提高企业进入国外市场的“免疫力”——阿里云CDN安全能力分析
随着信息技术的快速发展和应用,工业数字化和智能化的趋势日益深化。企业的信息安全和保护已上升到前所未有的水平。
经过十多年的技术发展,阿里云 CDN 已逐步构建出集边缘和云功能于一体的安全网络防护体系。这些功能包括全程序安全传输、针对常见攻击的边缘防御、企业级专用资源部署、运维和内容安全保护机制。凭借这些特性,阿里云 CDN 为企业进入国外市场构建了安全的网络运营环境。
今天,87cloud介绍下阿里云CDN在网站安全方面的能力:
CDN安全防护存在两种核心场景:带宽拥塞和资源耗尽。
- 对于攻击场景,例如有限带宽拥塞,需要保持流量。CDN 拥有丰富的节点资源。分布式网络可以将攻击传播到不同的边缘节点,并在清理后将恶意流量发送回服务器。
- 对于资源有限等攻击场景,需要快速查看攻击并阻止相应的功能。CDN本身无法有效地解决这个问题。用户必须配置CDN节点,准确检测DDoS攻击,并自动将攻击调度到DDoS高防尊享版进行流量清理。因此,用户需要购买DDoS高防尊享版。
基于阿里云CDN和云安全的边缘安全系统
基于阿里云 CDN 构建的边缘安全系统的核心不仅仅是加速。加速是整体解决方案的基础。依托阿里云 CDN 动态路由 (DCDN),通过自动静态/动态分离、智能路由、私有协议传输等核心技术提升了静态和动态混合站点的加速效果。
基于加速,系统在六个方面为客户提供安全能力:边缘应用层安全、网络层DDoS防御、内容防篡改、全程HTTPS传输、高可用性安全、安全合规。系统保证了从客户的业务流量进入CDN产品系统并返回客户源站的整个过程的安全性。从而保证了企业互联网业务的安全加速。
边缘安全保护
阿里云 CDN 构建了一整套企业级边缘安全功能,包括 DDoS 缓解、WAF、频率控制、IP/区域阻塞、机器流量管理、精准访问控制,提供从网络层到应用层的全栈保护。这确保了客户在线服务的稳定性和安全性,而不会牺牲网站的加速性能。
阿里云安全中心每年在云上检测到近 100 万次 DDoS 攻击。应用层DDoS(CC攻击)已成为一种常见的攻击类型,攻击方式更加多样化和复杂。与Web应用程序安全性相关的问题仍然占很大比例。从用户信息的披露到消费者狂欢节,每个行业、每个Web应用的安全等级都在不断考验。为了提高托管数据传输的网络平台的安全性和可靠性,阿里云 CDN 不断努力提高其安全能力。
1. DDoS 缓解
CDN和DDoS高防可以一起使用,提供内容。当DDoS攻击发生时,DDoS攻击发生区域的流量可以调度到DDoS高防,从而清理流量并有效保护您的服务质量。这种协调的解决方案可以有效地清理大容量DDoS流量,并防御洪水类型的攻击,如SYN,ACK,ICMP,UDP,NTP,SSDP和DNS。此外,基于阿里云云云飞星平台的计算能力和深度学习算法,智能DDoS攻击预测,在不影响业务运营的情况下,将流量顺利切换到DDoS高防。
2. 机器人流量管理
CDN使用阿里巴巴集团构建的恶意IP和指纹库来应对恶意网络爬虫。它使用针对业务风险量身定制的机器学习功能和自定义爬虫模型来减轻网络爬虫和自动化工具对网站业务的影响。这确保了数据安全,保护了企业的核心业务价值。
3. 限频
当您的网站的响应时间因CC攻击而增加时,频率限制功能可以在几秒钟内阻止发送到您网站的特定请求,并提高您网站的安全性。频率限制可防止您的网站网址收到超过设置阈值的可疑请求。它支持各种监视对象,并配置了自定义规则以定义适当的访问阈值。一旦达到设定的请求阈值,就会触发自定义响应,并通过阻塞或挑战等多种方式处理频繁的访问请求。
4. IP/地理封锁
阿里云 CDN 允许您配置 IP 地址黑名单或白名单,以识别和过滤用户。这有助于您控制对 CDN 资源的访问并提高资源安全性。您还可以使用国家黑名单和白名单来阻止来自特定区域的访问请求,并解决某些区域中频繁的恶意访问请求。
5. 精确的门禁控制
启用自定义匹配条件以实现精确的访问控制。匹配条件可以检查常见的HTTP字段,如IP、URL、标头,以满足业务场景的自定义需求。该函数通过支持丰富的请求字段和定义各种匹配条件来描述要捕获的访问请求。一旦请求匹配,就会触发规则中定义的操作,实现精确的访问控制,如挑战、观察、阻塞等。
6. 应用防火墙
由于CDN的分布式架构,用户可以通过访问附近的边缘节点来获取内容,从而有效地隐藏了源IP地址,减轻了源站服务器的访问压力。当大规模恶意攻击来袭时,边缘节点可以作为第一道防线。这样可以分散攻击强度,并使用上述安全功能完成边缘保护。
CDN还集成了云WAF能力,为源站实现最后一层保护。WAF对回源业务流量进行恶意特征识别和防护。它还将正常流量转发回服务器,以避免恶意入侵网站服务器,确保企业业务核心数据的安全,并解决恶意攻击引起的服务器性能异常。CDN WAF提供虚拟补丁,最大程度修复最新的已知网站漏洞。CDN WAF可以依靠云安全快速响应和修复漏洞。
防篡改功能
CDN为HTTPS链路和节点内容提供企业级全程防篡改能力,保障源站与客户端之间的传输安全。HTTPS协议保护链接不被中间源劫持,而节点则验证源文件的一致性。如果源文件的内容被视为不一致,则该文件将被删除。然后,在分发之前,将从源中提取其原始副本。这个完整的解决方案确保了源站、链路、CDN节点和客户端的内容安全,提供了更高的传输安全性。
独家 CDN 资源,可提高企业安全性
CDN 还为安全要求苛刻的场景下的大型企业提供专属资源:
- CDN允许您物理隔离安全加速节点并独立构建它们。它高度集成了安全功能,并提供单节点,先进的DDoS防护。
- CDN提供专属IP资源,保护您的企业免受安全风险的影响,并防止攻击对其他用户业务的影响。
- CDN支持单个用户独立调度域。这意味着对一个用户的 DNS 攻击不会影响其他用户。它允许CDN使用数百万个QPS防御DNS洪水类型的攻击。
内容和平台“生产”安全基线保证
平台内容的合规性
阿里云 CDN 基于 AI 和大量样本集,使用深度学习来训练识别模型,该模型可以准确识别加速图像中的不雅和露骨内容。支持多级识别和灵活的管控解决方案,可根据您的需求进行选择。CDN的整体检测准确率超过99%。CDN可以取代90%的人工审核,并显著降低违规风险。
运维的便利性和安全性
通过简化安全加速架构,CDN允许运维人员进行一体化自助配置和API控制。这使他们能够实施例行攻击监控和警报、全过程故障排除、自动保护以及实时查看完整数据日志。同时,为大型促销活动设计的护送和重大事件响应系统可以帮助企业保护其应用程序免受安全风险的影响,并确保系统稳定性。
除上述技术外,CDN还符合GB/T 22239-2019三级、ISO9001、PCI-DSS等标准。其网络安全、数据安全和服务安全能力已得到全球领先权威机构的认可。
行业应用案例
企业网站:航空推广
亚洲一家知名航空公司每季度举办一次大型机票促销。航空公司可以使用阿里云 CDN 和 WAF 快速阻止恶意票证请求。通过对促销期间座位占用率的长期和持续分析,将座位占用率的压力降低到相对较低的水平,以确保航空公司的收入稳定。
游戏公司:新游戏进入国外市场
该公司是所有其他进入国外市场的中国游戏公司的黑马。该企业使用阿里云DCDN集成超大型用户体验,允许用户将其源服务器的所有边界网关协议(BGP)网络资源替换为单个操作网络。源服务器的带宽成本降低了50%以上。