Alibaba Cloud OSS Anti-Sepling: สร้างที่เก็บข้อมูลวัตถุประสิทธิภาพสูงจากศูนย์ถึงหนึ่ง

ในอินเทอร์เน็ตบนมือถือและสถาปัตยกรรมการทำงานพร้อมกันสูงโซลูชันการจัดเก็บไฟล์ในเครื่องของเซิร์ฟเวอร์แบบเดิมถูกยืดออกไปนานแล้วไม่ว่าจะเป็นรูปภาพวิดีโอหรือแพ็คเกจการติดตั้งในรูปแบบ APK และ IPA การใส่ลงในฮาร์ดดิสก์ของเซิร์ฟเวอร์โดยตรงไม่เพียงแต่จะบีบแบนด์วิดท์เท่านั้นแต่ยังทำให้ธุรกิจหลักถูกระงับเนื่องจากความล้มเหลวเพียงจุดเดียว

Alibaba Cloud Storage Service (เรียกว่า Object Storage Service

อาลีบาบาคลาวด์ OSS

) ด้วยคุณสมบัติขนาดใหญ่ปลอดภัยต้นทุนต่ำและมีความน่าเชื่อถือสูงจึงกลายเป็นโซลูชันการจัดเก็บข้อมูลบนคลาวด์หลักในปัจจุบันบทความนี้ละทิ้งคำพูดและเรื่องไร้สาระอย่างเป็นทางการทั้งหมดเริ่มต้นโดยตรงจากการต่อสู้จริงและพาคุณไปสร้างของคุณเองจากศูนย์ถึงหนึ่ง

อาลีบาบาคลาวด์ OSS

ระบบจัดเก็บข้อมูลและสำหรับจุดเจ็บปวดของอุตสาหกรรมการวิเคราะห์เชิงลึกเกี่ยวกับกลยุทธ์การป้องกันการปิดผนึกและความปลอดภัยของไฟล์ที่มีความเสี่ยงสูง (เช่น APK/IPA)

1.แนวคิดหลัก: 3คำที่ต้องเข้าใจก่อนลงมือทำ

อย่ากลัวอินเทอร์เฟซคอนโซลที่ยุ่งยากสนุก

อาลีบาบาคลาวด์ OSS

คุณเพียงแค่ต้องเข้าใจแนวคิดหลักสามประการ:

Bucket (พื้นที่เก็บข้อมูล): เทียบเท่ากับ "ไดเรกทอรีราก" หรือ "โฟลเดอร์ด้านบน" ในดิสก์เครือข่ายของคุณแต่ละชื่อ Bucket จะไม่ซ้ำกันในเครือข่ายทั้งหมดและคุณจะต้องตั้งค่าสิทธิ์ทางภูมิศาสตร์และการเข้าถึงที่นี่

วัตถุ (วัตถุ/ไฟล์): เป็นข้อมูลเฉพาะที่คุณอัปโหลดรวมถึงเนื้อหาของไฟล์ (ข้อมูล) และข้อมูลเมตา (Metadata) ใน OSS ไม่มีแนวคิด "โฟลเดอร์" ที่แท้จริงโฟลเดอร์ที่เรียกว่าเป็นเพียงเส้นทางเสมือนที่รวมกันด้วยเครื่องหมายทับ (เช่นภาพ/photo.png)

Endpoint (เข้าถึงชื่อโดเมน):OSS ให้ที่อยู่การเข้าถึงเครือข่ายภายนอกหรือภายในสำหรับแต่ละภูมิภาคหากคุณอัปโหลดหรือดาวน์โหลดไฟล์จากแอพของคุณคุณจะต้องชี้ไปที่ชื่อโดเมนนี้

2.แบบฝึกหัดภาคปฏิบัติ: 5นาทีในการรับ OSS ตั้งแต่การสร้างจนถึงการใช้งาน

ขั้นตอนที่1: สร้าง Bucket

ลงชื่อเข้าใช้คอนโซล Alibaba Cloud ค้นหาและป้อน "OSS จัดเก็บวัตถุ"

คลิกที่ "Bucket รายการ"-> "สร้าง Bucket"

จุดกำหนดค่า: Bucket ชื่อ: กำหนดเองต้องไม่ซ้ำกันทั่วโลกภูมิภาค: เลือกภูมิภาคที่ใกล้กับเซิร์ฟเวอร์ธุรกิจของคุณมากที่สุด (เช่น East China 1-Hangzhou) หากเซิร์ฟเวอร์และ OSS อยู่ในภูมิภาคเดียวกันสามารถส่งผ่านอินทราเน็ตได้ในภายหลังซึ่งเร็วมากและไม่มีค่าธรรมเนียมการรับส่งข้อมูลสิทธิ์ในการอ่านและเขียน (ACL): หากคุณต้องการจัดเก็บบันทึกส่วนตัวของระบบและสำรองข้อมูลให้เลือก Private หากเป็นแพ็คเกจการติดตั้งที่เก็บรูปภาพเว็บไซต์แหล่งข้อมูลแบบคงที่ของแอปหรือดาวน์โหลดแบบสาธารณะให้เลือก Public Read (Public Read)(สิทธิ์ในการเขียนยังคงเป็นแบบส่วนตัวมีเพียงคุณเท่านั้นที่สามารถอัปโหลดได้และทุกคนสามารถดาวน์โหลดได้)

ขั้นตอนที่2: รับคีย์ API (AccessKey)

อย่าใช้รหัสบัญชีหลัก Alibaba Cloud ของคุณโดยตรงในรหัส! นี่คือพายุฝนฟ้าคะนองที่อันตรายอย่างยิ่ง

ในการควบคุม

คลิกที่รูปประจำตัวที่มุมขวาบนของโต๊ะแล้วเลือกจัดการ AccessKey

ขอแนะนำให้สร้างบัญชีย่อย RAM และให้สิทธิ์เฉพาะบัญชีย่อย AliyunOSSFullAccess (บริการจัดเก็บวัตถุการจัดการ)

บันทึกรหัส AccessKey ที่สร้างขึ้นและ AccessKey Secret ซึ่งเป็นข้อมูลรับรองเฉพาะของคุณสำหรับการเชื่อมต่อ OSS ด้วยรหัสหรือเครื่องมือในภายหลัง

ขั้นตอนที่3: คำแนะนำเครื่องมือการจัดการภาพ

แม้ว่าจะสามารถอัปโหลดไฟล์ผ่านเว็บคอนโซลได้แต่ขอแนะนำให้ใช้ไฟล์

ossbrowser

ไคลเอนต์เดสก์ท็อปป้อนบัญชีย่อย AccessKey ในตอนนี้และคุณสามารถอัปโหลดดาวน์โหลดและจัดการไดเรกทอรีเป็นกลุ่มได้เช่นเดียวกับการใช้งานดิสก์เครือข่ายภายในเครื่อง

3.จุดตายขั้นสูง: สถาปัตยกรรมทางเทคนิค "ป้องกันการปิดผนึก" ของไฟล์ APK และ IPA

นักพัฒนาหลายคนจะ

OSS ของอาลีบาบาคลาวด์

สำหรับการแจกจ่ายแอพพลิเคมือถือ (Android APK แพ็คกับ iOS IPA แพ็ค) อย่างไรก็ตามการใช้ชื่อโดเมนเริ่มต้นของ OSS โดยตรงและต่อสาธารณะเพื่อดาวน์โหลดแพ็คเกจเหล่านี้สามารถทำให้เกิดจุดเจ็บปวดในการควบคุมความเสี่ยงได้อย่างง่ายดายสองจุด:

บล็อกซอฟต์แวร์โซเชียลเช่น WeChat/QQ (รายงานไวรัสแจ้งช่องทางการดาวน์โหลดที่ไม่เป็นทางการ)

การหักหลังของผู้ให้บริการและการรายงานที่เป็นอันตรายทำให้ชื่อโดเมน OSS ถูกบล็อก

ทำอย่างไรให้มีประสิทธิภาพ

Alibaba Cloud OSS ป้องกันการปิดผนึก

、

Alibaba Cloud Storage APK ป้องกันการปิดผนึก

และ

Alibaba Cloud OSS IPA ป้องกันการปิดผนึก

?ต่อไปนี้เป็นโปรแกรมป้องกันและป้องกันหลุมอุตสาหกรรมมาตรฐานอุตสาหกรรม:

1.ตัดชื่อโดเมนเริ่มต้นและต้องผูกชื่อโดเมนอิสระที่กำหนดเอง

กฎเหล็ก: อย่าเปิดเผยชื่อโดเมน * .oss-cn-xxx.aliyuncs.com ที่สร้างขึ้นโดยอัตโนมัติโดย OSS โดยตรงที่ส่วนหน้าของผลิตภัณฑ์

เจ้าหน้าที่ของ Alibaba Cloud มีการควบคุมชื่อโดเมนเริ่มต้นที่เข้มงวดมากเมื่อมีการรายงาน APK หรือ IPA ของคุณโดยมีเจตนาร้ายหรือทำให้เกิดการสกัดกั้นเครือข่ายสีเขียวของ Tencent และผู้ผลิตรายใหญ่อื่นๆ Alibaba Cloud จะบล็อกหรือจำกัดการเข้าถึงชื่อโดเมนเริ่มต้นโดยตรงเพื่อปกป้องความปลอดภัยของคลัสเตอร์ทั้งหมดและยังบังคับให้ไฟล์ขนาดใหญ่บางไฟล์การดาวน์โหลดจะถูกแปลงเป็นภาพตัวอย่างไฟล์แนบซึ่งทำให้ไม่สามารถอัปเดตหรือดาวน์โหลดแอปได้โดยตรง

วิธีแก้ไข: เตรียมชื่อโดเมนระดับที่สองที่เป็นอิสระ (เช่น download.yourdomain.com) ผูกชื่อโดเมนใน "การจัดการการส่ง"-> "การจัดการชื่อโดเมน" ของคอนโซล OSS และกำหนดค่าความละเอียด CNAME ที่จัดทำโดย Alibaba Cloud ด้วยวิธีนี้ปริมาณการดาวน์โหลดทั้งหมดจะไปที่ชื่อโดเมนของคุณเอง

2.การกำหนดค่า CDN เร่ง: ซ่อนสถานีต้นทาง OSS กับแปรงป้องกัน

หากชื่อโดเมนที่กำหนดเองเชื่อมต่อโดยตรงกับ OSS ไม่เพียงแต่ความเร็วในการดาวน์โหลดจะถูกจำกัดด้วยแบนด์วิดท์ของผู้ใช้เท่านั้นแต่เมื่อชื่อโดเมนถูกแย่งชิงหรือบล็อกค่าใช้จ่ายในการเปลี่ยนจะสูงมาก

การป้องกันการแยก: เพิ่มชั้นของ Alibaba Cloud CDN ระหว่างชื่อโดเมนที่กำหนดเองและ OSS คำขอดาวน์โหลดทั้งหมดของผู้ใช้ไปยังโหนด CDN จาก CDN ถึง O

SS กลับไปที่แหล่งที่มา

ตรรกะการป้องกันการบล็อก: แม้ว่าชื่อโดเมนจะถูกกำแพงหรือถูกบล็อกใน WeChat ในบางพื้นที่คุณจะต้องเปลี่ยนชื่อโดเมนเงาใหม่ในด้าน CDN หรือเปลี่ยนชื่อโดเมนสำรองอย่างราบรื่นและคุณมีหลายร้อย GB และหลาย TB ใน OSS ทรัพยากร APK/IPA ไม่จำเป็นต้องย้ายเลยสิ่งนี้บรรลุการป้องกันการปิดผนึกของ Alibaba Cloud OSS ของสินทรัพย์ข้อมูลหลัก

3.การกำหนดสภาพแวดล้อมสำหรับการบล็อก WeChat/QQ (กลยุทธ์การป้องกันหน้ากาก)

ไม่ว่าจะเป็น

การป้องกันแอป APK ของ Alibaba Cloud Storage ไม่ให้ถูกแบน

ยังคง

OSS ของอาลีบาบานำระบบ IPA มาป้องกันการถูกบล็อก

สถานการณ์ที่พบบ่อยที่สุดคือผู้ใช้คลิกลิงก์ใน WeChat และไม่สามารถดาวน์โหลดได้

โซลูชันป้องกันการปิดผนึก APK (Android): เพิ่มตรรกะการตัดสินในหน้าดาวน์โหลดส่วนหน้าหากเปิดโดยเบราว์เซอร์ในตัวของ WeChat ให้ใช้รหัสเพื่อเรียก "Jump Prompt" และบังคับให้สามจุดที่มุมขวาบนเลือก "เปิดในเบราว์เซอร์" วิธีการขั้นสูงกว่านั้นคือการกำหนดค่าส่วนหัวแบบไดนามิกโดยใช้ Content-Disposition: attachment; filename = "xxx.apk" เพื่อเรียกใช้กลไกการดาวน์โหลดของเบราว์เซอร์ภายนอกเพื่อปลุกอัตโนมัติของระบบ Android บางระบบ

โซลูชันป้องกันการบล็อก IPA (Apple): การดาวน์โหลด IPA ของ iOS อาศัย itms-services:// โปรโตคอลและโปรโตคอล plist เฉพาะเนื่องจาก WeChat บล็อกโปรโตคอลอย่างสมบูรณ์คุณต้องโฮสต์ทั้งไฟล์ plist และแพ็กเก็ต IPA บน OSS ที่กำหนดค่าด้วย HTTPS และใช้กลยุทธ์ในการนำผู้ใช้ออกจาก WeChat เพื่อเปิดเบราว์เซอร์ Safari เบราว์เซอร์ Safari มีความสามารถในการวิเคราะห์และดึงการติดตั้งแบบเนทีฟสำหรับการลงชื่อด้วยตนเองหรือการลงชื่อเข้าใช้ IPA ขององค์กร

4.URL แบบไดนามิกและป้องกันการเชื่อมโยง (หลีกเลี่ยงการไหลของแปรงที่เป็นอันตราย)

แพคเกจ APK/IPA มักจะมีขนาดใหญ่ (ตั้งแต่หลายสิบเมตรไปจนถึงหลายร้อยเมตร) หากที่อยู่ในการดาวน์โหลดได้รับการแก้ไขและเป็นแบบสาธารณะก็เป็นเรื่องง่ายที่คู่แข่งจะใช้สคริปต์เพื่อปัดการรับส่งข้อมูลโดยมีเจตนาร้ายสร้างบิลข้อมูล OSS จำนวนมาก

วิธีการป้องกัน: เปิดห่วงโซ่ป้องกันการโจรกรรม Referer ที่ด้าน OSS หรือ CDN และอนุญาตให้ดาวน์โหลดเฉพาะหน้าเว็บที่ฝังไว้หรือแหล่งแอปเฉพาะเท่านั้นใช้ลายเซ็น URL (ใบรับรองชั่วคราว STS ที่มีเวลาหมดอายุ) ลิงก์ดาวน์โหลดไม่ได้เป็นแบบคงที่แต่แบ็กเอนด์ถูกสร้างขึ้นแบบไดนามิกตามเซสชั่นของผู้ใช้เช่น.../app.apk? OSSAccessKeyId = xxx & Expires = 1700000000 & Signature = xxx ลิงก์จะไม่ถูกต้องโดยอัตโนมัติหลังจากผ่านไป5นาทีหรือ10นาทีซึ่งจะช่วยขจัดความเสี่ยงที่ที่อยู่ของแพ็คเกจการติดตั้งจะถูกจับโดยมีเจตนาร้ายรูดอย่างบ้าคลั่งหรือแม้กระทั่งถูกดัดแปลง

สี่สรุปและ checklist ปฏิบัติที่ดีที่สุด

สร้างความสามารถในการป้องกันการปิดผนึกที่มีความพร้อมใช้งานสูง

OSS ของอาลีบาบาคลาวด์

ระบบจัดเก็บข้อมูลไม่ใช่แค่การอัปโหลดไฟล์

โปรดตรวจสอบโครงสร้างของคุณกับรายการต่อไปนี้:

[] การแยกสิทธิ์: มีการใช้บัญชีย่อย RAM แทนบัญชีหลักของ Master หรือไม่?

[] อินทราเน็ต: เซิร์ฟเวอร์ ECS และ OSS อยู่ในพื้นที่เดียวกันหรือไม่? (ตรวจสอบให้แน่ใจว่ากลับไปที่แหล่งที่มาและไปที่อินทราเน็ตความเร็วนั้นรวดเร็วและไม่มีค่าใช้จ่ายในการรับส่งข้อมูล)

[] สถาปัตยกรรมป้องกันการปิดผนึก: ชื่อโดเมนที่กำหนดเองถูกผูกไว้หรือไม่? มีการเร่ง CDN หรือไม่?

[] การป้องกันตามเป้าหมาย: สำหรับการกระจาย APK และ IPA ส่วนหน้าได้ทำคำแนะนำป๊อปอัปสำหรับซอฟต์แวร์โซเชียลเช่น WeChat หรือไม่? ลิงก์ดาวน์โหลดมีข้อจำกัดในการป้องกันการปัดลายเซ็นหรือไม่?

การออกแบบพื้นฐานเหล่านี้ไม่เพียงแต่ทำให้แอปพลิเคชันของคุณกระจายไปอย่างรวดเร็วแต่ยังช่วยให้มั่นใจได้ถึงเสถียรภาพอย่างต่อเนื่องและความพร้อมใช้งานสูงในสภาพแวดล้อมการควบคุมความเสี่ยงของเครือข่ายที่ซับซ้อนและเข้มงวด