阿里云CDN經(jīng)過10多年的技術(shù)沉淀和實(shí)踐,已經(jīng)從傳統(tǒng)的加速,逐漸構(gòu)筑起一個邊緣+云的安全網(wǎng)絡(luò)立體防護(hù)體系,從全鏈路安全傳輸、常見攻擊類型的邊緣防御、企業(yè)級獨(dú)享資源部署、運(yùn)維以及內(nèi)容安全保障機(jī)制幾個維度,為企業(yè)通向網(wǎng)絡(luò)提供安全可靠的橋梁。
基礎(chǔ)安全能力 保障全鏈路安全傳輸
一、源站保護(hù)
由于CDN的分布式架構(gòu),用戶通過訪問就近邊緣節(jié)點(diǎn)獲取內(nèi)容,通過這樣的跳板,有效地隱藏源站IP,從而分解源站的訪問壓力。當(dāng)大規(guī)模惡意攻擊來襲時,邊緣點(diǎn)節(jié)可以做為第一道防線進(jìn)行防護(hù),大大分散攻擊強(qiáng)度,即使是針對動態(tài)內(nèi)容的的惡意請求,阿里云CDN的智能調(diào)度系統(tǒng)還可以卸載源站壓力,維護(hù)系統(tǒng)平穩(wěn)。
二、防篡改能力
阿里云CDN提供企業(yè)級全鏈路HTTPS+節(jié)點(diǎn)內(nèi)容防篡改能力,保證客戶從源站到客戶端全鏈路的傳輸安全。在鏈路傳輸層面,通過HTTPS協(xié)議保證鏈接不可被中間源劫持,在節(jié)點(diǎn)上可以對源站文件進(jìn)行一致性驗(yàn)證,如果發(fā)現(xiàn)內(nèi)容不一致會將內(nèi)容刪除,重新回源拉取,如果內(nèi)容一致才會進(jìn)行分發(fā)。整套解決方案能夠在源站、鏈路端、CDN節(jié)點(diǎn)、客戶端全鏈路保證內(nèi)容的安全性,提供更高的安全傳輸保障。
三、訪問和認(rèn)證安全
阿里云CDN可以通過配置訪問的referer、User-Agent以及IP黑白名單等多種方式,來對訪問者身份進(jìn)行識別和過濾,從而限制資源被訪問的情況;并且設(shè)置鑒權(quán)Key對URL進(jìn)行加密實(shí)現(xiàn)高級防盜鏈,保護(hù)源站資源。同時通過構(gòu)建IP信譽(yù)庫,加強(qiáng)對黑名單IP的訪問限制。
企業(yè)級邊緣安全能力 全面抵御常見攻擊類型
2019年, 阿里云云安全監(jiān)測到云上DDoS攻擊發(fā)生近百萬次,應(yīng)用層DDoS(CC攻擊)成為常見的攻擊類型,攻擊手法也更為多變復(fù)雜;同時,Web應(yīng)用安全相關(guān)的問題依然占據(jù)非常大的比重,從用戶信息泄露到羊毛黨的狂歡,無時無刻不在考驗(yàn)著每一個行業(yè)、每一個Web應(yīng)用的安全水位。為了讓承載數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)平臺更加安全可靠,阿里云CDN一直不斷夯實(shí)安全上的能力。
一、 DDoS清洗
CDN面向企業(yè)提供邊緣化的應(yīng)用層DDoS,即CC防護(hù)能力,可以通過IP,Header參數(shù),URL參數(shù)等多個維度進(jìn)行監(jiān)控,并可以通過次數(shù),狀態(tài)碼,請求方法進(jìn)行數(shù)據(jù)統(tǒng)計(jì),并最終進(jìn)行惡意訪問的安全攔截,有效保證正常業(yè)務(wù)量的訪問。面對網(wǎng)絡(luò)層DDoS攻擊,CDN產(chǎn)品與DDoS產(chǎn)品可以實(shí)現(xiàn)聯(lián)動,在分發(fā)場景中可以通過CDN進(jìn)行分發(fā),在DDoS攻擊發(fā)生時,可以探測攻擊的區(qū)域,并有效的將攻擊調(diào)度到DDoS進(jìn)行防護(hù)清洗,有效保護(hù)源站。
通過聯(lián)動方案可以有效利用海量DDoS清洗,完美防御SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS 、HTTP 等Flood。同時,基于阿里云飛天平臺的計(jì)算能力和深度學(xué)習(xí)算法,智能預(yù)判DDoS攻擊,平滑切換高防IP,不影響業(yè)務(wù)運(yùn)行。
二、WAF
CDN結(jié)合WAF能力,形成邊緣的應(yīng)用層防護(hù)能力,將業(yè)務(wù)流量進(jìn)行惡意特征識別及防護(hù),將正常、安全的流量回源到服務(wù)器。避免網(wǎng)站服務(wù)器被惡意入侵,保障企業(yè)業(yè)務(wù)的核心數(shù)據(jù)安全,解決因惡意攻擊導(dǎo)致的服務(wù)器性能異常問題。CDN WAF提供虛擬補(bǔ)丁,針對網(wǎng)站被曝光的最新漏洞,最大可能地提供快速修復(fù)規(guī)則。并且依托云安全,快速的漏洞響應(yīng)速度,及時的漏洞修復(fù)能力。
三、防刷防爬
面對網(wǎng)絡(luò)爬蟲的惡意爬取,CDN平臺基于阿里巴巴集團(tuán)業(yè)務(wù)沉淀的惡意IP庫、惡意指紋庫等,通過貼近業(yè)務(wù)風(fēng)險(xiǎn)的機(jī)器學(xué)習(xí)能力和定制化爬蟲模型進(jìn)行精準(zhǔn)對抗,降低爬蟲、自動化工具對網(wǎng)站業(yè)務(wù)的影響,保障企業(yè)的數(shù)據(jù)安全,維護(hù)企業(yè)的核心商業(yè)價(jià)值。
CDN資源獨(dú)享 提升企業(yè)安全系數(shù)
針對如數(shù)字政務(wù)、大型企業(yè)等具有強(qiáng)安全需求的業(yè)務(wù)場景,阿里云CDN也提供獨(dú)享資源方案。首先,CDN支持客戶通過安全加速節(jié)點(diǎn)實(shí)現(xiàn)物理隔離,完全單獨(dú)構(gòu)建,深度集成安全功能,提供單節(jié)點(diǎn)高級高防能力。其次,CDN提供獨(dú)享IP資源,保證業(yè)務(wù)安全風(fēng)險(xiǎn)隔離,不會在別人受到攻擊時被影響。第三,CDN支持單用戶獨(dú)立調(diào)度域,用戶之間DNS攻擊互不影響,百萬QPS的DNS Flood防護(hù)。
堅(jiān)守內(nèi)容與平臺的“生產(chǎn)”安全底線
一、平臺內(nèi)容健康合規(guī)
阿里云基于人工智能及海量樣本集,深度學(xué)習(xí)訓(xùn)練識別模型,精準(zhǔn)識別通過CDN加速的圖片中的涉黃場景,并可根據(jù)用戶實(shí)際的管控需求,提供多層次的識別與靈活管控方案。整體鑒黃準(zhǔn)確率超過99%,可替代90%以上的人工審核,大幅度降低違規(guī)風(fēng)險(xiǎn)。
二、運(yùn)維便捷與安全性
通過簡化安全加速架構(gòu),讓運(yùn)維人員更便捷地進(jìn)行一站式自助配置與API管控,實(shí)現(xiàn)日常攻擊的監(jiān)控告警、全鏈路排查、自動防護(hù)與實(shí)時全景數(shù)據(jù)日志查看。同時大型活動期間的護(hù)航與重保響應(yīng)制度,可以輔助企業(yè)應(yīng)用一起抵御安全風(fēng)險(xiǎn),保護(hù)系統(tǒng)平穩(wěn)。
除了在上述技術(shù),阿里云CDN平臺也通過了國家信息安全等級保護(hù)2.0三級、ISO9001、PCI-DSS等合規(guī)認(rèn)證,在網(wǎng)絡(luò)安全、數(shù)據(jù)安全、服務(wù)安全等方面測評獲得世界權(quán)威認(rèn)可。
行業(yè)應(yīng)用案例
電商——雙11全球狂歡節(jié)
在2019年雙11當(dāng)日,阿里云CDN為淘寶攔截惡意爬取商品 5100萬個,攔截惡意請求8.5億次,節(jié)省峰值帶寬超過65%。
企業(yè)網(wǎng)站——亞洲航空大促
亞航是亞洲最大的廉價(jià)航空公司,連續(xù)11年獲得“世界最佳低成本航空公司”稱號。亞航在每個季度會舉行一次大型機(jī)票促銷活動,借助于阿里云CDN+WAF(Anti-Bot)的架構(gòu),可以實(shí)現(xiàn)對刷票類請求的快速封禁,通過長期持續(xù)分析大促期間的占座情況,將占座率壓到了比較低的水平,保證亞航業(yè)務(wù)營收的穩(wěn)定。
為了滿足更多企業(yè)的安全性與業(yè)務(wù)穩(wěn)定需求,阿里云面向政府、金融、傳媒以及傳統(tǒng)企業(yè)客戶推出政企安全加速解決方案,基于全球分布的2800+CDN邊緣加速節(jié)點(diǎn)與全球領(lǐng)先的云安全技術(shù),實(shí)現(xiàn)加速和安全兩者兼得,幫助其更便捷、穩(wěn)定、安全地使用互聯(lián)網(wǎng)進(jìn)行用戶交互,擁抱數(shù)字化、在線化紅利。
