简介: 随着信息技术快速发展与应用,产业数字化和智能化趋势正日益加深,企业信息安全与防护被提升到前所有未有的高度。阿里云CDN经过10多年的技术发展时间,已逐步构筑一个边缘+云的安全网络立体防护体系,包含了全链路安全传输、常见攻击类型的边缘防御、企业级独享资源部署、运维以及内容安全保障机制,为企业打造安全出海的网络运营环境。

在CDN安全防护存在两个核心场景:拥塞带宽和耗尽资源。

对于拥塞有限带宽入口这类攻击,本质上要在流量上Hold住。CDN天然具有丰富的节点资源,使用分布式的网络将攻击分散到不同的边缘节点,同时在近源清洗后返回服务端。

对于耗尽有限资源这类攻击,本质上要做到攻击的快速可见,并且能够把相应特征进行阻断。单纯依靠CDN不能特别有效的解决问题,需要通过CDN节点上的配置,完成智能精准检测DDoS攻击,并自动化调度攻击到DDoS高防进行流量清洗,这时候需要用户购买高防抗DDoS的产品。

基于阿里云CDN+云安全构建的边缘安全体系

基于阿里云CDN构建的边缘安全体系,其核心能力仍是加速,但又不止于加速。加速是整体方案的基础,依托于阿里云全站加速平台,通过自动化动静分离,智能路由选路,私有协议传输等核心技术,提升静动态混合站点的全站加速效果。在加速基础之上,为客户提供丰富的边缘应用层安全、网络层DDoS防御、内容防篡改、全链路HTTPS传输,高可用安全,安全合规 6大方面安全能力,从客户业务流量进入CDN产品体系,一直到回到客户源站,全链路提供安全保障,保障企业互联网业务的安全加速。

边缘安全防护

阿里云CDN通过构建完整的企业级边缘安全能力,包括DDoS缓解,WAF,频次控制,IP/区域封禁,机器流量管理,精准访问控制等,做到从网络层到应用层的全栈防护。在不牺牲网站加速性能的同时,全面保障客户在线业务的稳定性和安全性。

每年,阿里云安全监测到云上DDoS攻击发生近百万次,应用层DDoS(CC攻击)成为常见的攻击类型,攻击手法也更为多变复杂;同时,Web应用安全相关的问题依然占据非常大的比重,从用户信息泄露到羊毛党的狂欢,无时无刻不在考验着每一个行业、每一个Web应用的安全水位。为了让承载数据传输的网络平台更加安全可靠,阿里云CDN一直不断夯实安全上的能力。

1. DDoS缓解

CDN与DDoS高防产品可以实现联动,在分发场景中可以通过CDN进行分发。在DDoS攻击发生时,可以将发生DDoS攻击区域的流量调度到DDoS高防去清洗,有效保护业务的服务质量。通过联动方案可以有效清洗海量DDoS攻击,完美防御SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS等Flood 型攻击。同时,基于阿里云飞天平台的计算能力和深度学习算法,智能预判DDoS攻击,平滑切换为DDoS高防,且不影响业务运行。

2. 机器流量管理

面对网络爬虫的恶意爬取,CDN平台基于阿里巴巴集团业务沉淀的恶意IP库、恶意指纹库等,通过贴近业务风险的机器学习能力和定制化爬虫模型进行精准对抗,降低爬虫、自动化工具对网站业务的影响,保障企业的数据安全,维护企业的核心商业价值。

3. 频次控制

当网站遭受恶意CC攻击并响应缓慢时,通过频次控制功能,可以秒级阻断访问该网站的请求,提升网站的安全性。频次控制保护您的网站 URL免受超出设定阈值的可疑请求的影响。它支持丰富的监测对象,并配以自定义规则,来定义合适的访问阈值。一旦达到设定的请求阈值,就会触发自定义响应,通过多样化的手段(如阻断或者质询)来处理过于频繁的访问请求。

4. IP/区域封禁

配置IP黑白名单来实现对访客身份的识别和过滤,从而限制访问CDN资源的用户,提升CDN的安全性。另外还能配置国家的黑白名单,帮助您一键阻断来自指定区域的访问请求,解决部分地区高发的恶意请求问题。

5. 精准访问控制

允许自定义匹配条件,实施精准的访问控制。匹配条件能够检查常见的HTTP字段(如IP、URL、header等),来满足业务场景的定制化需求。该功能通过支持丰富的请求字段,定义多样化的匹配条件,来描述所要捕获的访问请求。一旦请求被匹配,就会触发规则所定义的操作,如质询、观察、阻断等,做到精准的访问准入。

6. WAF

由于CDN的分布式架构,用户通过访问就近边缘节点获取内容,通过这样的跳板,有效地隐藏源站IP,从而分解源站的访问压力。当大规模恶意攻击来袭时,边缘节点可以做为第一道防线,不仅大大分散攻击强度,还可以通过上述的多种安全能力完成边缘的防护。

阿里云CDN 还集成云WAF能力,实现源站最后一层的防护。WAF 会对回源的业务流量进行恶意特征识别及防护,将正常安全的流量回源到服务器,进而避免网站服务器被恶意入侵,保障企业业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。CDN WAF提供虚拟补丁,针对网站被曝光的最新漏洞,最大可能地提供快速修复规则,并依托云安全,快速实现漏洞响应和修复。

防篡改能力

阿里云CDN提供企业级全链路HTTPS+节点内容防篡改能力,保证客户从源站到客户端全链路的传输安全。在链路传输层面,通过HTTPS协议保证链接不可被中间源劫持,在节点上可以对源站文件进行一致性验证,如果发现内容不一致会将内容删除,重新回源拉取,如果内容一致才会进行分发。整套解决方案能够在源站、链路端、CDN节点、客户端全链路保证内容的安全性,提供更高的安全传输保障。

资源独享 提升企业安全系数

针对大型企业等具有强安全需求的业务场景,阿里云CDN提供独享资源方案:

支持客户通过安全加速节点实现物理隔离,完全单独构建,深度集成安全功能,提供单节点高级高防能力;

提供独享IP资源,保证业务安全风险隔离,不会在别人受到攻击时被影响;

支持单用户独立调度域,用户之间DNS攻击互不影响,百万QPS的DNS Flood防护。

坚守内容与平台的“生产”安全底线

阿里云基于人工智能及海量样本集,深度学习训练识别模型,精准识别通过CDN加速的图片中的涉黄场景,并可根据用户实际的管控需求,提供多层次的识别与灵活管控方案。整体鉴黄准确率超过99%,可替代90%以上的人工审核,大幅度降低违规风险。

通过简化安全加速架构,让运维人员更便捷地进行一站式自助配置与API管控,实现日常攻击的监控告警、全链路排查、自动防护与实时全景数据日志查看。同时大型活动期间的护航与重保响应制度,可以辅助企业应用一起抵御安全风险,保护系统平稳。

阿里云CDN平台还通过了国家信息安全等级保护2.0三级、ISO9001、PCI-DSS等合规认证,在网络安全、数据安全、服务安全等方面测评获得世界权威认可。

行业应用案例

企业网站——航空大促

亚洲某廉价航空公司,在每个季度会举行一次大型机票促销活动,借助于阿里云CDN+WAF的架构,可以实现对刷票类请求的快速封禁,通过长期持续分析大促期间的占座情况,将占座率压到了比较低的水平,保证业务营收的稳定。

游戏公司-游戏出海

中国游戏公司出海大军中,有一匹脱颖而出的黑马。这家企业使用阿里云DCDN来整合超大规模的用户体验,允许用户将其源服务器的所有边界网关协议(BGP)网络资源替换为单个操作网络,将源服务器的带宽成本降低了50%以上。

原文链接
本文为阿里云原创内容,未经允许不得转载。

如何构建企业出海的"免疫力"?深入解读阿里云CDN安全能力的更多相关文章

  1. 深入解读阿里云数据库POLARDB核心功能会话读一致性

    POLARDB架构 我们知道,POLARDB是一个由多个节点构成的数据库集群,一个主节点,多个读节点.对外默认提供两个地址,一个是集群地址,一个是主地址,推荐使用集群地址,因为它具备读写分离功能可以把 ...

  2. cordova使用Gradle构建下载maven太慢,使用阿里云镜像

    修改build.gradle: buildscript { repositories { maven{ url 'http://maven.aliyun.com/nexus/content/group ...

  3. 深入解读阿里云数据库POLARDB核心功能物理复制技术

    日志是数据库的重要组成部份,按顺序以增量的方式记录了数据库上所有的操作,日志模块的设计对于数据库的可靠性.稳定性和性能都非常重要. 可靠性方面,在有一个数据文件的基础全量备份后,对运行中的数据库来说, ...

  4. ionic2常见问题——cordova使用Gradle构建下载maven太慢,使用阿里云镜像

    问题描述 当我们写完ionic2项目准备打包app时(暂时介绍android) 执行命令ionic build android的时候下载maven太慢,cmd命令行工具来下载经常会出现假死状态(下载超 ...

  5. 深入解读阿里云Redis开发规范

    Key命名设计:可读性.可管理性.简介性 规范建议使用冒号即:进行分割拼接,因为很多Redis客户端是根据冒号分类的.比如有几个Key:apps:app:1.apps:app:2和apps:app:3 ...

  6. 干货来了!2019阿里云合作伙伴峰会SaaS加速器专场回顾合集:嘉宾分享、深度解读

    2019年7月26日,在上海举办的阿里云合作伙伴峰会上,阿里云正式发布SaaS生态战略,计划用阿里云的品牌.渠道.资本.方法论.技术加持伙伴,成就亿级营收独角兽. 该生态战略计划招募10家一级SaaS ...

  7. SaaS加速器,到底加速了谁? 剖析阿里云的SaaS战略:企业和ISV不可错过的好文

    过去二十年,中国诞生了大批To C的高市值互联网巨头,2C的领域高速发展,而2B领域一直不温不火.近两年来,在C端流量饱和,B端数字化转型来临的背景下,中国越来越多的科技公司已经慢慢将触角延伸到了B端 ...

  8. 阿里云场景化阿里云企业数字化转型售前方法PSA

    阿里云场景化阿里云企业数字化转型售前方法PSA 目录 01 课程收获 理解企业数字化转型的概念.内涵.本质 了解企业数字化转型的要点.目标和切入点 掌握数字化转型项目售前阶段实践方法 场景化方案 阿里 ...

  9. 阿里云全球首次互联网8K直播背后的技术解读

    3月28日,云栖大会·深圳峰会现场,阿里云发布并现场演示了阿里视频云最新8K互联网直播解决方案.这是全球发布的首个8K视频云解决方案,也是全球首次8K互联网视频直播. 视频地址:https://v.q ...

  10. RAM SSO功能重磅发布 —— 满足客户使用企业本地账号登录阿里云

    阿里云RAM (Resource Access Management)为客户提供身份与访问控制管理服务.使用RAM,可以轻松创建并管理您的用户(比如雇员.企业开发的应用程序),并控制用户对云资源的访问 ...

随机推荐

  1. 瑞云科技荣获全国电子信息行业专精特新“最具创新价值 TOP20”!

    "专精特新",从概念提出到写入政府工作报告走过了十年.这十年来我国促进中小企业发展力度之大.出台政策之密集.含金量之高前所未有,足见走专精特新发展之路深入人心."专精特新 ...

  2. Smtp Oauth With Python

    我的博客园:https://www.cnblogs.com/CQman/ GitHub #基于Python语言的smtp Oauth 连接世纪互联运营的Office 365(或21V O365)的邮箱 ...

  3. 记录--TS封装axios

    这里给大家分享我在网上总结出来的一些知识,希望对大家有所帮助 写在前面 虽然说Fetch API已经使用率已经非常的高了,但是在一些老的浏览器还是不支持的,而且axios仍然每周都保持2000多万的下 ...

  4. [MAUI]集成高德地图组件至.NET MAUI Blazor项目

    @ 目录 前期准备:注册高德开发者并创建 key 登录控制台 创建 key 获取 key 和密钥 创建项目 创建JS API Loader 配置权限 创建定义 创建模型 创建地图组件 创建交互逻辑 项 ...

  5. #贪心,构造#AT2266 [AGC008D] K-th K

    题目 给你一个长度为 \(N\) 的整数序列 \(X\),请判断是否存在一个满足下列条件的整数序列 \(a\),如果存在,请构造一种方案 条件如下: \(a\) 的长度为 \(N^2\),并且满足数字 ...

  6. OpenHarmony Meetup常州站招募令

    OpenHarmony Meetup 常州站正火热招募中! 诚邀充满激情的开发者参与线下盛会~ 探索OpenHarmony前沿科技,畅谈未来前景, 感受OpenHarmony生态构建之路的魅力! 线下 ...

  7. Spring 框架模块深度解析:核心容器、数据访问、Web 层与其他关键模块

    Spring 可能成为您的所有企业应用程序的一站式商店.但是,Spring 是模块化的,允许您挑选适用于您的模块,而无需引入其他模块.下面的部分提供了 Spring Framework 中所有可用模块 ...

  8. Linux之openssl实现私有CA

    一.简介 Centos7.9通过openssl工具构建一个私有的CA,用于颁发证书. 验证私有CA为httpd应用签署证书 二.构建私有CA 1.编辑CA的配置文件 [root@HLWHOST tls ...

  9. 【进阶篇】Java 实际开发中积累的几个小技巧(二)

    目录 前言 六.自定义注解 6.1定义注解 6.2切面实现 6.3业务使用 七.抽象类和接口 7.1隔离业务层与 ORM 层 7.2隔离子系统的业务实现 7.3选择对比 文章小结 前言 笔者目前从事一 ...

  10. https http2 http3

    HTTP 1.1 对比 1.0,HTTP 1.1 主要区别主要体现在: 缓存处理:在 HTTP 1.0 中主要使用 header 里的 If-Modified-Since,Expires 来做为缓存判 ...