简介:随着信息技术的快速发展和应用,行业数字化、智能化趋势不断深化,企业信息安全与保护被提升到前所未有的高度。经过10多年的技术发展,阿里云CDN逐步构建了边缘+云安全网络三维防护体系,包括全链路安全传输、常见攻击类型边缘防御、企业级专属资源部署、运营和内容安全保障机制,为企业走出去创造安全的网络运营环境。
CDN安全防护有两个核心场景:带宽拥塞和资源枯竭。
对于拥塞限制带宽入口等攻击,本质上是保持流量。 CDN自然拥有丰富的节点资源。它使用分布式网络将攻击分发到不同的边缘节点,同时经过近源清洗后返回服务器。
对于耗尽有限资源等攻击,攻击的性质必须快速可见,并可以阻止相应的特征。单靠CDN并不能特别有效地解决问题。需要通过CDN节点上的配置,完成对DDoS攻击的智能精准检测,自动将攻击调度到DDoS高防进行流量清洗。这时候用户需要购买高防御、抗DDoS的产品。
基于阿里云CDN+云安全的边缘安全系统
基于阿里云CDN的边缘安全系统的核心能力仍然是加速,但不仅仅是加速。加快推进是统筹规划的基础。依托阿里云全站加速平台,通过动静态自动分离、智能路由、私有协议传输等核心技术,提升动静态混合站点全站加速效果。在加速的基础上,为客户提供丰富的边缘应用层、网络层DDoS防御、内容防篡改、HTTPS全链路传输、高可用安全、安全合规等安全能力。从客户业务流量到CDN产品体系,一路回溯到客户源站,提供全链路的安全保障,保障企业互联网服务的安全和加速。
边缘安全保护
阿里云CDN构建了完整的企业级边缘安全能力,包括DDoS缓解、WAF、频率控制、IP/区域封禁、机器流量管理、精准访问控制等,实现从网络层到应用的全栈保护层。在不牺牲网站加速性能的同时,充分保证了客户在线业务的稳定性和安全性。
每年,阿里云安全都会检测到云上发生的 DDoS 攻击近百万次。应用层DDoS(CC攻击)已经成为一种常见的攻击类型,攻击方式更加多样复杂;同时,Web应用安全相关的问题依然占据着非常大的比重,从用户信息泄露到毛线派对狂欢,无时无刻不在考验着每个行业、每一个Web应用的安全等级。为了让承载数据传输的网络平台更加安全可靠,阿里云CDN一直在不断巩固自身的安全能力。
1. DDoS 缓解
CDN和DDoS高防产品可以实现联动,在分发场景下可以通过CDN分发。当发生DDoS攻击时,可以将发生DDoS攻击区域的流量调度到DDoS高防进行清洗,有效保护业务的服务质量。联动方案可有效清理海量 DDoS 攻击,完美防御 SYN、ACK、ICMP、UDP、NTP、SSDP、DNS 等 Flood 攻击。阿里云飞天平台,智能预测DDoS攻击,平滑切换到DDoS高防,不影响业务运营。
2. 机器流量管理
面对网络爬虫的恶意爬取,CDN平台基于阿里巴巴集团业务存放的恶意IP数据库和恶意指纹库,通过机器学习贴近业务风险,与定制的爬虫模型进行精准对抗,降低爬虫和自动化工具对网站业务的影响,保障公司数据安全,维护公司核心业务价值。
3. 频率控制
当网站受到恶意CC攻击,响应缓慢时,频控功能可以秒级拦截访问该网站的请求,提高网站的安全性。频率控制可保护您的网站 URL 免受超过设定阈值的可疑请求。它支持丰富的监控对象,并配备了自定义规则来定义适当的访问阈值。一旦达到设定的请求阈值,就会触发自定义响应,过度频繁的访问请求会通过各种方式(如阻塞或查询)进行处理。
4. IP/区域封锁
配置IP黑白名单,实现访客身份的识别和过滤,从而限制访问CDN资源的用户,提高CDN的安全性。另外还可以配置国家黑白名单,帮你屏蔽解决了部分区域的访问请求,解决了部分区域恶意请求频繁发生的问题。
5. 精确的访问控制
允许自定义匹配条件,实现精准访问控制。匹配条件可以检查常见的HTTP字段(如IP、URL、Header等),满足业务场景的定制需求。该函数通过支持丰富的请求字段和定义多样化的匹配条件来描述要捕获的访问请求。一旦匹配到请求,就会触发规则定义的操作,如查询、观察、阻塞等,实现精准访问。
6.WAF
由于 CDN 的分布式架构,用户通过访问附近的边缘节点来获取内容。通过这样的跳板,源站点IP被有效隐藏,从而分解源站点的访问压力。当大规模恶意攻击来袭时,边缘节点可作为第一道防线,不仅极大分散攻击强度,还通过上述多重安全能力完成边缘防护。
阿里云CDN还集成了云WAF能力,实现源站最后一层保护。 WAF将识别和保护回源业务流量的恶意特征,将正常安全的流量返回服务器,防止网站服务器恶意入侵,保障企业业务核心数据的安全,解决恶意攻击导致的服务器性能异常。问题。 CDN WAF提供虚拟补丁,针对网站暴露的最新漏洞,最大限度提供快速修复规则,依托云安全快速实现漏洞响应和修复。
防篡改能力
阿里云CDN提供企业级全链路HTTPS+节点内容防篡改能力,保障客户从源站到客户端的传输安全。在链路传输层面,HTTPS协议保证了链路不会被中间源劫持。可以在节点上验证源站点文件的一致性。如果发现内容不一致,将删除该内容并重新拉回源。只有内容一致才能分发。整套解决方案可以保证源站、链路端、CDN节点、客户端整个链路上的内容安全,提供更高的安全传输保障。
资源专属,提升企业安全
针对大型企业等安全需求强的业务场景,阿里云CDN提供专属资源解决方案:
支持客户 通过安全加速节点实现物理隔离,完全独立搭建,深度集成安全功能,提供单节点先进的高防御能力;
提供专属IP资源,确保业务安全风险隔离,他人攻击时不受影响;
支持单用户独立调度域,用户间DNS攻击互不影响,百万QPS的DNS Flood防护。
坚守内容和平台“生产”安全的底线
阿里云基于人工智能和海量样本集,深度学习训练识别模型,通过CDN加速图像中色情场景的准确识别,并根据用户的实际管控需求,提供多级识别和灵活管理和控制解决方案。整体色情准确率超过99%,可替代90%以上的人工审核,大大降低违规风险。
通过简化安全加速架构,运维人员可以更方便地进行一站式自助配置和API管控,实现日常攻击监控告警、全链路排查、自动防护和实时全景数据记录观看。同时,大型事件中的押运和再保险响应系统可以辅助企业应用抵御安全风险,保障系统的稳定性。
阿里云CDN平台还通过了国家信息安全等级保护2.0三级、ISO9001、PCI-DSS等合规认证,在网络安全、数据安全、服务安全等方面得到了世界权威机构的认可。
行业应用案例
企业网站-航空大促
亚洲一家低成本航空公司每季度都会举办一次大规模的机票促销活动,借助阿里云CDN+ WAF架构可以快速禁止刷票请求。通过长期持续分析大促期间的客座率,将客座率抑制在较低水平,确保业务收入的稳定。
游戏公司-游戏出海
在出海的中国游戏公司中,有一匹黑马脱颖而出。该公司采用阿里云DCDN整合超大规模用户体验,让用户可以将源站所有BGP网络资源替换为单一运营网络,降低源站带宽成本超过50%。
转载请注明:小猪云服务器租用推荐 » 深入解读阿里云CDN安全能力