车载视频演示摘要希望在云中托管您的网站、应用程序或API，或者迁移到新的云提供商，同时保证您的数据安全？在本次网络研讨会上，Cloudflare解决方案工程主管Trey Guinn将讨论公司在迁移期间和迁移后应如何处理安全问题。我们将重点介绍全球最大的电子商务化妆品零售商之一LUSH的迁移故事，以及他们如何在不到3周的时间内，采取正确的步骤从以前的云提供商迁移到Google云平台。Trey将进行一个现场演示，介绍如何在云提供商之间设置Cloudflare负载平衡，以及通过web应用防火墙（WAF）、SSL/TLS加密和速率限制来优化安全性。演讲者阿萨德·巴赫里安全与网络合作伙伴经理谷歌云平台特雷·奎恩解决方案工程主管云闪网络研讨会转录和负载平衡演示阿萨德·巴赫里今天我们将讨论LUSH向Google云的迁移，以及Cloudflare，我们的顶级安全和性能合作伙伴之一，如何帮助您实现自己的云迁移。在整个演示过程中，我们将讨论安全最佳实践、CDN和CDN互连计划的工作原理，还将为您演示Cloudflare的负载平衡，以启动迁移。很多人没有意识到的一个主要问题是谷歌在安全方面所做的努力。你可能熟悉安全浏览，它每天保护超过30亿台设备。谷歌做这件事不是为了盈利，而是出于我们对安全的承诺。如果你真的看看谷歌做了什么，他们有超过600名工程师致力于谷歌的安全和隐私保护，这比很多其他纯粹的安全公司都多。其结果是，我们正努力使互联网成为我们用户更安全的地方。我们相信，提高安全意识水平将使我们的客户更容易。所以我们将讨论如何将这一理念转化为Google云。如果你看看一些开源项目，即使你看看iOS，你也会发现Google是bug和安全漏洞的顶级记者之一。再次，我们正在努力使互联网对所有使用我们产品的人更加安全。当我们谈到Google云时，它实际上是从底层开始的，在硬件级别。从第二台设备启动开始，操作系统、应用程序、网络、存储设备等等。因此，如果你更深入地了解一下，你会对我们所有不同的安全领域有一个很好的了解。你可能知道，谷歌有许多不同的数据中心，由我们维护，但我们也有很多第三方数据中心。当一个硬件设备启动时，我们要确保它是我们的设备之一。我们知道它是什么，它应该做什么，然后我们有谷歌编写的安全代码来监控它。这与泰坦芯片携手合作，确保我们从设备开机的那一刻起，到用户可以在网络流量通过时使用它，我们都拥有安全的信任级别。当我们看到这一点时，网络起了很大的作用。正如您在这里看到的，有很多数据中心位置；您将看到Google拥有的所有租赁和拥有的光纤。对于我们的用户来说，这实际上意味着：无论你在世界上的哪个地方，你都将靠近一个可以处理你流量的Google数据中心或Google位置。特雷·奎恩Cloudflare还拥有世界上最大的网络之一，尽管我们不太关注计算和基础设施作为服务，但我们专注于提供一个位于web访问者或API消费者和原始基础设施之间的智能网络—可能是GCP。Cloudflare是您可能没有听说过的东西，但是如果您使用互联网，您肯定会使用我们。目前，Cloudflare代理了大约10%的HTTP请求。在Cloudflare上有超过600万个域，我们的规模相当大。我们的工作是确保我们停止威胁，并在流量通过我们的网络时努力提高性能。阿萨德·巴赫里当你说600万个域名，你的意思是你实际上在管理DNS记录？不管是唱片公司，CNAMEs，AAA专区，所有这些？特雷·奎恩对的。Cloudflare的服务之一是成为权威的DNS提供商；我们是世界上最大和最快的权威DNS提供商。客户也可以向我们CNAME特定的子域，我们不仅为这些客户处理DNS，而且还处理HTTP和HTTPS流量的代理。通过Cloudflare CDN互联计划，您可以看到我们坐在访问者和Google云平台之间。我们试图消除所有的在线威胁，同时加快从访问者到GCP的通信速度。最棒的是我们的服务之间的直接互连；它本质上是Cloudflare数据中心和Google云平台数据中心之间的连线，共有53个位置（几乎占位置的一半）。这种互连有各种各样的优点，因为它具有更高的性能，而且您不必担心拥塞或与公共互联网抗争。但除此之外，作为GCP的客户，当您使用CDN互连时，您需要支付显著折扣的出口定价。我们众多的联合客户之一就是我们的客户LUSH。他们有一个大迁移到GCP，他们必须做得非常快。有趣的是，他们在转到GCP之前就已经是Cloudflare的客户了。告诉我一些关于他们迁移到GCP的情况。阿萨德·巴赫里这是LUSH在周五决定的，他们必须在周一开始。他们有22天时间搬家。他们的时间很短。他们迁移的部分原因是在假日期间交通高峰期间的普遍可用性和规模。另一方面，他们希望自己的在线形象与公司理念相匹配。我们的电网电力成本中很大一部分来自可再生能源，这对他们来说很重要。从技术到哲学，它只是很好地协调一致，而且很快就能实现。LUSH在这里省了不少钱，对吧？特雷·奎恩作为一个客户，LUSH可以节省75%的带宽，但对其源服务器的请求数也减少了95%。这减少了他们在源服务器上所需的基础设施数量，因为我们要么过滤掉不良流量，要么缓存内容。当然，这其中的一部分原因是，我们每个月要阻止大约60000个威胁。而这正是Cloudflare的基础设施和网络所期待的。我们运营着世界上最大的安全网络之一，并且精通阻止这些威胁。阿萨德·巴赫里命中率似乎取决于使用Cloudflare服务的网站或API，对吗？如果你有很多猫图片而不是超级动态API，这将是一个不同的体验。特雷·奎恩确切地。如果你提供大量的gif，你可以让你的缓存命中率达到90%以上，也许超过99%。如果您是一个天气应用程序，并且有人在检查天气，那么您的缓存命中率可能会稍低一些，因为如果您交付的是邮政编码，则每个邮政编码或检查天气的人都不多。阿萨德·巴赫里我真的可以按不同的区域设置我的缓存速率，然后说"嘿，对于这个地理位置，我想要这个缓存，而另一个地理区域我想要缓存其他的东西？"特雷·奎恩可以进行更深层次的定制，但一般情况下，缓存将围绕每个URL；您可以根据特定的标头、Cookie等进行自定义。另一方面，您可以对速率限制进行细粒度控制，此外，我们的web应用程序防火墙（WAF）和IP信誉数据库允许您添加同时提供安全性和性能。阿萨德·巴赫里最重要的一点是确保您有一个SSL证书，这是遵循最佳实践的；并不是所有SSL证书都是平等创建的。特雷·奎恩独立于您运行的任何源网络或安全网络，我们想分享一些安全最佳实践，正如您所提到的，一切都应该在SSL上。如果您不知道这一点，这是您的最后一个警告，一切都应该通过SSL。从下个月起，Chrome将开始积极识别那些没有用"不安全"标志加密的网站。如果你想保持客户的信任，这是必须的。关键的一点是，并非所有的SSL都是一样的：有些SSL比其他SSL更安全，有些SSL比其他SSL快，等等。我们在这些幻灯片上共享了一个链接，让您去看看SSL实验室的最佳实践；他们是第三方，但我们想做一些事情，比如支持会话恢复和HTTP/2等。阿萨德·巴赫里Google还为使用SSL的任何人提供了一系列SSL最佳实践；它将指导您如何创建正确类型的密钥请求、您希望在哪里加载它等等，以及在使用Cloudflare时，SSL会话在哪里终止？特雷·奎恩Cloudflare将在Cloudflare网络边缘终止SSL会话，我们将确保您拥有最好的SSL。如果你检查你的SSL等级，你将得到A或A+与我们的SSL。我们解密是因为我们需要能够抵御第7层攻击，并在应用层中查看。然后我们重新加密，我们回到原点，这样它就在网络上被加密了。阿萨德·巴赫里而且，你还可以为DNS服务提供保护，因为这是另一种攻击手段，有人可以直接破坏你的DNS或试图注入一个坏的DNS记录。特雷·奎恩确切地。很多人关注的是DDoS防御和安全，但他们忘记了DNS基础设施是您需要保护的关键因素之一。这是互联网的电话簿，如果你能找到某人的电话号码，你就不能给他们打电话了，你就被打昏了