Elite Cloud 與其客戶成功案例分享
客戶名稱:中華國際通訊網路股份有限公司
應用類型:
案例背景及挑戰:
某資訊通訊服務提供商成立於1997年,是台灣最早的資訊通訊服務提供商之一,致力於提供最完整、最穩定、最安全、最有價值的網絡通訊解決方案。2000年,為順應全球信息化發展潮流、互聯網科技日新月異之應用與通信科技的快速發展,開始擴展經營項目,進入電信加值服務、網絡電話、電子商務等通信與網絡集成服務之領域。
客戶目前有4萬多個域名映射到獨立站,並且域名的數量會持續增長,為了提供獨立站的安全性,客戶計劃為每個域名創建經過驗證的、有效的TLS/SSL證書,當前通過腳本和多步用戶交互的方式生成TSL/SSL證書,證書由Let's Encrypt提供,目前TLS/SSL證書採用的驗證方式是通過DNS授權。申請完成的證書將被配置在對應獨立站的nginx中,為來自全球的訪問提供安全的訪問。
在配置域名證書,多次用戶交互降低了用戶體驗,用戶需要按照指導和花費大量的時間配置域名的CNAME來完成證書的授權,對於不熟悉的用戶來說,容易出現問題。這造成大量的業務員來協助用戶完成域名,浪費大量的人力資源。因為證書由Let's Encrypt提供,需要腳本每三個月續簽一次證書,由於證書過多,導致證書續簽更新不及時,造成客戶業務運行異常。 此外,由於域名證書配置在nginx服務器,沒有有效的ddos防護工具,一旦被攻擊,將產生大量的流量費用;每個nginx配置多個證書,導致大量的性能浪費在證書的解析上。CCNET希望有一個域名證書配置優化、自動更新和訪問安全的解決方案。
如下是 GCP 與 Elite 給到客戶解決方案:
方案架構描述:
用戶請求TSL/SSL證書服務,Certicate 管理服務觸發證書生成腳本
證書生成腳本將請求 Certificates Manager 服務生成證書,並將證書添加到 GCP Global LoadBalancing,通過 Load Balancing 授權方式完成證書創建,降低用戶手動干預,提高用戶體驗。
利用 GCP Global LoadBalancing 就近訪問的特性,使用 GCP Global LoadBalancing 代理所有服務流量,限制各個後端服務的流量來源為 GCP,降低非法流量造成流量費用,提高服務的穩定性。
添加防DDOS攻擊的 GCP Cloud Armor 服務到 GCP Global LoadBalancing,降低服務攻擊造成的流量成本,同時提高服務安全性。
將nginx的證書轉移到 GCP Global LoadBalancing,降低 Nginx 因為大量證書驗證帶來的性能損耗問題,提升服務能力
GCP Certificates Manager 支持 Google 管理的證書的自動續簽更新,較少自動更新造成服務異常情況。
此成功案例所使用的產品:
Google Compute Engine
Google Cloud Load Balancer
Cloud Armor
Certificates Manager
方案特點:
通過 GCP Certificates Manager 服務生成和管理 Google 管理的 TSL/SSL 證書,實現證書的統一管理和自動更新等功能,證書授權方面採用 LoadBalancing 授權,降低用戶的手動干涉,提升用戶體驗。
採用加入防 DDOS 攻擊的 Cloud Armor 服務 GCP Global LoadBalancing 作為所有流量訪問入口和證書掛載點,防止非法攻擊,大幅度降低流量費用和提高服務的安全性,同時,降低Nginx服務器的大量證書導致的性能消耗,提升服務能力。為客戶提供一個優化的證書管理、安全和具有防護能力的方案。
總結:
CCNET(中華國際通訊網路股份有限公司)在 GCP 的幫助下,實現了 SSL 證書的自動化管理和網路安全的升級,成功提升了服務穩定性與用戶體驗。透過 Global Load Balancing 和 Cloud Armor 的結合,CCNET 能有效防禦非法攻擊、減少流量費用,同時優化了 Nginx 的效能。這一解決方案為企業展示了如何透過 GCP 的產品來達成最佳化的安全管理和自動化流程,達到高效又安全的雲端營運模式,是企業雲端安全的成功案例。