随着資訊技術快速發展與應用,産業數字化和智能化趨勢正日益加深,企業資訊安全與防護被提升到前所有未有的高度。阿裡雲CDN經過10多年的技術發展時間,已逐漸構築一個邊緣+雲的安全網絡立體防護體系,包含了全鍊路安全傳輸、常見攻擊類型的邊緣防禦、企業級獨享資源部署、運維以及内容安全保障機制,為企業打造安全出海的網絡營運環境。
在CDN安全防護存在兩個核心場景:擁塞帶寬和耗盡資源。
對于擁塞有限帶寬入口這類攻擊,本質上要在流量上Hold住。CDN天然具有豐富的節點資源,使用分布式的網絡将攻擊分散到不同的邊緣節點,同時在近源清洗後傳回服務端。
對于耗盡有限資源這類攻擊,本質上要做到攻擊的快速可見,并且能夠把相應特征進行阻斷。單純依靠CDN不能特别有效的解決問題,需要通過CDN節點上的配置,完成智能精準檢測DDoS攻擊,并自動化排程攻擊到DDoS高防進行流量清洗,這時候需要使用者購買高防抗DDoS的産品。
基于阿裡雲CDN+雲安全建構的邊緣安全體系
基于阿裡雲CDN建構的邊緣安全體系,其核心能力仍是加速,但又不止于加速。加速是整體方案的基礎,依托于阿裡雲全站加速平台,通過自動化動靜分離,智能路由選路,私有協定傳輸等核心技術,提升靜動态混合站點的全站加速效果。在加速基礎之上,為客戶提供豐富的邊緣應用層安全、網絡層DDoS防禦、内容防篡改、全鍊路HTTPS傳輸,高可用安全,安全合規 6大方面安全能力,從客戶業務流量進入CDN産品體系,一直到回到客戶源站,全鍊路提供安全保障,保障企業網際網路業務的安全加速。
邊緣安全防護
阿裡雲CDN通過建構完整的企業級邊緣安全能力,包括DDoS緩解,WAF,頻次控制,IP/區域封禁,機器流量管理,精準通路控制等,做到從網絡層到應用層的全棧防護。在不犧牲網站加速性能的同時,全面保障客戶線上業務的穩定性和安全性。
每年,阿裡雲安全監測到雲上DDoS攻擊發生近百萬次,應用層DDoS(CC攻擊)成為常見的攻擊類型,攻擊手法也更為多變複雜;同時,Web應用安全相關的問題依然占據非常大的比重,從使用者資訊洩露到羊毛黨的狂歡,無時無刻不在考驗着每一個行業、每一個Web應用的安全水位。為了讓承載資料傳輸的網絡平台更加安全可靠,阿裡雲CDN一直不斷夯實安全上的能力。
1. DDoS緩解
CDN與DDoS高防産品可以實作關聯,在分發場景中可以通過CDN進行分發。在DDoS攻擊發生時,可以将發生DDoS攻擊區域的流量排程到DDoS高防去清洗,有效保護業務的服務品質。通過關聯方案可以有效清洗海量DDoS攻擊,完美防禦SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS等Flood 型攻擊。同時,基于阿裡雲飛天平台的計算能力和深度學習算法,智能預判DDoS攻擊,平滑切換為DDoS高防,且不影響業務運作。
2. 機器流量管理
面對網絡爬蟲的惡意爬取,CDN平台基于阿裡巴巴集團業務沉澱的惡意IP庫、惡意指紋庫等,通過貼近業務風險的機器學習能力和定制化爬蟲模型進行精準對抗,降低爬蟲、自動化工具對網站業務的影響,保障企業的資料安全,維護企業的核心商業價值。
3. 頻次控制
當網站遭受惡意CC攻擊并響應緩慢時,通過頻次控制功能,可以秒級阻斷通路該網站的請求,提升網站的安全性。頻次控制保護您的網站 URL免受超出設定門檻值的可疑請求的影響。它支援豐富的監測對象,并配以自定義規則,來定義合适的通路門檻值。一旦達到設定的請求門檻值,就會觸發自定義響應,通過多樣化的手段(如阻斷或者質詢)來處理過于頻繁的通路請求。
4. IP/區域封禁
配置IP黑白名單來實作對訪客身份的識别和過濾,進而限制通路CDN資源的使用者,提升CDN的安全性。另外還能配置國家的黑白名單,幫助您一鍵阻斷來自指定區域的通路請求,解決部分地區高發的惡意請求問題。
5. 精準通路控制
允許自定義比對條件,實施精準的通路控制。比對條件能夠檢查常見的HTTP字段(如IP、URL、header等),來滿足業務場景的定制化需求。該功能通過支援豐富的請求字段,定義多樣化的比對條件,來描述所要捕獲的通路請求。一旦請求被比對,就會觸發規則所定義的操作,如質詢、觀察、阻斷等,做到精準的通路準入。
6. WAF
由于CDN的分布式架構,使用者通過通路就近邊緣節點擷取内容,通過這樣的跳闆,有效地隐藏源站IP,進而分解源站的通路壓力。當大規模惡意攻擊來襲時,邊緣節點可以做為第一道防線,不僅大大分散攻擊強度,還可以通過上述的多種安全能力完成邊緣的防護。
阿裡雲CDN 還內建雲WAF能力,實作源站最後一層的防護。WAF 會對回源的業務流量進行惡意特征識别及防護,将正常安全的流量回源到伺服器,進而避免網站伺服器被惡意入侵,保障企業業務的核心資料安全,解決因惡意攻擊導緻的伺服器性能異常問題。CDN WAF提供虛拟更新檔,針對網站被曝光的最新漏洞,最大可能地提供快速修複規則,并依托雲安全,快速實作漏洞響應和修複。
防篡改能力
阿裡雲CDN提供企業級全鍊路HTTPS+節點内容防篡改能力,保證客戶從源站到用戶端全鍊路的傳輸安全。在鍊路傳輸層面,通過HTTPS協定保證連結不可被中間源劫持,在節點上可以對源站檔案進行一緻性驗證,如果發現内容不一緻會将内容删除,重新回源拉取,如果内容一緻才會進行分發。整套解決方案能夠在源站、鍊路端、CDN節點、用戶端全鍊路保證内容的安全性,提供更高的安全傳輸保障。
資源獨享 提升企業安全系數
針對大型企業等具有強安全需求的業務場景,阿裡雲CDN提供獨享資源方案:
支援客戶通過安全加速節點實作實體隔離,完全單獨建構,深度內建安全功能,提供單節點進階高防能力;
提供獨享IP資源,保證業務安全風險隔離,不會在别人受到攻擊時被影響;
支援單使用者獨立排程域,使用者之間DNS攻擊互不影響,百萬QPS的DNS Flood防護。
堅守内容與平台的“生産”安全底線
阿裡雲基于人工智能及海量樣本集,深度學習訓練識别模型,精準識别通過CDN加速的圖檔中的涉黃場景,并可根據使用者實際的管控需求,提供多層次的識别與靈活管控方案。整體鑒黃準确率超過99%,可替代90%以上的人工稽核,大幅度降低違規風險。
通過簡化安全加速架構,讓運維人員更便捷地進行一站式自助配置與API管控,實作日常攻擊的監控告警、全鍊路排查、自動防護與實時全景資料日志檢視。同時大型活動期間的護航與重保響應制度,可以輔助企業應用一起抵禦安全風險,保護系統平穩。
阿裡雲CDN平台還通過了國家資訊安全等級保護2.0三級、ISO9001、PCI-DSS等合規認證,在網絡安全、資料安全、服務安全等方面測評獲得世界權威認可。
行業應用案例
企業網站——航空大促
亞洲某廉價航空公司,在每個季度會舉行一次大型機票促銷活動,借助于阿裡雲CDN+WAF的架構,可以實作對刷票類請求的快速封禁,通過長期持續分析大促期間的占座情況,将占座率壓到了比較低的水準,保證業務營收的穩定。
遊戲公司-遊戲出海
中國遊戲公司出海大軍中,有一匹脫穎而出的黑馬。這家企業使用阿裡雲DCDN來整合超大規模的使用者體驗,允許使用者将其源伺服器的所有邊界網關協定(BGP)網絡資源替換為單個操作網絡,将源伺服器的帶寬成本降低了50%以上。