關於 MetaDefender Cloud
MetaDefender Cloud 是 OPSWAT雲端運算的高階威脅防禦和惡意軟體分析平臺。我們獨特的 Deep CDR 組合,結合來自 20 多個最佳 AV 引擎的多防毒引擎掃描,可保護組織免受零時差攻擊和日益複雜的惡意軟體的侵害。 MetaDefender Cloud的沙箱結合即時哈希、IP 和域分析,使用 OPSWAT世界一流的威脅情資資料庫可説明惡意軟體研究人員,並深入瞭解現有和潛在威脅。
MetaDefender Cloud 平臺目前每天支援來自客戶的超過500萬次掃描請求,同時仍為他們提供0.4秒的平均掃描時間。
我們為什麼要開發 MetaDefender 即服務 (MDaaS)?
滿足市場需求,更好地支援我們的客戶
我們希望確保 MetaDefender Cloud 可以進行擴展,以滿足不斷變化的需求和對高階應用程式安全服務不斷增長的需求,以及隨著越來越多的應用程式遷移到雲,DevOps Security 的複雜性不斷增加。隨著檔流量的增加,有必要 MetaDefender Cloud 保持和改進其性能,以確保為我們的最終客戶提供流暢的用戶體驗。
增強監控和預測性擴展
我們決定將本地架構遷移到基於微服務的雲原生 Kubernetes,並採用基礎結構即代碼,以便能夠在當前的部署和監視模型中提供無縫且一致的體驗。
MetaDefender 即服務架構
當我們遷移到 MDaaS 時,我們的多防毒引擎掃描服務從基於 Windows 的 AMI 到基於 Kubernetes 的集群。管理員現在可以配置每個引擎的可伸縮性。由於引擎的性能不同,因此可以放大較慢的引擎以保持快速掃描時間。
檔案處理流程現在如下所示:
1. 來自外部請求者的消息被傳送到帶有請求指令的「請求」Kafka 主題 (1),例如使用 AV1、AV2 等掃描檔案,並使用Deep CDR ,並使用分析檔案沙箱 , ETC。
2. 之後,訂閱接收消息的 Lambda 提取器 (2) 將請求分成許多不同的命令,並將它們發送到另一個 Kafka 主題 (3),然後在那裡對它們進行分類並分配給相關引擎。(4)
3.發動機處理(4)是系統的核心。它包含多個引擎容器,在 Amazon Elastic Kubernetes Service (EKS) 上運行,並且能夠根據工作負載進行橫向擴展或橫向擴展。每個引擎都會處理一個特定的請求,從而提高處理性能。
4. 在此過程中,還使用 S3 儲存桶 (5) 來儲存輸入和輸出檔。
5.同時,可用的日誌處理模組(6)接收來自引擎的日誌並將其傳遞給日誌分析系統。
6. 檔案處理後,從每個引擎派生的結果返回到 “results” Kafka 主題 (7)
7. 隨後,使用 AWS Lambda 的微服務聚合器 (8) 將結果合併到一個報告中,並將其發送到 Kafka 主題 (9),然後返回給請求者。
技術挑戰與解決方案
預測發動機行為和處理異常
傳統的MD Core AMI 部署允許引擎在功能強大的電腦上運行,在那裡它們可以相互共用資源(CPU、RAM、磁碟、網路等)。但是,在微服務架構中,每個引擎都在功能較弱的容器中單獨運行。因此,在這種情況下,我們很難確定系統的資源需求。
為了解決這個問題,我們使用舊系統的歷史資料為每個引擎設置了基線,並添加了 Datadog 監控。我們不斷監控引擎的行為並微調基礎設施,直到產品達到卓越的性能。
在性能和託管成本之間保持平衡
在新的架構中, MetaDefender Cloud 可以輕鬆擴展,以適應客戶的無限需求,並以最佳水平運行。然而,這也意味著維護成本可能會成比例地飆升。如果沒有支出檢查或治理模型,擴展可能無法控制,導致雲端服務費用的增加遠遠超出初始分配的預算。
因此,我們經常與利益關係人進行架構審查,以確保一致的體驗和穩定和平衡的成本。
環境類比
在沒有真實即時資料的情況下,將生產負載類比到非生產環境中是一項挑戰。為了解決這個問題,我們設置了並行工作流,以便真實資料同時透過新舊架構,從而使我們能夠並排評估兩者的關鍵指標。這種同類比較使我們能夠快速有效地確定新架構優於舊架構的領域,以及新架構需要改進的領域。
監測、報告和控制
即時雲端基礎設施監控
MetaDefender Cloud 非常重視在其系統中建構強大的監控功能,以提供系統運行狀況的清晰視圖。對於像 MDaaS 這樣的服務,它可以以 0.6% 的錯誤率處理每秒超過 44 個請求 (RPS),依賴多個上游系統和合作夥伴生態系統作為其流量來源,同時為不同的內部和外部下游系統產生大量流量,因此必須將指標、警報和日誌記錄緊密結合到位。
Datadog 中環境的高異常流量警報
除了 CPU、記憶體和性能等標準系統運行狀況指標外,我們還添加了幾個「服務邊緣」指標,例如佇列增長、服務回應時間、狀態蛋糕和日誌記錄,以捕獲來自上游或下游系統的任何異常。此外,我們還添加了對重要指標的趨勢分析,以説明捕捉長期退化。我們使用一個名為 Datadog 的即時流處理應用程式來檢測 MDaaS(您可以 在此處瞭解更多資訊)。它允許我們以特定於容器的粒度透過網路即時追蹤事件,從而使調試更容易。最後,我們發現使用特定於服務的警報有助於更快地確定問題的根本原因。
在 Datadog 中創建需要網站可靠性工程師注意的異常事件
使用 Datadog 平台進行 SaaS 監控使團隊能夠更快、更輕鬆地上手,並且無需進行持續的工具維護、容量擴展、更新或管理。這些優勢意味著團隊有更多時間處理核心產品,而不必自己創建監視解決方案。
結果
• 透過遷移到 MDaaS,引擎微服務現在更加靈活,有助於滿足 FedRAMP 中等基準安全控制要求。
• 應用程式性能監控現在透過即時警報和儀錶板得到增強。新的微服務架構使管理員能夠輕鬆有效地監控應用程式和每個元件。它還有助於輕鬆部署和可擴充性。
• 就基礎設施定義為代碼而言,它允許使用者輕鬆編輯和分發配置,同時確保基礎設施的所需狀態。這意味著您可以創建可重現的基礎結構配置。
詳細瞭解 MetaDefender Cloud 或 聯繫我們 瞭解更多資訊。
