Protección frente a los ataques

"La tecnología de Fastly nos permite gestionar los ataques mejor que cualquier otra solución y, al mismo tiempo, pone el control en nuestras manos. Con la CDN de Fastly, podemos prestar un servicio ininterrumpido si se produce otro ataque".

1stdibs se pasó a Fastly después de un ataque DDoS que causó una breve interrupción de sitios. A pesar de conocer las direcciones IP maliciosas, la CDN que tenía entonces tardó más de dos horas en bloquearlas. Con Fastly, 1stdibs puede insertar la lógica que normalmente se ejecuta en el origen hasta el edge, lo que le permite bloquear los ataques de bajo nivel de las capas tres y cuatro, así como defenderse de los ataques complejos de capa siete o de capa de aplicación. Esto incluye el análisis de la solicitud HTTP completa (encabezados, cookies, ruta de solicitud) y la inserción de filtros en la capa de edge o de cacheo, que son mucho más escalables, con lo que se logra proteger el origen.

Dado que los atacantes a menudo cambian sus métodos durante el ataque, toda solución de protección DDoS deberá permitir que los sitios se adapten rápidamente a estas nuevas técnicas. Es ahí donde la potencia de Varnish, acelerador web de última generación diseñado para contenido dinámico (como sitios web, API y aplicaciones móviles), y el Lenguaje de Configuración de Varnish (VCL) son esenciales. 1stdibs puede actualizar su VCL de modo que bloquee nuevos métodos de ataque, y desplegar esas actualizaciones a través de la red de Fastly en cuestión de segundos.

Más control

Antes de cambiarse a Fastly, 1stdibs ya usaba Varnish. Puesto Fastly se construye sobre Varnish, 1stdibs puede personalizar completamente su servicio de CDN escribiendo y desplegando al instante VCL customizado a través de la interfaz de usuario o la API de Fastly. 1stdibs utiliza configuraciones personalizadas para dirigir el tráfico de modo que se conecte a través de la seguridad de la capa de transporte (TLS) en el edge en lugar de en el origen, lo cual mejora las prestaciones para sus usuarios finales y reduce las solicitudes enviadas al origen.

"Lo que diferencia realmente a Fastly de las demás CDN es que Fastly no es una caja negra que no podamos controlar. Fastly forma parte de nuestra infraestructura; es como si tuviéramos que poner en marcha rápidamente centros de datos de todo el mundo para convertirlos en nodos de Varnish. El VCL personalizado de Fastly nos permite aprovechar la potencia y la tecnología de Varnish, y nos ofrece control y flexibilidad máximos".

El VCL customizado permite a 1stdibs ajustar los encabezados de la caché en función de si el servidor CDN es un nodo de edge o desempeña las funciones de Origin Shield. Si el servidor CDN es un nodo de edge, Fastly puede extraer el encabezado s-maxage antes de que el contenido se entregue al usuario, lo que garantiza que ningún proxy de red más entre en conflicto con sus decisiones de contenido.

"La mayoría de nuestro contenido se almacena en caché durante mucho tiempo, pero, cuando cambia, necesitamos que la nueva información se distribuya rápidamente. Así que establecimos una directiva s-maxage con una duración máxima de un mes para Fastly y, para el navegador, una directiva max-age con una duración máxima de solo un minuto. Cuando hay nuevo contenido disponible, aprovechamos la función Instant Purge de Fastly para borrar la caché de mayor antigüedad".

Soporte en tiempo real

1stdibs puede acceder rápidamente a la asistencia de Fastly a través de IRC para obtener comentarios e información en tiempo real durante eventos clave. Cuando 1stdibs optó por redireccionar la mayoría de su sitio a HTTPS, efectuó y probó cambios en su VCL localmente, pero con la idea de desplegar los cambios en vivo en la nube. Durante este cambio, el canal IRC de Fastly ofreció al equipo de 1stdibs una nueva visión de la mejor manera de probar y modificar los cambios de configuración.

"Aunque no hemos tenido tantos problemas como para tener que acudir al soporte de Fastly, su equipo ha sido muy proactivo. El canal IRC es genial: cuando tuvimos que hacer algunos cambios, nuestro jefe de operaciones se conectó al canal IRC y el equipo de Fastly fue muy receptivo".

Mayor visibilidad

1stdibs utiliza los logs de envío de Fastly para monitorear el rendimiento del sitio y solucionar los problemas al momento. A diferencia de las CDN tradicionales, que transmiten lotes, los logs de Fastly se envían en tiempo real a casi cualquier punto de conexión de registro principal, incluidos proveedores de registros como servicio, grupos S3 y herramientas de análisis. Así, 1stdibs puede identificar y resolver inmediatamente los problemas a medida que se producen.

"Muchas veces consultamos nuestros registros de Fastly antes de mirar los registros de origen. Una vez, hicimos un lanzamiento, y se produjo un caso extremo que desencadenó un montón de errores de servicio. Consultamos nuestro gran panel de Fastly y observamos que el patrón de errores era totalmente distinto. Gracias a los registros de Fastly, pudimos identificar los errores y solucionarlos rápidamente".