网络攻击见招拆招?阿里云高级技术专家赵伟教你在CDN边缘节点上构建多层纵深防护体系

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
简介: 5月20日,阿里云新品发布会第94期,政企安全加速解决方案正式发布。当下政企数字化转型步伐加速,业务在线化与架构网络化已经成为政企核心竞争力之一,作为互联网的入口,CDN如何将安全能力注入其中,构建企业级安全加速技术架构?边缘安全技术又将如何帮助企业应对愈发严峻的网络安全态势,抵御DDoS/CC、Web应用攻击以及进行互联网机器流量管理?阿里云高级技术专家赵伟在发布会中做了如下解答。

网络安全态势严峻,常见的五大网络攻击风险类型

赵伟认为,企业线上服务所面临的安全风险,主要来自以下五个方面:

  • DDoS攻击

DDoS攻击类型已有20多年历史,它攻击方式简单直接,通过伪造报文直接拥塞企业上联带宽。随着IoT等终端设备增多,网络攻击量也愈发凶猛。根据阿里云安全中心报告显示,在2019年,超过100G的攻击已经比较常见,而且超过 500G 的攻击也已经成为常态。一旦企业服务面临这种情况,上联带宽被打满,正常请求无法承接,就会导致企业服务无法正常提供线上服务。因此,防御DDoS 攻击依然是企业首先要投入去应对的问题。

  • CC攻击

相比于四层DDoS攻击伪造报文,CC攻击通过向受害的服务器发送大量请求来耗尽服务器的资源宝库CPU、内存等。常见的方式是访问需要服务器进行数据库查询的相关请求,这种情况想服务器负载以及资源消耗会很快飙升,导致服务器响应变慢甚至不可用。

  • Web攻击

常见的 Web 攻击包括SQL 注入、跨站脚本攻击XSS、跨站请求伪造CSRF等。与DDoS和CC以大量报文发起的攻击相比,Web 攻击主要是利用 Web 设计的漏洞达到攻击的目标。一旦攻击行为实施成功,要么网站的数据库内容泄露,或者网页被挂马。数据库内容泄露严重影响企业的数据安全,网页被挂马会影响企业网站的安全形象以及被搜索引擎降权等。

  • 恶意爬虫

根据阿里云安全中心的报告数据显示,2019年,恶意爬虫在房产、交通、游戏、电商、资讯论坛等几个行业中的占比都超过50%。恶意爬虫通过去爬取网站核心的内容,比如电商的价格信息等,对信息进行窃取,同时也加重服务器的负担。

  • 劫持篡改

劫持和篡改比较常见,当网站被第三方劫持后,流量会被引流到其他网站上,导致网站的用户访问流量减少,用户流失。同时,对于传媒、政务网站来说,内容被篡改会引发极大的政策风险。

企业线上业务需要构建多层次纵深防护

面对愈发严峻的网络安全态势,为了应对以上安全风险,企业在关注线上业务的流畅、稳定的同时,也要构建多层次纵深防护体系,从各个层面建立响应的应对措施和防护机制。

  1. 在网络层,需要进行DDoS攻击的清洗和处理,当造成更严重影响需要通过切换IP以及联合黑洞机制去缓解。
  2. 在传输层,相较于传统明文传输,通过https的支持去进行传输层面加密,来避免证书伪造。
  3. 在应用层,需要进行CC防护、防爬、业务防刷的能力部署,防止恶意攻击者刷带宽的情况发生,避免经济和业务损失。贴近源站的防护方面,需要部署WAF和防篡改,对源站和内容进行防护。

9989c5b90f96dedb20d3e717592eeed2c54bdb86.jpeg

企业需要在网络层、传输层、应用层等多层次构建防护能力,同时在应用层,对于不同场景要有不同防护措施。

基于CDN构建边缘安全+高防中心防护安全架构

基于对纵深防护的理解,阿里云CDN的安全架构是基于CDN分布式节点实现的边缘安全防护机制,同时联动高防清洗中心进行防护。

如下图所示,整体安全架构第一层防护就是构建在全球CDN节点上,将更多安全能力加强在边缘节点上,通过多层次多维度流量数据统计和攻击检测的能力,包括DDoS、HTTP访问信息等数据汇总到安全大脑,安全大脑再对数据进行综合分析,针对不同层次的攻击下发相应的动态防御策略到边缘节点。与此同时,边缘节点自身也会进行自动防御和清洗。另外,整体安全架构将WAF和防篡改能力部署在回源节点上,对攻击到达源站之前进行防御。如果源站希望只在CDN服务之下,不想暴露在公网上,整体架构也会基于CDN提供源站高级防护能力,避免源站被恶意扫描者被发现。

9989c5b90f96dedb20d3e717592eeed2c54bdb86.jpeg

对于金融、政府等场景,需要具备大流量抗D的能力,CDN有海量边缘节点通过自己的调度和清洗能力把大部分DDoS攻击给消化掉。当一旦出现更严重的DDoS攻击时,安全大脑会指导智能调度,将被攻击的流量切换到高级防护节点去清洗。

阿里云CDN安全架构三个核心能力

在以上的CDN安全架构基础之上,赵伟也对DDoS防护智能调度、Web防护以及机器流量管理三个核心能力进行解读。

一、DDoS防护智能调度:边缘节点分布式抗D与高防中心大流量抗D联动

9989c5b90f96dedb20d3e717592eeed2c54bdb86.jpeg

DDoS防护智能调度的策略是,业务流量缺省通过CDN分发,最大程度确保加速效果和用户体验,而当检测到大流量 DDoS 攻击之后,智能调度会判断严重程度并决策由高防进行 DDoS清洗,同时根据攻击情况进行区域调度或全局调度,而当DDoS 攻击停止后,智能调度系统会自动决策将高防服务的业务流量调度回 CDN 边缘节点,尽最大可能的保证正常加速效果。

DDoS防护智能调度最核心就是边缘加速、智能调度、T级防护三块,边缘加速的基础上具备充分的DDoS攻击检测以及智能调度的能力,决策什么时候进行高防去清洗,严重的攻击进入T级防护中心进行清洗。目前方案已经在金融行业、传媒行业沉淀了典型客户。

二、Web防护——八层安全功能,层层过滤恶意请求

Web防护的策略是通过层层过滤,来抵御恶意请求。第一层是精准访问控制,指具体对http请求的拦截策略;第二层是区域封禁,对业务无效区或者异常地域请求进行拦截;第三层IP信誉系统,是利用阿里云多年积累的互联网IP大数据画像,对恶意行为进行分类并对IP进行拦截;第四层是黑名单系统,是对某些UA或者IP进行拦截,以上四层都属于精确拦截;第五层是频次控制,对相对高频且访问异常IP进行拦截;第六层是对于互联网机器流量进行管理,阻断恶意爬虫;第七第八层是WAF和源站高级防护,对于源站进行更深层次的防护。

9989c5b90f96dedb20d3e717592eeed2c54bdb86.jpeg

赵伟认为:CDN边缘节点是最接近互联网用户的,在所有的访问请求中,可能有正常用户的请求,当然也会存在爬虫、注入、跨站的访问请求,经过以上逐层的防护策略,过滤掉相应恶意请求,最终可以达到只有正常请求返回源站的效果。

三、机器流量管理——识别互联网Bot流量,阻断恶意爬虫

机器流量管理部署在边缘,当各种互联网访问进入CDN边缘节点之后,机器流量管理系统会提取最原始的Client信息,分析信息计算Client特征值,并与阿里云安全积累的机器流量特征库进行匹配,最终识别结果,正常访问、搜索引擎、商业爬虫这些行为是网站期望的行为,会被放行,而恶意爬虫会被拦截。在处置动作上,机器流量管理相比当前常见嵌入在正常页面中的行为,侵入性有所降低,支持相对平滑的接入。

下图是一个实际的案例,在执行机器流量管理策略的时候,首先会对某域名进行流量分析,左侧图是针对某域名开启机器流量分析后,识别出超过 82% 的请求为恶意爬虫,然后开启拦截机器流量中的恶意爬虫流量后,如右侧图所示,域名峰值带宽下降超过80%。

9989c5b90f96dedb20d3e717592eeed2c54bdb86.jpeg

CDN目前已经是互联网流量的主要入口,把安全能力注入CDN边缘节点,为客户提供一站式安全加速解决方案成为行业大势所趋。在发布会的最后,赵伟分享到:未来,阿里云政企安全加速解决方案将在场景化、便捷化、智能化三个方面深耕,为客户提供更贴近需求的、更快捷省心的、更智能高效的安全策略,让CDN可以成为每个企业在线服务的第一道防线,来保障企业应用的安全、稳定运行。

活动福利
2020年6月30日前,CDN加速10Mbps以内带宽免费试用1个月,30Gbps DDoS防护、高级版WAF试用1周,并赠送一次漏洞扫描服务,总名额限100个,先到先得。

点击填写表单参与活动

答疑钉钉群:34249460

相关实践学习
Serverless极速搭建Hexo博客
本场景介绍如何使用阿里云函数计算服务命令行工具快速搭建一个Hexo博客。
相关文章
|
6月前
|
云安全 机器学习/深度学习 安全
云端防御战线:云计算安全与网络防护策略
【2月更文挑战第30天】 在数字转型的浪潮中,云计算已成为企业IT架构的核心。然而,随着云服务应用的普及,网络安全威胁也随之增加。本文将深入探讨云计算环境中面临的安全挑战,并剖析如何通过一系列先进的技术手段和策略来加强数据保护,确保信息资产的安全。我们将讨论包括加密技术、身份认证、入侵检测系统、安全事件管理等在内的多种安全措施,并分析这些措施如何协同工作以形成一个多层次的防御体系。
|
3月前
|
边缘计算 运维 安全
出海浪头之上,共探CDN进化新支力
阿里云CDN技术沙龙·深圳
94 1
|
6月前
|
监控 安全 网络安全
云端防御策略:融合云服务与网络安全的未来之道
【5月更文挑战第29天】 在数字化时代,云计算已成为企业运营的核心动力,然而伴随其发展,网络安全问题亦成为不可忽视的挑战。本文旨在探讨如何通过融合先进的云服务技术和网络安全策略,构建一个既高效又安全的信息技术环境。文章首先概述了云计算的基本概念及其带来的变革,随后深入分析了网络安全面临的威胁以及应对这些威胁的关键技术,最终提出了一种综合性的云端防御模型,以期为企业提供指导性的网络安全解决方案。
|
6月前
|
监控 安全 网络安全
云端防御策略:融合云服务与网络安全的新纪元
【5月更文挑战第28天】 在数字化时代,云计算已成为企业运营的核心,但随之而来的是日益复杂的网络威胁。本文探讨了如何在不牺牲云服务灵活性和效率的前提下,加强网络和信息安全。我们将详细分析多层次安全框架、加密技术、身份验证机制以及智能监控,并讨论如何将这些安全措施融入日常的云服务管理中。目标是为读者提供一个清晰的指南,帮助他们在享受云计算带来的便利时,确保数据和资源的安全。
|
6月前
|
存储 安全 网络安全
云端防御线:云计算与网络安全的融合策略
【4月更文挑战第7天】 随着企业逐渐将关键业务迁移至云平台,云计算的安全性已成为不容忽视的挑战。本文深入探讨了在动态和复杂的云环境中维护网络安全的多维策略。通过分析云服务模型与网络安全的关系,提出了一套综合性的安全框架,旨在增强数据保密性、完整性及可用性。文章重点讨论了包括身份认证、访问控制、数据加密、入侵检测和安全审计在内的关键技术,并探索了如何将这些技术整合应用到多层次的云安全架构中。同时,文中也对当前面临的挑战和未来的发展趋势进行了前瞻性分析,为构建更可靠的云计算安全体系提供了战略性建议。
|
6月前
|
运维 安全 网络安全
云端防御策略:融合云服务的网络安全新范式
【5月更文挑战第15天】 随着企业逐渐将关键业务迁移至云平台,云计算服务的安全性成为维护信息安全的前沿阵地。本文深入探讨了云服务模型中的网络安全挑战与对策,分析了在公有云、私有云和混合云环境下,如何通过创新的安全架构和技术手段强化数据保护和威胁防御。文章着重讨论了多租户环境中的数据隔离问题、云安全访问控制的最新进展以及针对云环境的安全运维管理实践。通过综合分析,提出了一个多层次、动态适应的安全框架,旨在为云服务用户提供一个更加安全、可靠的计算环境。
|
6月前
|
云安全 监控 安全
云端防御:融合策略在云计算安全与网络防护中的应用
【4月更文挑战第7天】 随着企业和个人日益依赖云服务,云计算平台的安全性成为维护数据完整性和隐私的关键。本文探讨了在现代网络威胁环境下,如何通过融合策略强化云计算的网络安全与信息保障。分析了多层次、多维度的安全措施,包括物理安全、身份认证、数据加密、访问控制及入侵检测系统(IDS),并讨论了这些措施如何相互协作以构建一个坚固的防御体系。文中不仅阐述了各项技术的工作原理,还提供了实施建议,以帮助组织更好地规划和执行他们的云计算安全策略。
|
6月前
|
人工智能 安全 网络安全
云端防御:融合云计算与前沿网络安全策略
【2月更文挑战第30天】 在数字化时代,云计算已成为企业灵活发展、降低成本和创新的催化剂。然而,云服务的广泛采用也带来了前所未有的安全挑战。本文深入探讨了云计算环境中的网络安全问题,分析了当前的信息安全风险,并提出了一系列融合传统与现代技术的网络安全防护措施。这些措施包括但不限于多因素认证、端点保护、数据加密、以及利用人工智能进行异常行为检测等。文章的目的是为读者提供对如何有效保护云基础设施的全面理解,并强调了持续监控和响应对于维护云环境安全的重要性。
|
云安全 存储 安全
深度阿里云云主机智能纵深防御体系首次揭秘
阿里云云主机智能纵深防御体系。通过对海量网络攻防数据的深度解析与过滤,结合中心化决策系统,实现了高检测率和低误报率,攻击水位下降90%。
6377 2
深度阿里云云主机智能纵深防御体系首次揭秘
|
安全 云计算 CDN
阿里云产品体系分为6大分类——云计算基础——CDN与边缘——安全加入SCDN
阿里云产品体系分为6大分类——云计算基础——CDN与边缘——安全加入SCDN自制脑图
105 1
阿里云产品体系分为6大分类——云计算基础——CDN与边缘——安全加入SCDN