Schutz vor Angriffen

„Die Technologie von Fastly ermöglicht es uns, Angriffe besser zu handeln als alles andere. Und gleichzeitig behalten wir die Kontrolle. Mit Fastly haben wir ein CDN, das uns die Möglichkeit gibt, im Falle eines weiteren Angriffs einen unterbrechungsfreien Service zu bieten.“

1stdibs wechselte nach einem DDoS-Angriff, der einen kurzen Ausfall der Seite verursachte, zu Fastly. Obwohl die bösartigen IP-Adressen bekannt waren, brauchte das bisherige CDN über zwei Stunden, um sie zu blockieren. Auf Fastly kann 1stdibs die Logik, die normalerweise am Origin-Server ausgeführt wird, auf die Edge verlagern. So kann das Unternehmen Low-Level-Angriffe auf Layer 3 und 4 blockieren sowie komplexe Angriffe auf Layer 7 oder dem Anwendungs-Layer abwehren. Dazu gehört die Analyse der kompletten HTTP-Anfrage (Header, Cookies, Request-Pfad) und die Verlagerung der Filterung auf den weitaus skalierbareren Edge- oder Caching-Layer, der den Origin-Server schützt.

Da Angreifer während eines Angriffs oft ihre Methoden ändern, braucht es eine DDoS-Schutzlösung, die sich schnell anpassen lässt. An dieser Stelle bietet die Leistungsfähigkeit von Varnish, dem hochmodernen Web Accelerator für dynamische Inhalte (wie Websites, APIs und mobile Anwendungen), und die Varnish Configuration Language (VCL) entscheidende Vorteile. 1stdibs kann seinen VCL-Code aktualisieren, um neue Angriffsmethoden zu blockieren, und diese Updates innerhalb von Sekunden im gesamten Fastly Netzwerk bereitstellen.

Mehr Kontrolle

1stdibs nutzte Varnish bereits vor dem Wechsel zu Fastly. Da Fastly auf Varnish basiert, kann 1stdibs seinen CDN-Service vollständig anpassen, indem das Unternehmen individuellen VCL-Code schreibt und ihn sofort über die Fastly UI oder API bereitstellt. 1stdibs verwendet individuelle Konfigurationen, um Traffic per Transport Layer Security (TLS) über die Edge anstatt über den Origin-Server zu routen. Dies sorgt für eine bessere Performance für die Endnutzer und minimiert gleichzeitig die Anzahl der Requests an den Origin-Server.

„Der dramatische Unterschied bei der Nutzung von Fastly im Vergleich zu anderen CDNs ist, dass Fastly keine Blackbox ist, die wir nicht kontrollieren können. Fastly ist Teil unserer Infrastruktur – es ist fast so, als würden wir Rechenzentren auf der ganzen Welt einrichten, nur um sie als Varnish-Knoten zu betreiben; allerdings hat Fastly diese schon fertig. Mit der individuellen VCL von Fastly können wir die Leistung und die Technologie von Varnish nutzen, was uns ultimative Kontrolle und Flexibilität gibt.“

Mit dem individuellen VCL kann 1stdibs die Cache Header anpassen, je nachdem, ob der CDN-Server ein Edge-Knoten ist oder als Origin Shield dient. Wenn es sich bei dem CDN-Server um einen Edge-Knoten handelt, kann Fastly s-maxage vor der Bereitstellung von Inhalten an den Nutzer entfernen, um sicherzustellen, dass es bei zusätzlichen Netzwerk-Proxys zu keinem Konflikt zwischen ihren Content-Entscheidungen kommt.

„Die meisten unserer Inhalte lassen sich sehr lange cachen. Bei Änderungen müssen wir die neuen Informationen aber schnell bereitstellen können. Deshalb stellen wir s-maxage für Fastly auf einen Monat und max-age für den Browser nur auf eine Minute ein. Wenn neue Inhalte verfügbar sind, nutzen wir Fastlys Instant Purge, um den Langzeit-Cache zu bereinigen.“

Echtzeit-Support

Bei wichtigen Ereignissen ist Fastlys Support-Team für 1stdibs über IRC schnell erreichbar, um Echtzeit-Feedback und Einblicke zu liefern. Als 1stdibs sich entschied, den größten Teil seiner Website auf HTTPS umzuleiten, wurden VCL-Code-Änderungen lokal vorgenommen und getestet. Es war aber geplant, diese Änderungen live in der Cloud bereitzustellen. Fastlys IRC-Channel lieferte dem 1stdibs Team dabei wichtige Erkenntnisse, wie sich Konfigurationsänderungen am besten testen und durchführen lassen.

„Bei uns läuft alles so reibungslos, dass wir Fastlys Support eigentlich gar nicht brauchen. Das Fastly Team ist aber immer sehr proaktiv. Der IRC-Kanal ist großartig. Als wir uns dazu entschlossen, verschiedene Änderungen vorzunehmen, gab unser Ops-Leiter im IRC-Kanal Fastlys Team Bescheid und es reagierte umgehend.“

Mehr Transparenz

1stdibs nutzt die Streaming Logs von Fastly, um die Performance der Website zu überwachen und Probleme zu beheben, sobald sie auftreten. Im Gegensatz zu herkömmlichen CDNs, die in Batches streamen, werden die Fastly Logs in Echtzeit gestreamt und können zu fast jedem wichtigen Logging-Endpoint, einschließlich Logging-as-a-Service-Anbietern, S3-Buckets und Analysetools, gestreamt werden. So kann 1stdibs Probleme sofort erkennen und beheben, wenn sie auftreten.

„Wir sehen uns oft zunächst unsere Fastly Protokolle an, bevor wir uns die Protokolle unseres Origin-Servers ansehen. Bei einem neuen Release stellte sich heraus, dass ein Edge Case jede Menge Servicefehler auslöste. Wir sahen im Büro auf unser großes Fastly Dashboard und stellten fest, dass sich das Fehlermuster radikal verändert hatte. Durch die Visualisierung der Logs von Fastly können wir Bugs identifizieren und schnell beheben.“