第二場的《遊戲技術爐邊對談:聰明維運》在 4/21 晚上圓滿結束啦。這次對談聚焦在遊戲的營運、監控,觀眾也更踴躍地分享許多工作中面臨的問題,與講者切磋。這次,iKala Cloud 按照慣例同樣為讀者畫重點,帶您快速了解這次的爐邊對談上都談了些哪些雲端黑科技!
遊戲從初期的測試到上線營運,都仰賴維運團隊監控遊戲的穩定度。Google Cloud 客戶工程師 Neo 就從營運與資安角度切入,與聽眾分享維運的幾大關注重點。
營運跨國遊戲,您需要的是⋯
要營運一款跨國遊戲絕非易事,所幸 Google Cloud 的骨幹網路遍佈全球;全球 144 個網路邊緣 POP (Edge Point of Presence) 讓玩家流量更快地接入 GCP 網路,以擁有更優秀的網路品質。當然,Google Cloud 台灣資料中心的優勢也讓眾多營運台灣、港澳遊戲的發行商,能實質提升玩家體驗。
Neo 以 Google 的 Global Load Balancer 與 VPC 的架構為例,說明要搭建一個全球性的網路架構,其實並不如想象中困難。舉凡 VPC 的 Subnet 設置、Shared VPC 共用不同專案間甚至地端的資源、或是 Global Load Balancer 的分流機制,都能讓業者用彈性、混合的方式,打造跨國遊戲。
這些超實用工具,幫您提升維運效率
提到網路,業者也能使用 Google Network Intelligence Center 中的 Network Topology 來檢視不同區域的流量分佈狀況、延遲、Ingress、Egress 流量等資訊。
另外,業者可利用 Performance Dashboard 更清楚地看到跨國連線狀況,近一步定義網路連線問題。而維運團隊設定的各種防火牆規則,哪些有真發揮功效,在 Cloud Monitoring 中也有 Firewall Runtime Metrics 可以查詢。
在資料面,除了可以將資料利用 BigQuery 即時分析外,Google Cloud 也提供 Data Loss Prevention (DLP) 服務掃描 BigQuery 或 Google Cloud Storage 中的資料是否隱含個資並進行遮罩。
當然,部署一款跨國遊戲在安全方面有諸多挑戰、其中更有許多資安架構細節需要思考。接下來,本文將聚焦遊戲業常見的惡意流量攻擊與防禦。
面對惡意攻擊時,雲端如何防禦?
惡意流量攻擊是怎麼發生的?常見的 DDoS(分散式阻斷服務攻擊) 會利用大量的流量請求癱瘓遊戲伺服器,使得一般玩家無法連進遊戲服務。
Google 官方公開的資訊顯示,早在 2015 年他們就收到高達 2.5 Tbps 的 DDoS 攻擊,而這個數字更在近年呈現指數型倍增。可以想像,一場大規模的 DDoS 攻擊就彷彿同時要求觀看 50 到 60 萬部 YouTube 影片一樣驚人。有鑑於此,Google 針對不同 Layer 都具備相應的 DDoS 抵禦解決方案。包括上述的全球網路、頻寬。
Google 如何抵擋 Layer 3、Layer 4 攻擊?
Google Cloud 認證講師暨 iKala Cloud 資深客戶工程師 Sasa 分享,其實 Google Cloud 提供的 DDoS 解決方案能同時應用至地端或其他像 AWS、Azure 等環境。只要這些環境有對外 IP,就都能善用 Google 的網路來保護您的服務。
針對 Layer 3 到 Layer 4,Google 的 Global Load Balancer 能在邊緣端 (Edge) 就做到防護。Global Load Balancer 提供 Anycast IP 以及分流方式,在前端抵擋試圖連到遊戲伺服器的 TCP/UDP 流量。而這些 Load Balancer 也會利用 AI 運算判定流量惡意與否。團隊若要使用 Load Balancer 抵擋攻擊,應使用 Proxy-based 的 Load Balancer。有興趣的讀者,可以在這份文件中了解如何選擇適合的 Load Balancer。
Layer 7 應用層防禦:Cloud Armor
而在 Layer 7 應用層的攻擊,有時攻擊方並非單靠流量灌入,而是抓準應用程式的漏洞,竊取使用者資訊或達到攻擊目的。Google 打造的 Cloud Armor,就是專為解決 Layer 7 的攻擊而存在。Cloud Armor 為一項 WAF (Web Application Firewall),能夠依據各項例如:地理位置、IP、Request Header、Cookie 等條件,來設定要允許或排除過濾的流量,也能防範 OWASP 機構彙整的十大資安風險。
iKala Cloud 客戶工程師 Willie 練場示範幾項 Cloud Armor 規則設定。Cloud Armor 的規則是採用 Common Expressions Language 撰寫,完成規則設定後,這些規則就會被自動部署,使用者無需做太多的底層設置。常見的規則條件如下:
- IP 白名單 / 黑名單
- 地理位置存取控管
- pre-configured rules(阻擋如 XSS、SQL injection 等攻擊)
- 其他自訂規則(阻擋如 zero-day attack 攻擊)
設置完畢後,搭配 Cloud Monitoring 或 Cloud Logging 使用,維運人員得以即時監看各項指標。例如維運人員在 Cloud Armor 設的規則被觸發的情況、流量被拒絕的數量,都能在 Cloud Monitoring 中查看,藉以分析攻擊者的模式,而若希望針對 JSON Log 做 Rate Limiting 的處理或分析也能在 Cloud Logging 完成。
簡而言之,您只需要:設置條件、選擇要執行的動作(允許或排除)、定義優先級,就能輕鬆將這些規則發布至正式環境中。
另外,像是將對外 IP 減少、採用最小權限原則、使用 Subnet 或 VPC 將內外部流量分離、控管 API 的 Rate Limit、善用 CDN Cache Server 的優勢等,也都是最大程度降低惡意攻擊機會的必要措施。
進階功能:GCP 上的資安還可以這樣玩
Security Command Center 能協助維運團隊綜觀全部資產,偵測並掃描各項雲端資源中的弱點。它能協助使用者管理像是:VM 數量變化、IAM 的變動等,也能偵測不當配置、合規性等問題。
順帶一提,上述介紹的 WAF 工具 Cloud Armor 也會將一些資料洞察在 SCC 當中呈現。例如:被您允許的/被拒絕的流量突然暴增,您可以再依據 SCC 提供的這類洞察,檢視是否應調整 Cloud Armor 的規則。