随着信息技术的快速发展和应用,工业数字化、智能化趋势不断加深,企业信息安全防护被提升到前所未有的高度。经过10多年的技术发展,阿里云CDN逐步构建了边缘+云的立体安全网络防护体系,包括全链路安全传输、常见攻击类型的边缘防御、企业级专属资源部署、运维和管理。维护和内容安全保障机制,为企业出海打造安全的网络运营环境。CDN安全防护有两个核心场景:带宽拥塞和资源耗尽。对于拥塞、限带宽入口等攻击,本质是把流量拉住。CDN天然拥有丰富的节点资源,利用分布式网络将攻击分散到不同的边缘节点,近源清洗后返回服务器。对于耗尽有限资源等攻击,必须能够快速看到攻击的本质,并能够阻断相应的特征。单纯依靠CDN并不能特别有效地解决问题。需要通过CDN节点上的配置,完成对DDoS攻击的智能精准检测,自动调度攻击到DDoS高防进行流量清洗。这时候用户就需要购买高防DDoS产品。基于阿里云CDN+云安全的边缘安全系统是基于阿里云CDN构建的边缘安全系统。它的核心能力仍然是加速,但不局限于加速。加速是整体解决方案的基础。依托阿里云全站加速平台,通过自动动静分离、智能路由选择、私有协议传输等核心技术,提升动静混合站点的全站加速效果。在加速的基础上,为客户提供边缘应用层安全、网络层DDoS防御、内容防篡改、全链路HTTPS传输、高可用安全、安全合规、从客户业务进入CDN等六个方面丰富的安全能力流量产品体系,一路回溯到客户源站,全程提供安全保障,确保企业互联网服务的安全和加速。边缘安全防护阿里云CDN构建完善的企业级边缘安全能力,包括DDoS防护、WAF、频率控制、IP/区域封禁、机器流量管理、精准访问控制等,从网络层实现全栈到应用层保护。在不牺牲网站加速性能的同时,充分保障客户在线业务的稳定性和安全性。阿里云安全每年监控云上近百万次DDoS攻击,应用层DDoS(CC攻击)已成为常见的攻击类型,攻击方式更加多样复杂。与此同时,与Web应用安全相关的问题依然占据着非常大的比重,从用户信息的泄露到羊毛派对的狂欢,无时无刻不在考验着每一个行业、每一个Web应用的安全水平。为了让承载数据传输的网络平台更加安全可靠,阿里云CDN一直在不断加强自身的安全能力。1.DDoSMitigationCDN和DDoSAnti-DDoSPro可以联动,在分发场景下可以通过CDN进行分发。当DDoS攻击发生时,DDoS攻击发生区域的流量可以调度到高防进行清洗,有效保护业务的服务质量。通过联动方案,有效清洗海量DDoS攻击,完美防御SYN、ACK、ICMP、UDP、NTP、SSDP、DNS等Flood攻击。同时,基于阿里云飞天平台的算力和深度学习算法,可以智能预测DDoS攻击,在不影响业务运行的情况下,平滑切换到高防。2.机器流量管理面对网络爬虫的恶意爬取,CDN平台基于阿里巴巴集团业务积累的恶意IP库和恶意指纹库,利用贴近业务风险的机器学习能力和定制的爬虫模型进行精准对抗,减少爬虫和自动化工具对网站业务的影响,保障企业数据安全,维护企业核心业务价值。3.频率控制当网站被恶意CC攻击,响应缓慢时,频率控制功能可以秒级拦截访问网站的请求,提高网站的安全性。频率控制保护您的网站URL免受超过设定阈值的可疑请求。支持丰富的监控对象,并配备自定义规则来定义合适的访问阈值。一旦达到设定的请求阈值,将触发自定义响应,通过各种方式(如阻塞或质询)处理过于频繁的访问请求。4.IP/区域封禁配置IP黑白名单,识别过滤访问者身份,从而限制访问CDN资源的用户,提高CDN安全性。此外,您还可以配置国家黑白名单,帮助您一键屏蔽来自指定区域的访问请求,解决部分区域频繁出现的恶意请求问题。5.精准权限控制,自定义匹配条件,实现精准权限控制。匹配条件可以检查常见的HTTP字段(如IP、URL、header等),满足业务场景的定制需求。该功能通过支持丰富的请求字段和定义多样的匹配条件来描述要捕获的访问请求。一旦请求被匹配,就会触发规则定义的操作,如查询、观察、拦截等,实现精准访问。6、由于CDN的分布式架构,WAF允许用户通过访问最近的边缘节点来获取内容。通过这样的跳板,可以有效的隐藏源站的IP,从而分解源站的访问压力。当大规模恶意攻击来袭时,边缘节点可以作为第一道防线,不仅可以极大地分散攻击强度,还可以通过上述各种安全能力完成边缘防护。阿里云CDN还集成云WAF能力,实现对源站的最后一层保护。WAF将对回源业务流量的恶意特征进行识别和防护,将正常安全的流量还给服务器,从而防止网站服务器被恶意入侵,保障企业业务核心数据的安全,解决恶意攻击导致的服务器性能异常问题。CDNWAF提供虚拟补丁,针对网站最新暴露的漏洞,提供最大程度的快速修复规则,依托云安全,快速实现漏洞响应和修复。防篡改能力阿里云CDN提供企业级全链路HTTPS+节点内容防篡改能力,保障客户从源站到客户端的全链路传输安全。在链路传输层面,使用HTTPS协议保证链路不被中间源劫持。在节点上,可以进行源站文件的一致性校验。如发现内容不一致,将删除内容并重新拉回源。分发。整个解决方案可以保障内容在源站、链路端、CDN节点、客户端的安全,提供更高的安全传输保障。专属资源提升企业安全系数针对大型企业等安全需求强的业务场景,阿里云CDN提供专属资源解决方案:支持客户通过安全加速节点实现物理隔离,完全自主建设,安全功能深度融合,提供单一节点先进的高防御能力;提供专属IP资源,保障业务安全和风险隔离,受他人攻击不受影响;支持单用户独立调度域,用户间的DNS攻击互不影响,百万级QPS的DNSFlood防护。坚守内容和平台的“生产”安全底线。阿里云基于人工智能和海量样本集,利用深度学习训练识别模型,准确识别CDN加速图片中的涉黄场景,并可提供多层次识别和灵活管控方案。黄标识别整体准确率超过99%,可替代90%以上人工审核,大大降低违规风险。通过简化安全加速架构,运维人员可以更方便地进行一站式自助配置和API管控,实现日常攻击监控告警、全链路故障排除、自动防护、实时全景数据日志查看。同时,大型活动期间的护航和再保险响应系统,可以协助企业应用抵御安全风险,保护系统的稳定性。阿里云CDN平台还通过了国家信息安全等级保护2.0三级、ISO9001、PCI-DSS等合规认证,在网络安全、数据安全、服务安全等方面获得世界权威机构的认可。行业应用案例企业网站——航空公司促销活动亚洲某低成本航空公司每季度都会举办大型机票促销活动。借助阿里云CDN+WAF架构,可以快速禁止刷票请求。通过长期持续分析促销期间的入住情况,将入住率保持在较低水平,以保证业务收入的稳定。游戏公司-游戏出海在中国游戏公司出海的大军中,有一匹黑马脱颖而出。企业使用阿里云DCDN整合超大规模用户体验,让用户用单一的运营网络替代源服务器的所有BGP网络资源,源服务器带宽成本降低50%以上。
