Patchman: is jouw CMS reeds gepatched?

Bij Stone proberen we onze klanten steeds te helpen om misbruik door Spam en malware op sites van onze klanten tegen te gaan.

Heel belangrijk bij de meest courante CMS’en het up-to-date houden van de code. Indien dit niet gebeurd, zijn deze sites kwetsbaar en kunnen ze gehacked worden, spam uitsturen of misbruikt worden. Dit kan leiden tot mail vertraging, blacklisting of verminderde performance en beschikbaarheid.

Enter Patchman: hiermee lossen we het probleem ‘grotendeels’ op.

Procedure voor de invoering

Wat was de procedure vóór de invoering van Patchman, bij managed klanten:

Plots een hoge load? We kijken even onder de motorkap en bepalen of de website heel wat belangstelling krijgt bij nieuwe bezoekers… of het net iets kwaadaardiger is.
Blijkt dat er een verouderd CMS onderhevig is aan malware proberen we steeds een oplossing te voorzien en de klant dringend aan te raden het nodige te updaten.
Doen ze dit niet tijdig dan is er risico op blacklisting en viruswaarschuwingen bij bezoekers.
Ook Google gaat niet mals om met dit soort inbreuken op de veiligheid.

Hoe kan dit voorkomen worden?

Klanten met kwetsbare sites updaten hun website niet altijd tijdig of kunnen niet updaten door compatibiliteit issues.

Het automatisch verwijderen van malware zorgde soms voor sites die plots niet meer werken.

 

Enter patchman

Enkele jaren geleden kwamen we op Cloudfest in contact met patchman.co een dienst die onze procedure zou verbeteren, door:

  • In plaats van kwetsbare sites af te sluiten worden ze gepatched: zo zijn ze beveiligd zonder dat de klant offline moet.
  • De scans gebeuren proactief, niet na de feiten, waardoor we spamruns en misbruik voor kunnen zijn.
  • De klanten krijgen een heldere inlichtingsmail met de problemen.

Na enkele weken testen, hebben we de tool in productie genomen.

Stapsgewijs hebben we, in samenwerking met ons vroegere zusterbedrijf 1Eurohost, de software verder uitgerold.

Op maar liefst 74% van de klantenwebsites is niet up-to-date software te vinden waarmee de hosting misbruikt kan worden. Gelukkig is maar 1% van de websites effectief misbruikt geweest op de aanwezige lekken, maar deze zijn samen goed voor maar liefst 8.336 misbruikbare bestanden op de webservers.

Het is duidelijk dat het grootste deel van de malware gebruikt wordt voor het uitsturen van spam.

WordPress is de meest populaire software op onze hostings, echter ondanks het eenvoudig up-to-date houden, het meest verwaarloosde.

Resultaat

1Eurohost was dankzij patchman van een half miljoen pogingen spampogingen naar 25.000 per dag gegaan. Het laatste cijfer wordt veroorzaakt door de tijd tussen detectie van de malware, het feit dat ze niet alle servers op patchman kunnen plaatsen en mogelijke SPAM die via SMTP verstuurd wordt, hier kan Patchman niets aan doen en dit wordt vaak veroorzaakt door gelekte wachtwoorden van klanten.

Stone Approved!

Duizenden websites gepatched zonder één breuk, we kunnen spreken van een succes!

De voordelen spreken dan ook voor zich:

  1. Patch Vulnerabilities
    New vulnerabilities are regularly found in CMS’s like WordPress, Joomla and Drupal. Patchman extracts the security fixes from new releases and backports them to all earlier versions. Safely patch your websites with confidence.
  1. Remove Malware
    Hackers generally hack websites to take advantage of your server’s resources for spam runs, DDoS attacks, web shells, etc. We detect these malicious scripts and automatically quarantine them, so you don’t need to clean up the mess.
  1. Notify Your Customers
    We think an important aspect to security is educating your customers. We made it easy to automatically notify your customers of security incidents and outdated applications. We offer detailed background info on all vulnerabilities.
  1. Ability to Roll Back Changes
    Patchman feels like magic. We understand this might make you or your customers feel a little anxious. Please rest assured you can roll back any change that Patchman executes.
  1. Easy to Set Up and Configure
    We have optimized our installation and configuration process relentlessy to make it as easy as possible for you to get started. It takes you litterally only 60 seconds to start your first scan.
  1. Automate Your Workflow
    By setting up automatic policies that define how Patchman should respond to specific situations, you save a lot of time. Automatically inform your customers, patch vulnerabilities, quarantine malware. It’s set and forget!
  1. Supports and Integrates with cPanel, Plesk and DA
    We integrate with cPanel, Plesk and DirectAdmin. It recognizes the Admin-Reseller- User structure, so you can easily define who should be informed of issues. Your customers can access Patchman through their Control Panel.
  1. Easy to Use Web Application for You and Your Customers
    One of the best features is that we built an incredibly easy to use and modern web application for you and your customers. Dealing with security is finally easy and approachable. You get one complete and clear overview of your platform.

Ondertussen is Patchman een vaste waarde binnen ons aanbod en kan iedereen dit activeren. Belangrijke websites zoals die van Spaargids, Tomorrowland en andere rekenen dagelijks op deze bescherming.

Wil jij ook op veilig spelen, contacteer ons via 09/286.00.61 of sales@stone-is.com

GDPR of AVG, what’s the deal?!

Iedereen heeft er wel al iets over gehoord, of iets over gelezen… AVG of ook GDPR genoemd komt er aan!

De datum van 25 mei 2018 lijkt als een doemsdag boven ons allen te hangen… of toch niet?
In deze blogpost(s) gaan wij er even dieper op in en nemen we jullie mee doorheen deze nieuwe regelgeving die op ons allen invloed zal hebben.

Let’s get prepared together!

Ok, first off… wat is GDPR of AVG?

De AVG of Algemene Verordening Gegevensbescherming (in het Engels spreken we over GDPR: General Data Protection Regulation) is een wetgeving die door de EU voor haar lidstaten is opgesteld om het verwerken van persoonlijke gegevens te reguleren. Het vervangt eerdere wetgeving die van vóór het Cloud-tijdperk stamt waarin grootschalige verzameling en ‘mining’ van data – waaronder persoonlijke data –gemeengoed is geworden. De wet beoogt de risico’s van dergelijke ‘Verwerking’ te controleren.

Aan deze Europese wet liggen vier jaar van voorbereiding ten grondslag, waarin de Werkgroep ‘Article 29’ de regelgeving inzake bescherming van persoonlijke informatie in lijn bracht met de nieuwe, onvoorziene manieren waarop data tegenwoordig wordt behandeld.

Wat is er nieuw?

Alle lidstaten van de EU hebben al hun eigen, lokale wetten inzake bescherming van data (veelal vormgegeven naar twee niet-dwingende Directieven van de EU: de Data Protection Act uit 1998 en het daarop volgende EU Data Protection Directive, 1995. De lokale wetten verschillen echter aanzienlijk tussen de deelstaten, waardoor het voor bedrijven en overheden moeilijk is om grensoverschrijdend te werken als daar persoonlijke informatie mee is gemoeid.

De AVG verhelpt dit; het is één centraal uitgegeven wet die – zonder wijzigingen – effectief wordt in elk van de lidstaten, en zelfs daarbuiten als een niet-lidstaat persoonlijke informatie van EU-residenten verwerkt. Bijgevolg kunnen organisaties hetzelfde niveau van beveiliging verwachten in elk van de lidstaten als ook in staten buiten de EU voor zover het de bescherming van zulke data betreft.

Deze sterke vereenvoudiging zal de zakenwereld zo’n 2,3 miljard Euro op jaarbasis besparen, schatte de EU in haar Memo 17-1441.

Een ander nieuwtje is dat deze Regulation de boetes voor non-conformiteit en inbreuken vaststelt en niets meer te raden overlaat. De boetes zijn aanzienlijk en maken het overduidelijk dat de EU de bescherming van haar burgers uiterst serieus neemt.

Ook die rechten zet de AVG haarfijn uiteen zodat ook daarover geen misverstanden meer kunnen ontstaan. Het definieert bijvoorbeeld het recht om vergeten te worden en het recht om voldoende te worden geïnformeerd als er ongeoorloofde dingen met de data gebeuren.

Wat wordt beschouwd als “Persoonlijke Informatie”?

Tot de komst van de AVG kon een deelstaat zelf invulling geven aan de betekenis van de woorden ‘persoonlijke informatie’. De Verordening geeft een eenduidige definitie – en gaat daarin veel verder dan de meeste lokale wetgeving deed.

Persoonlijke informatie omvat nu: enige data waarmee een individu persoonlijk kan worden geïdentificeerd, maar ook datatypes zoals IP-adressen, waaruit persoonlijke informatie kan “afgeleid” worden. Naast ‘harde’ data zoals geboortedatum en beroep, omvat de term ook ‘zachte’ data zoals gezondheidsgegevens en informatie over de culturele achtergrond.
Zelfs als data is geanonimiseerd (of ‘pseudo-anonimised’), valt ze onder de definitie als het mogelijk is om de data zodanig te bewerken dat de personen met een redelijke graad van zekerheid identificeerbaar zijn.

Op wie is het van toepassing?

Net als de eerdere Directives, onderscheidt ook de AVG de Data-Verwerker (Processor) van de Data-Verwerkingsverantwoordelijke (Controller); beiden zijn onderworpen aan de Regulatie.

  • De Verwerkingsverantwoordelijke, of Controller, is de ‘eigenaar’ van de data. Dit is bijvoorbeeld de klant van Stone Internet Services die een online datingsite uitbaat en daartoe gegevens verwerkt zoals namen, persoonlijke voorkeuren en betaalgegevens. Om dit in goede banen te leiden, is de Verwerkingsverantwoordelijke verplicht om aan de Verwerker te melden hoe hij deze specifieke data moet verwerken – en zelfs waarom. De Verwerkingsverantwoordelijke moet ervoor instaan dat de verwerking wettig is, een specifiek (legaal) doel dient én transparant wordt uitgevoerd;
  • De Verwerker, of Processor, is de entiteit die de data verwerkt zoals de Verwerkingsverantwoordelijke die aanlevert. Als Stone Internet Services bijvoorbeeld de backup voor de klant in de voorgaande bullet beheert, zijn wij de Verwerker van die databewerking. Wij moeten dan logs bijhouden van die bewerking en zijn verantwoordelijk voor incidenten die aan Stone Internet Services verwijtbaar zijn;
  • De Verwerker moet er tevens voor zorgen dat elke derde partij die hij inhuurt in verband met de Verwerking, volledig conform de AVG werkt. Dergelijke partijen duidt de AVG aan met de term ‘sub-Verwerkers’ en de Verwerker is volledig verantwoordelijk voor inbreuken die volgen uit het inhuren van een sub-Verwerker.

De personen wiens persoonlijke informatie wordt verwerkt, duidt de Regulation aan als zijnde de ‘data subjects’ (of kortweg ‘subjects’).

Note: de AVG is eveneens van toepassing op Verwerkers en (sub)-Verwerkers buiten de EU als de bewerking plaatsvindt op persoonlijke data van residenten van de EU.

Belangrijk: wettige verwerking!

Het eerste dat de Verwerkingsverantwoordelijke moet vaststellen, is of de verwerking wel wettig is. De AVG laat ook hier niets aan de verbeelding over en definieert de volgende gevallen als ‘wettig’ (er moet aan tenminste één van de criteria worden voldaan).

  • Voldoen aan verplichtingen onder een overeenkomst – zeer relevant voor de relatie tussen een klant en Stone Internet Services, is de situatie waarin wij de Verwerkingsverantwoordelijke zijn van de persoonlijke informatie van vertegenwoordigers van die klant. Het gaat daarbij vooral om contactgegevens van personen bij adminstratie en projectmanagers, technische contactpersonen, enzovoort;
  • Actieve toestemming van het data subject – in plaats van slechts een ‘opt-out’ vakje niet aan te klikken of akkoord te gaan met Algemene Voorwaarden waarin tevens een opt-in is verstopt, moet het subject actief toestemming geven voor de verwerking. Deze toestemming moet bovendien deugdelijk worden opgeslagen – en moet eenvoudig weer kunnen worden ingetrokken. De verwerking is alleen geldig als aan al deze voorwaarden is voldaan;
  • Wettelijke verplichting – alle verwerking die men doet om aan andere wetten te voldoen, is uiteraard ook wettig onder de AVG;
  • Persoonlijke veiligheid / gezondheid – relevant in bijvoorbeeld de gezondheidszorg: persoonlijke informatie mag bewerkt worden als dit van essentieel belang is voor het leven van het subject;
  • Algemeen belang – verwerking die het publieke belang dient, is eveneens wettig onder AVG;
  • Legitiem belang van de Verwerkingsverantwoordelijke – de AVG staat ook verwerking toe als dit een legitiem belang van de Verwerkingsverantwoordelijke dient, zoals het kunnen identificeren van individuen die verantwoordelijk zijn voor hacking, fraude, enzovoort.

Voila, dit is het voor vandaag. We wouden jullie reeds een algemene introductie geven tot AVG / GDPR, zonder té diep te gaan. In onze volgende blogpost zullen we iets dieper ingaan op de mogelijke inbreuken en de regelgeving ook toepassen op onze samenwerking.

OnApp certification course: Mission Accomplished!

Eind April volgenden onze systeembeheerders een intensieve, vier dagen durende, cursus om door OnApp gecertificeerd te worden als OnApp Certified Administrator (OCA).

Deze OCA cursus zorgt er voor dat onze systeembeheerders het onderste uit de kan kunnen halen op on OnApp platform. zij werden getraind in Best Practices ivm set-up, configuratie en het beheer van OnApp Clouds.

Er was een interessante wisselwerking tussen theoretisch werk en lab-testen gedurende drie dagen met daaropvolgend een examen van een halve dag.

Dag 1:

  • OnApp Cloud Architecture
  • Control Panel installation, activation and testing
  • Compute resources – installation and configuration
  • Storage creation and configuration

Dag 2:

  • VM network configuration
  • Backup servers
  • Users, groups and billing plans
  • Deploying Virtual Servers
  • Managing Virtual Server backups and templates

Dag 3:

  • VM failover and migration servers
  • Securing your OnApp Platform
  • Advanced OnApp topics

Dag 4:

  • Practical Assessment Exam

Het is dan ook met trots dat wij kunnen meegeven dat al onze SysAdmins geslaagd waren voor het examen en zij dus vanaf heden ook als OnApp Certified Administrator door het leven kunnen gaan. 🙂

ISO 27001 certificatie voor Stone IS!

Databeveiliging en security management zijn zeer belangrijke begrippen in web hosting, aangezien wij als hostingbedrijf de informatie van heel wat privé personen en bedrijven huisvesten. Dat het voor ons niet enkel een loos begrip is, kunnen we nu ook aantonen door middel van onze ISO 27001 certificering welke we middels een diepgaande externe audit behaald hebben.

Meer concreet gaat het over het Certificate Information Security Managment Systems ISO 27001 certificaat. De ISO 27001 norm voor informatiebeveiliging biedt een model voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een managementsysteem voor informatiebeveiliging of een Information Security Management System (ISMS). Dit geeft onze klanten een uitgebreide garantie voor de veiligheid van hun hosting oplossingen bij Stone Internet Services.

Onze bedrijfsprocessen en de manier waarop we met informatie omgaan werden duchtig doorgelicht door KIWA en werden afgetoetst aan de NEN-EN-ISO 27001:2013 voor de scope hosting (http://diensten.kiwa.nl/brandveiligheid-en-beveiliging/managementsystemen-voor-informatiebeveiliging-iso-27001).

De ISO 27001 norm betreft alle aspecten van informatiebeveiliging op de volgende niveau’s:

  • Beleidsmatig (management)
  • Organisatorisch (verantwoordelijkheden)
  • Bedrijfsmiddelen (infrastructuur, netwerk, systemen en overige bedrijfsmiddelen)
  • Personeel (huisregels, fouten, diefstal, fraude, misbruik)
  • Fysiek (sloten, brandbeveiliging)
  • Communicatie en operatie (beheer van systemen, processen en procedures)
  • Toegangscontrole (password, biometrie)
  • Systeem- en softwareontwikkeling en onderhoud (documentatie, processen)
  • Incident management (anticiperen en reageren op beveiligingsproblemen)
  • Continuïteit (calamiteitenvoorzieningen)
  • Regelgeving (Wet Computercriminaliteit, Wet Bescherming Persoonsgegevens)

Het certificaat wordt voor 3 jaar uitgereikt en houdt ook een constante tussentijdse opvolging in waarbij het naleven van de processen wordt afgetoetst.

U kan ons certificaat hier: http://www.kiwa.nl/gecertificeerde-bedrijven.aspx?certNr=k87026/01 raadplegen of bekijk de bijlage: ISO 27001 certificaat Stone Internet Services .

Op die manier weet u ook dat we zorgzaam en correct omgaan met processen waarbij financiële risico’s of risico’s ten aanzien van de privacy van gegevens in het spel zijn.

Keeping it up: 2 populaire stemtesten gehost bij Stone

De afgelopen weken werkten we samen met verschillende partijen aan het online brengen en online houden van 2 populaire stemtesten.  Wij verzorgden de hosting voor zowel de stemtest van de VRT / De standaard / RTBF en een reeks franstalige kranten ( http://stemtest2014.deredactie.be ) als de stemtest van Het Nieuwsblad, Het Belang van Limburg en Gazet Van Antwerpen ( http://www.uwregering.be ). Twee verschillende testen die bij ons ook een verschillende aanpak vergden.

Waar de ene test de meest geteste was, daar was de andere de meest originele:

Beide platformen werden voorzien van dezelfde toeters en bellen, al verschilt het nut van elk door ons aangeboden bouwblok voor elke test. Voor de stemtest bleek  onze CDN de cruciale enabler in het project, terwijl we voor uwregering.be de nodige schaalbaarheid konden halen uit de automatische schalingsfunctionaliteiten van ons platform.

• Content Delivery Network

Als lid van de Onapp CDN federatie bieden we bandbreedte en servercapaciteit aan voor het aanbieden van statische bestanden op daarvoor geoptimaliseerde servers. Dit ontlast de front end servers van het serveren van statische bestanden.  We hebben meer dan voldoende capaciteit in België (in Brussel en Antwerpen)  en hebben de volldedige kwaliteit van de edge server voor het Belgische doelpubliek in handen.  In het geval er wat zou mislopen met onze eigen edge servers kunnen we terugvallen op netwerk en servercapaciteit van meer dan 100 partners  in het buitenland die we selecteerden op kwaliteit.  De CDN zorgt ervoor dat steeds voldoende capaciteit beschikbaar. We kunnen via de federatie bijgevolg de nodige capaciteit bieden om iedereen snel en vlot de stemtesten te serveren.  En in tegenstelling tot CDN’s van derde partijen (die vaak door concullega’s aangeboden worden) kunnen we de kwaliteit in België garanderen, het zijn immers onze servers, in ons beheer, in ons eigen netwerk. Het inzetten van de CDN verlaagt ook de kosten: er is minder server capaciteit nodig om hetzelfde te doen.

• Applicatie en database gespreid over 2 datacentra

Dit is onze default setup voor projecten van dit kaliber. We voorzien servercapaciteit op onze platformen zowel in Brussel als in Antwerpen. Zo blijft de applicatie online bij een mogelijke storing op datacenter of netwerkniveau.

• SSD powered SAN

In deze projecten gebruiken we uitsluitend supersnelle SSD disks zodat de snelheid van de harde schijven geen bottleneck kan vormen. We halen per ingezette server 25000 schijfoperaties en meer, wat het equivalent is van een honderdtal traditionele schijven.  En SSD is de toekomst, we investeerden zonet in 40TB SSD storage, goed voor bijna 4.000.000 iops.  Goed voor de performance van 20.000 oude harde schijven.

• Automatische Schaling en facturatie per uur

Automatische schaling was heel belagrijk in dit project, het was moeilijk te voorspellen hoeveel personen er tegelijk de test zouden afnemen. Om dit op te lossen werden waar mogelijk de componenten elastisch voorzien: er worden extra front end servers opgestart bij verhoogde belasting. Vooral bij het uwregering.be platform was dit essentieel: onze initiële testen toonden aan dat het genereren van de afbeeldingen met de regeringsfoto het zwaartepunt was. We hebben het proces samen met ontwikkelaar Nascom zodanig geoptomaliseerd dat regeringen in recordtempo werden gevormd. We testten het process tot 130 afbeeldingen per seconde.

  • Loadtesting en samenwerking met de stakeholders

Beide stemtesten werden grondig getest door het verwacht aantal bezoekers te simuleren.  We meten alles en met tools als newrelic kunnen we duidelijk de pijnpunten in kaart brengen. We rapporteren deze dan ook aan onze partners.

De stemtest van VRT/De Standaard/Universiteit Antwerpen/ Treecompany slaagde met glans bij de eerste run, we hadden geen verdere feedback voor Wieni en konden enkel bevestigen dat het samen met wieni uitgewerkte platform en de code het aan zou kunnen.  De initiële kickoff gesprekken en de expertise van Wieni waren voldoende.

Bij het project uwregering met nascom waren er meer werkpuntjes na onze testen – de applicatie en eisen van de eindklant waren dan ook veel complexer: we tuneden verder ons platform en maakten we samen met nascom nog een essentiële change om de schaalbaarheid te kunnen garanderen: het samenstellen van de regeringen wordt gedaan met aparte workers zodat testers niet lang zouden moeten wachten op het vormen van de regering.  Door het samenstellen van de regering in de achtergrond te laten lopen konden we de nood aan servers grondig reduceren. Ook onze suggestie voor een wachtboodschap tijdens het genereren werd ingevoerd:

Bij plotse bezoekerspieken werd er gewoon automatisch extra afbeeldingsverwerkingscapaciteit toegevoegd en hop: regeringen werden aan een sneltempo gevormd bij welke piekbelasting ook. En allemaal binnen het hostingbudget.

Lees hier meer over wat nascom gedaan heeft voor uwregering.

En uiteindelijk ging het allemaal heel snel, te snel zelfs voor sommigen:

Ze mogen onze servers altijd gebruiken bij de volgende regeringsvorming.

Last but not least: Samenwerking met stakeholders is key

Tenslotte een pluim voor zowel Wieni (agency achter de stemtest) als Nascom (agency achter uwregering) voor de constructieve samenwerking  bij deze projecten. Dit voor, tijdens en na de launch. Onze expertise als infrastructuur specialist en de expertise in de ontwikkeling van applicaties was in beide gevallen een winnende combinatie.

Hosting the Madness: Hoe Stone de websites en applicaties van Tomorrowland recht hield

Sinds eind 2012 is Stone hosting partner van ID&T België en Tomorrowland. De Symfony API, de apps, de preregistratie, de Drupal website en ticket activaties werden door ons gehost. We haalden alle tools boven om de sites online en performant te houden.

Net geen 10 Miljoen pageviews tijdens het festivalweekend en net geen 5 miljoen bezoekers op de website. Voor een website is dit: Madness. Ter vergelijking: het andere grote belgische festival Rock Werchter kreeg 110.000 bezoekers op de eerste festivaldag. Het bereik van tomorrowland is dus 10x dit van Rock Werchter en wellicht meer indien we de twitter, facebook en youtube stats vergelijken. Zelfs de grote elektronische dancefestivals als Electric Daisy Carnival en Ultra verbleken bij de cijfers van tomorrowland.

Google Stats tomorrowland.com:

Aantal volgers op twitter:

It really was Madness!

We hebben het dan niet eens over de mobile apps en het verkeer op de website van het Amerikaanse broertje Tomorrowworld.

Om de piek te realiseren werden de websites en applicaties geclustered over onze datacentra in Diegem en Antwerpen, dit liet ons toe capaciteit te spreiden én ervoor te zorgen dat de websites en applicaties ten allen tijde bereikbaar zou blijven indien er zich een probleem zou voordoen op datacenter niveau.

Projecten van dit kaliber zijn normaal enkel weggelegd voor de Amazons, Googles en Microsofts van deze wereld. We slaagden er in als lokale speler de nodige schaal en internationale footprint te bieden voor dit project en gecombineerd met onze persoonlijke,  lokale ondersteuning was dit doorslaggevend voor ID&T om voor ons te kiezen.

Enkele uitdagingen in dit project:

  • Hoe kunnen we anticiperen op 3 miljoen mensen die één van de 180.000 tickets willen bemachtigen?
  • Hoe kunnen we vlot 1 miljoen preregistratie mails binnen het uur verweken?
  • Hoe zorgen we ervoor dat de website te allen tijde snel en responsief blijft, overal te wereld?
  • Hoe werken we een oplossing uit die op kritieke momenten NIET offline kan gaan?

Testen, testen en testen

Voorafgaand aan elke fase in de cyclus van het festival werd elk onderdeel door ons team grondig geloadtest, we simuleerden het verwachtte aantal bezoekers en op basis van onze feedback kon Nascom, het web agency dat de website bouwde, optimaliseringen doorvoeren op code niveau en waren we bugs die voor performance problemen kunnen zorgen steeds een stapje voor. Elk onderdeel werd grondig getest: de preregistratie formulieren, de social en app API, de Drupal website en de formulieren die instaan voor de activatie van de bandjes. Onze expertise werd door ID&T ook ingezet om problemen met aan tomorrowland gebonden applicaties bij derde partijen op te lossen. Overleg met ID&T, Nascom en andere stakeholders was een belangrijke factor die bijdroeg aan een technisch optimale website en applicaties. Nascom werd ook voorzien van een staging omgeving en de nodige tools om zelf releases te doen op het platform (via Capistrano), al gebeurden deze deploy momenten in overleg. We volgden het project op de voet en waren steeds stand by op de kritieke momenten.

Content Delivery Network (CDN) en caching strategie

Gezien het enorme internationale karakter van Tomorrowland was het belangrijk om de content zo dicht mogelijk bij de eindgebruiker te brengen, dankzij ons lidmaadschap in de Onapp federatie hebben wij toegang tot meer dan 160 locaties ter wereld waar wij content ter beschikking kunnen stellen. Voor bezoekers uit het buitenland werd de website steeds geserveerd door een partner in de CDN federatie die zich het dichtst bij de bezoeker bevindt, resultaat: snelle laadtijden voor de eindgeberuiker én een ontlasting van het netwerk waar de applicaties zelf draaien. Zelf voorzagen we de nodige capaciteit in Brussel en Antwerpen om zo ook de Belgen een optimale site beleving te bezorgen. We testten alle locaties waar we toegang tot hadden en beperkten ons uiteindelijk tot de eindpunten die voldoende bandbreedte ter beschikking hadden voor de verwachte bezoekers. Onze internationale partner in dit verhaal stond ons hierbij bij en gaf ons inzage in de SLA en performance metrics van de partners in onze federatie. Als Belgische speler kunnen we dankzij deze federatie een gigantische internationale schaal aanbieden.

Verkeer in Mbit op de CDN

Het uitwerken van een caching strategie was uiteindelijk de moeilijkste hersenbreker in het project: wanneer een pagina geupdated wordt moet dit snel verspreid kunnen worden. TTL en caching waarden werden zorgvuldig gekozen en indien nodig werd de CDN API aangesproken om de caches snel te flushen. Daarnaast mogen sommige pagina’s niet gecached worden (zoals het activeren van de bandjes en de respons van het formulier) en diende er een lijst met uitsluitingen opgesteld te worden. Deze elementen van de site dienen immers verwerkt te worden door de servers in Brussel en Antwerpen.

Caching werd gebruikt op verschillende niveau’s: MemCached voor database caching, PHP-APC voor opcode caching, Varnish voor het cachen van de API en website en ten slotte houden de CDN edge servers ook voor langere tijd een kopie bij van de statische elementen.

Een echt flexibel en schaalbaar cloud platform

Ons cloud platform heeft als bijkomende troef dat – mits goed opgezet – we applicaties en server clusters up en down kunnen schalen naar gelang de vraag. Op piekmomenten zoals bij de preregistratie werd er automatisch geschaald tot 24 front end servers en een handvol servers voor database en mail diensten. In ‘dalperiodes’ gaat de setup automatisch terug naar de minimale noodzakelijke setup. Dit zorgt ervoor dat ID&T de kosten onder controle kan houden er niet het gehele jaar de capaciteit voor 2 miljoen bezoekers per dag afgenomen dient te worden. Ook dient men zich geen zorgen te maken indien de pieken groter zijn dan verwacht. Zo was dit jaar het aantal bezoekers van de website op festvaldag enkele factoren hoger dan vorig jaar en volgde er een onverwachte extra piek toen de youtube livestream er door de storm even uit lag. We vingen dit perfect op.

Op naar tomorrowworld!

Oh, een een filmpje met meer info is te vinden op de website van onze partner Onapp.

Ook een uitdagend webproject in de pijplijn?

Contacteer ons voor een offerte en advies op maat