怎样用CDN防篡改、抗攻击、控内容?一份CDN安全指南请查收-阿里云开发者社区

开发者社区> 云攻略小攻> 正文

怎样用CDN防篡改、抗攻击、控内容?一份CDN安全指南请查收

简介: CDN是业界公认的加速网站访问效率、提升用户体验的内容分发加速产品,也是互联网重要基础设施之一。阿里云CDN除了传统缓存、优化保障访问质量外,也天然具备边缘安全的优势。在安全问题更严峻、更频发、更复杂的互联网态势之下,加持安全防护的能力已经逐渐成为新一代CDN的标配。

9989c5b90f96dedb20d3e717592eeed2c54bdb86.jpeg

阿里云安全月专题页链接:https://developer.aliyun.com/topic/securityapril

阿里云CDN经过10多年的技术沉淀和实践,已经从传统的加速,逐渐构筑起一个边缘+云的安全网络立体防护体系,从全链路安全传输、常见攻击类型的边缘防御、企业级独享资源部署、运维以及内容安全保障机制几个维度,为企业通向网络提供安全可靠的桥梁。

基础安全能力 保障全链路安全传输

一、源站保护

由于CDN的分布式架构,用户通过访问就近边缘节点获取内容,通过这样的跳板,有效地隐藏源站IP,从而分解源站的访问压力。当大规模恶意攻击来袭时,边缘点节可以做为第一道防线进行防护,大大分散攻击强度,即使是针对动态内容的的恶意请求,阿里云CDN的智能调度系统还可以卸载源站压力,维护系统平稳。

9989c5b90f96dedb20d3e717592eeed2c54bdb86.jpeg

二、防篡改能力

阿里云CDN提供企业级全链路HTTPS+节点内容防篡改能力,保证客户从源站到客户端全链路的传输安全。在链路传输层面,通过HTTPS协议保证链接不可被中间源劫持,在节点上可以对源站文件进行一致性验证,如果发现内容不一致会将内容删除,重新回源拉取,如果内容一致才会进行分发。整套解决方案能够在源站、链路端、CDN节点、客户端全链路保证内容的安全性,提供更高的安全传输保障。

9989c5b90f96dedb20d3e717592eeed2c54bdb86.jpeg

三、访问和认证安全

阿里云CDN可以通过配置访问的referer、User-Agent以及IP黑白名单等多种方式,来对访问者身份进行识别和过滤,从而限制资源被访问的情况;并且设置鉴权Key对URL进行加密实现高级防盗链,保护源站资源。同时通过构建IP信誉库,加强对黑名单IP的访问限制。

企业级边缘安全能力 全面抵御常见攻击类型

2019年, 阿里云云安全监测到云上DDoS攻击发生近百万次,应用层DDoS(CC攻击)成为常见的攻击类型,攻击手法也更为多变复杂;同时,Web应用安全相关的问题依然占据非常大的比重,从用户信息泄露到羊毛党的狂欢,无时无刻不在考验着每一个行业、每一个Web应用的安全水位。为了让承载数据传输的网络平台更加安全可靠,阿里云CDN一直不断夯实安全上的能力。

一、 DDoS清洗

CDN面向企业提供边缘化的应用层DDoS,即CC防护能力,可以通过IP,Header参数,URL参数等多个维度进行监控,并可以通过次数,状态码,请求方法进行数据统计,并最终进行恶意访问的安全拦截,有效保证正常业务量的访问。面对网络层DDoS攻击,CDN产品与DDoS产品可以实现联动,在分发场景中可以通过CDN进行分发,在DDoS攻击发生时,可以探测攻击的区域,并有效的将攻击调度到DDoS进行防护清洗,有效保护源站。

通过联动方案可以有效利用海量DDoS清洗,完美防御SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS 、HTTP 等Flood。同时,基于阿里云飞天平台的计算能力和深度学习算法,智能预判DDoS攻击,平滑切换高防IP,不影响业务运行。

9989c5b90f96dedb20d3e717592eeed2c54bdb86.jpeg
二、WAF

CDN结合WAF能力,形成边缘的应用层防护能力,将业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障企业业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。CDN WAF提供虚拟补丁,针对网站被曝光的最新漏洞,最大可能地提供快速修复规则。并且依托云安全,快速的漏洞响应速度,及时的漏洞修复能力。

三、防刷防爬

面对网络爬虫的恶意爬取,CDN平台基于阿里巴巴集团业务沉淀的恶意IP库、恶意指纹库等,通过贴近业务风险的机器学习能力和定制化爬虫模型进行精准对抗,降低爬虫、自动化工具对网站业务的影响,保障企业的数据安全,维护企业的核心商业价值。

CDN资源独享 提升企业安全系数

针对如数字政务、大型企业等具有强安全需求的业务场景,阿里云CDN也提供独享资源方案。首先,CDN支持客户通过安全加速节点实现物理隔离,完全单独构建,深度集成安全功能,提供单节点高级高防能力。其次,CDN提供独享IP资源,保证业务安全风险隔离,不会在别人受到攻击时被影响。第三,CDN支持单用户独立调度域,用户之间DNS攻击互不影响,百万QPS的DNS Flood防护。

坚守内容与平台的“生产”安全底线

一、平台内容健康合规

阿里云基于人工智能及海量样本集,深度学习训练识别模型,精准识别通过CDN加速的图片中的涉黄场景,并可根据用户实际的管控需求,提供多层次的识别与灵活管控方案。整体鉴黄准确率超过99%,可替代90%以上的人工审核,大幅度降低违规风险。

二、运维便捷与安全性

通过简化安全加速架构,让运维人员更便捷地进行一站式自助配置与API管控,实现日常攻击的监控告警、全链路排查、自动防护与实时全景数据日志查看。同时大型活动期间的护航与重保响应制度,可以辅助企业应用一起抵御安全风险,保护系统平稳。

除了在上述技术,阿里云CDN平台也通过了国家信息安全等级保护2.0三级、ISO9001、PCI-DSS等合规认证,在网络安全、数据安全、服务安全等方面测评获得世界权威认可。

行业应用案例

电商——双11全球狂欢节

在2019年双11当日,阿里云CDN为淘宝拦截恶意爬取商品 5100万个,拦截恶意请求8.5亿次,节省峰值带宽超过65%。

企业网站——亚洲航空大促

亚航是亚洲最大的廉价航空公司,连续11年获得“世界最佳低成本航空公司”称号。亚航在每个季度会举行一次大型机票促销活动,借助于阿里云CDN+WAF(Anti-Bot)的架构,可以实现对刷票类请求的快速封禁,通过长期持续分析大促期间的占座情况,将占座率压到了比较低的水平,保证亚航业务营收的稳定。

为了满足更多企业的安全性与业务稳定需求,阿里云面向政府、金融、传媒以及传统企业客户推出政企安全加速解决方案,基于全球分布的2800+CDN边缘加速节点与全球领先的云安全技术,实现加速和安全两者兼得,帮助其更便捷、稳定、安全地使用互联网进行用户交互,拥抱数字化、在线化红利。

版权声明:本文中所有内容均属于阿里云开发者社区所有,任何媒体、网站或个人未经阿里云开发者社区协议授权不得转载、链接、转贴或以其他方式复制发布/发表。申请授权请邮件developerteam@list.alibaba-inc.com,已获得阿里云开发者社区协议授权的媒体、网站,在转载使用时必须注明"稿件来源:阿里云开发者社区,原文作者姓名",违者本社区将依法追究责任。 如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:developer2020@service.aliyun.com 进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:

计算,存储,网络,数据库,企业应用服务,开发者服务统统在这里。

官方博客
查看更多产品信息