞被利用,那麼所有用戶的敏感信息都可能直接對外暴露,這對用戶信心和企業形象的打擊都是致命的。”
雖說任何行業的技術運維都有難解的問題,但遊戲行業的安全,可以說屬於安全中的“Hard”模式。
難在哪裏?
W提到,一方麵,用戶訪問服務的網絡質量和速度至關重要,需要保證24*7在線狀態;另一方麵,為了保證遊戲過程中的體驗流暢,低延遲無丟包的網絡狀態是必需的。
“以個人經曆來看,我覺得最困難的事情是在受到攻擊的情況下,既要隔離異常流量,又要保證正常用戶訪問不受影響。以我的經驗,從網絡架構入手,比在服務端做調整效果更好。”
作為安全掌舵人,W通過一係列內外結合的方式,來降低係統和業務的安全風險。
在遊戲反外掛方麵,除了在客戶端和服務端采用嚴謹合理的數據加密和驗證外,也配合第三方加固產品,提高數據篡改的難度。
在賬戶安全方麵,登錄接口的所有數據通訊內容,統一啟用強加密和數據校驗;支持用戶賬號綁定移動設備,登錄時默認啟用短信驗證碼;用戶使用了弱口令密碼時,也會做合理提示。
在Web安全方麵,所有會話默認啟用SSL,配合第三方CC防護檢測。
最後,在DDoS防禦方麵,主要使用雲安全防禦產品來清洗攻擊流量。
從2016年開始,W所在公司的業務規模不斷擴大,不斷往上跳的用戶數,讓整個團隊肩上有了更重的責任。
W的團隊也開始思考,如何去增加更多的業務入口、轉發節點,來避免由於單入口故障導致大規模掉線,緩解異常流量對單節點的攻擊壓力。
在業務規模越大的時候,突如其來的攻擊,就會變得越致命。
除了做好自身的架構優化和安全管理,W的團隊開始接入第三方的DDoS防護服務,除了減小被攻擊幾率,W也很重視業務加速功能,自定義隔離策略,CC防護,和異常流量清洗。
在經過為期半年的調研和選型後,W的團隊與阿裏雲遊戲盾開始了合作。遊戲盾基於數據和算法的風控模式,覆蓋了W團隊目前所考慮到的幾乎所有需求。
“在安全管理上,團隊一直是比較接納新技術的。基於AI和智能算法的DDoS防禦,國內隻有遊戲盾在支持。功能上,相比傳統的DDoS防禦,服務相對全麵。例如,不僅支持異常流量清洗,也實現了業務加速的功能,支持客戶接入SDK實現自定義的隔離策略等。在防禦體係上,我們是希望通過與遊戲盾的合作,領先一步,最終是為了自己的玩家能夠有更好的體驗吧。”
除了功能的完整度,和技術創新之外,成本也是W選擇合作的另外一個因素之一。相比傳統的DDoS防禦服務按帶寬計費,W的團隊在計劃預算時,認為遊戲盾按節點計費的性價比更高。
開始合作後,W感受最直接的,是業務可用率的提高。
“從第三方監控來看,在使用遊戲盾前,業務可用率維持在97%左右;使用遊戲盾後業務可用率一直在99.5%以上。”
業務加速效果的提升也在W的預料之中:“在全國主要一二線城市監測節點到業務入口的連接時間,比使用遊戲盾前縮減了5%-10%,”他說。
談起選擇雲安全服務方時的經驗,W提到了三個指標:
“曾經聽過一個理論,當你選擇一個ToB的產品或服務時,一個很重要的指標是看他們自己的公司有沒有在使用這個產品。這就像是你去一個餐廳吃飯,如果自己的工作人員都不吃自己廚房裏做的菜,那麼客人們又如何能相信呢?”
他說:“在與阿裏雲合作之前,已經了解到阿裏巴巴的Aliguard技術,早已用在了雙十一中,也是自研的技術;阿裏雲的安全團隊,也有了差不多10年的經驗。這可以說是一顆定心丸吧。”
W也告訴我們,掌管遊戲公司的企業安全,即便有兩個專業團隊的支持,在自己專業領域知識的提升上,從不能懈怠。
W最近在“修行”的,是漏洞管理的知識:“我經常會讀網絡安全方麵的書籍,對自己的團隊,也會有定期的培訓。各個服務商提供的安全漏洞知識庫也是很好的補充。書籍更多是理論知識的了解,安全漏洞一直在升級改進,分析各種實際案例可以加深這方麵的認知。”
最後更新:2017-07-21 15:32:45