随着信息技术快速发展与应用,产业数字化和智能化趋势正日益加深,企业信息安全与防护被提升到前所有未有的高度。阿里云CDN经过10多年的技术发展时间,已逐步构筑一个边缘+云的安全网络立体防护体系,包含了全链路安全传输、常见攻击类型的边缘防御、企业级独享资源部署、运维以及内容安全保障机制,为企业打造安全出海的网络运营环境。
在CDN安全防护存在两个核心场景:拥塞带宽和耗尽资源。
对于拥塞有限带宽入口这类攻击,本质上要在流量上Hold住。CDN天然具有丰富的节点资源,使用分布式的网络将攻击分散到不同的边缘节点,同时在近源清洗后返回服务端。
对于耗尽有限资源这类攻击,本质上要做到攻击的快速可见,并且能够把相应特征进行阻断。单纯依靠CDN不能特别有效的解决问题,需要通过CDN节点上的配置,完成智能精准检测DDoS攻击,并自动化调度攻击到DDoS高防进行流量清洗,这时候需要用户购买高防抗DDoS的产品。
基于阿里云CDN+云安全构建的边缘安全体系
基于阿里云CDN构建的边缘安全体系,其核心能力仍是加速,但又不止于加速。加速是整体方案的基础,依托于阿里云全站加速平台,通过自动化动静分离,智能路由选路,私有协议传输等核心技术,提升静动态混合站点的全站加速效果。在加速基础之上,为客户提供丰富的边缘应用层安全、网络层DDoS防御、内容防篡改、全链路HTTPS传输,高可用安全,安全合规 6大方面安全能力,从客户业务流量进入CDN产品体系,一直到回到客户源站,全链路提供安全保障,保障企业互联网业务的安全加速。
边缘安全防护
阿里云CDN通过构建完整的企业级边缘安全能力,包括DDoS缓解,WAF,频次控制,IP/区域封禁,机器流量管理,精准访问控制等,做到从网络层到应用层的全栈防护。在不牺牲网站加速性能的同时,全面保障客户在线业务的稳定性和安全性。
每年,阿里云安全监测到云上DDoS攻击发生近百万次,应用层DDoS(CC攻击)成为常见的攻击类型,攻击手法也更为多变复杂;同时,Web应用安全相关的问题依然占据非常大的比重,从用户信息泄露到羊毛党的狂欢,无时无刻不在考验着每一个行业、每一个Web应用的安全水位。为了让承载数据传输的网络平台更加安全可靠,阿里云CDN一直不断夯实安全上的能力。
1. DDoS缓解
CDN与DDoS高防产品可以实现联动,在分发场景中可以通过CDN进行分发。在DDoS攻击发生时,可以将发生DDoS攻击区域的流量调度到DDoS高防去清洗,有效保护业务的服务质量。通过联动方案可以有效清洗海量DDoS攻击,完美防御SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS等Flood 型攻击。同时,基于阿里云飞天平台的计算能力和深度学习算法,智能预判DDoS攻击,平滑切换为DDoS高防,且不影响业务运行。
2. 机器流量管理
面对网络爬虫的恶意爬取,CDN平台基于阿里巴巴集团业务沉淀的恶意IP库、恶意指纹库等,通过贴近业务风险的机器学习能力和定制化爬虫模型进行精准对抗,降低爬虫、自动化工具对网站业务的影响,保障企业的数据安全,维护企业的核心商业价值。
3. 频次控制
当网站遭受恶意CC攻击并响应缓慢时,通过频次控制功能,可以秒级阻断访问该网站的请求,提升网站的安全性。频次控制保护您的网站 URL免受超出设定阈值的可疑请求的影响。它支持丰富的监测对象,并配以自定义规则,来定义合适的访问阈值。一旦达到设定的请求阈值,就会触发自定义响应,通过多样化的手段(如阻断或者质询)来处理过于频繁的访问请求。
4. IP/区域封禁
配置IP黑白名单来实现对访客身份的识别和过滤,从而限制访问CDN资源的用户,提升CDN的安全性。另外还能配置国家的黑白名单,帮助您一键阻断来自指定区域的访问请求,解决部分地区高发的恶意请求问题。
5. 精准访问控制
允许自定义匹配条件,实施精准的访问控制。匹配条件能够检查常见的HTTP字段(如IP、URL、header等),来满足业务场景的定制化需求。该功能通过支持丰富的请求字段,定义多样化的匹配条件,来描述所要捕获的访问请求。一旦请求被匹配,就会触发规则所定义的操作,如质询、观察、阻断等,做到精准的访问准入。
6. WAF
由于CDN的分布式架构,用户通过访问就近边缘节点获取内容,通过这样的跳板,有效地隐藏源站IP,从而分解源站的访问压力。当大规模恶意攻击来袭时,边缘节点可以做为第一道防线,不仅大大分散攻击强度,还可以通过上述的多种安全能力完成边缘的防护。
阿里云CDN 还集成云WAF能力,实现源站最后一层的防护。WAF 会对回源的业务流量进行恶意特征识别及防护,将正常安全的流量回源到服务器,进而避免网站服务器被恶意入侵,保障企业业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。CDN WAF提供虚拟补丁,针对网站被曝光的最新漏洞,最大可能地提供快速修复规则,并依托云安全,快速实现漏洞响应和修复。
防篡改能力
阿里云CDN提供企业级全链路HTTPS+节点内容防篡改能力,保证客户从源站到客户端全链路的传输安全。在链路传输层面,通过HTTPS协议保证链接不可被中间源劫持,在节点上可以对源站文件进行一致性验证,如果发现内容不一致会将内容删除,重新回源拉取,如果内容一致才会进行分发。整套解决方案能够在源站、链路端、CDN节点、客户端全链路保证内容的安全性,提供更高的安全传输保障。
资源独享 提升企业安全系数
针对大型企业等具有强安全需求的业务场景,阿里云CDN提供独享资源方案:
支持客户通过安全加速节点实现物理隔离,完全单独构建,深度集成安全功能,提供单节点高级高防能力;
提供独享IP资源,保证业务安全风险隔离,不会在别人受到攻击时被影响;
支持单用户独立调度域,用户之间DNS攻击互不影响,百万QPS的DNS Flood防护。
坚守内容与平台的“生产”安全底线
阿里云基于人工智能及海量样本集,深度学习训练识别模型,精准识别通过CDN加速的图片中的涉黄场景,并可根据用户实际的管控需求,提供多层次的识别与灵活管控方案。整体鉴黄准确率超过99%,可替代90%以上的人工审核,大幅度降低违规风险。
通过简化安全加速架构,让运维人员更便捷地进行一站式自助配置与API管控,实现日常攻击的监控告警、全链路排查、自动防护与实时全景数据日志查看。同时大型活动期间的护航与重保响应制度,可以辅助企业应用一起抵御安全风险,保护系统平稳。
阿里云CDN平台还通过了国家信息安全等级保护2.0三级、ISO9001、PCI-DSS等合规认证,在网络安全、数据安全、服务安全等方面测评获得世界权威认可。
行业应用案例
企业网站——航空大促
亚洲某廉价航空公司,在每个季度会举行一次大型机票促销活动,借助于阿里云CDN+WAF的架构,可以实现对刷票类请求的快速封禁,通过长期持续分析大促期间的占座情况,将占座率压到了比较低的水平,保证业务营收的稳定。
游戏公司-游戏出海
中国游戏公司出海大军中,有一匹脱颖而出的黑马。这家企业使用阿里云DCDN来整合超大规模的用户体验,允许用户将其源服务器的所有边界网关协议(BGP)网络资源替换为单个操作网络,将源服务器的带宽成本降低了50%以上。
