簡介：在數(shù)字化進程中，政企會面臨諸多在線化的挑戰(zhàn)，一方面要求業(yè)務(wù)能夠在線開放，同時也要求服務(wù)是穩(wěn)定流暢可靠的，此外還要保證安全合規(guī)，這對業(yè)務(wù)開發(fā)及運營者提出了極高要求。1月6日，阿里云CDN年度產(chǎn)品升級發(fā)布會中，阿里云CDN產(chǎn)品專家彭飛對阿里云CDN政企安全加速解決方案進行了詳細解讀。

>>發(fā)布會傳送門：https://yqh.aliyun.com/live/detail/21749

點擊查看詳情：https://yqh.aliyun.com/live/cdn_0106

在數(shù)字化進程中，政企會面臨諸多在線化的挑戰(zhàn)，一方面要求業(yè)務(wù)能夠在線開放，同時也要求服務(wù)是穩(wěn)定流暢可靠的，此外還要保證安全合規(guī)，這對業(yè)務(wù)開發(fā)及運營者提出了極高要求。1月6日，阿里云CDN年度產(chǎn)品升級發(fā)布會中，阿里云CDN產(chǎn)品專家彭飛對阿里云CDN政企安全加速解決方案進行了詳細解讀。

在企業(yè)數(shù)字化轉(zhuǎn)型中，一般常見的挑戰(zhàn)有以下情況：在突發(fā)事件下，政府網(wǎng)站及應(yīng)用產(chǎn)生高并發(fā)訪問，造成訪問不暢；公信力媒體內(nèi)容若被惡意攻擊篡改，將產(chǎn)生負面輿情，以及盜鏈盜播等惡意行為導(dǎo)致優(yōu)質(zhì)視頻內(nèi)容泄露；金融行業(yè)具有嚴格的等保合規(guī)要求，源站及節(jié)點服務(wù)高可用性保障十分重要，DDoS及WEB應(yīng)用攻擊影響業(yè)務(wù)和企業(yè)考核，同時大規(guī)模交易下的訪問體驗和跨國訪問體驗急需保障；傳統(tǒng)企業(yè)的內(nèi)部OA、ERP、郵箱、會議等辦公協(xié)同軟件訪問體驗差，影響工作效率，對外在線業(yè)務(wù)數(shù)據(jù)被爬或WEB入侵導(dǎo)致企業(yè)數(shù)據(jù)泄露……諸如此類，都是政企開發(fā)及運營者需要避免的。

所以在這種場景之下，政企應(yīng)用存在共同的挑戰(zhàn)存在于三個方面：第一是對于互聯(lián)網(wǎng)訪問體驗的保障，包括由于公眾跨地區(qū)跨（運營商）網(wǎng)訪問造成的訪問延遲、訪問失敗，以及因為主站出口帶寬固定有限，無法在突發(fā)訪問下保障良好的訪問體驗等；第二是需要有效的規(guī)避互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊的風(fēng)險攻擊，包括DDoS/CC等網(wǎng)絡(luò)攻擊行為造成政務(wù)互聯(lián)網(wǎng)服務(wù)中斷，以及針對WEB應(yīng)用的攻擊威脅主站的應(yīng)用和數(shù)據(jù)安全；第三是在內(nèi)容分發(fā)或用戶的終端上，缺少內(nèi)容一致性校驗、https傳輸加密等技術(shù)保障的情況下，數(shù)據(jù)內(nèi)容很容易被劫持篡改，造成不良影響。

為了幫助政企行業(yè)應(yīng)對挑戰(zhàn)，阿里云發(fā)布政企安全加速解決方案。該解決方案是阿里云CDN團隊和云安全團隊共同打造的分發(fā)加速+邊緣安全一站式服務(wù)，解決政府、金融、傳媒、傳統(tǒng)企業(yè)內(nèi)容分發(fā)安全和加速性能的問題，為云上業(yè)務(wù)保駕護航。客戶可以直接登錄阿里云官網(wǎng)，搜索：政企安全加速，去解決方案頁面了解詳情，并且也留下相應(yīng)問題與阿里云架構(gòu)師進行免費的咨詢。

解決方案的基座是阿里云CDN多年沉淀的強大的內(nèi)容分發(fā)能力，在安全層面，解決方案主要具備WAF應(yīng)用層安全、DDoS防護網(wǎng)絡(luò)層安全、內(nèi)容防篡改、全鏈路HTTPS傳輸，高可用安全，安全合規(guī)六大方面的能力，進而構(gòu)建了完整的邊緣安全體系。

首先，整個方案是基于穩(wěn)定、極速、智能、安全的全站加速網(wǎng)絡(luò)構(gòu)建。目前，阿里云整個2800+節(jié)點覆蓋六大洲、70多個國家，具備130Tbps帶寬儲備，每天為150余萬域名加速。

在此基礎(chǔ)之上，針對很多企業(yè)的動靜內(nèi)容混合的情況，阿里云全站加速面向用戶提供更好的多維度增值能力，可以實現(xiàn)自定義動靜分離，動態(tài)內(nèi)容采用智能路由，進行傳輸協(xié)議優(yōu)化，壓縮傳輸，實時網(wǎng)絡(luò)質(zhì)量探測，而靜態(tài)內(nèi)容邊緣多級緩存，同運營商回源，以此保障用戶整體訪問質(zhì)量可以達到最優(yōu)，分發(fā)效率提升30%，提速效果明顯。

其次，基于全站加速，再去構(gòu)建應(yīng)用層安全防護，主要包括以下幾個維度：

一、在邊緣抵御WEB攻擊

CDN節(jié)點集成了WAF（WEB應(yīng)用防火墻）功能，可抵御常見OWASP威脅，抵御CC攻擊，管理機器流量，降低源站負載，有效保護源站W(wǎng)EB應(yīng)用系統(tǒng)安全。比如零售企業(yè)，現(xiàn)在都會用戶去提供在線商城服務(wù)，一般也都會在源站去部署相應(yīng)的WAF防護能力，而一旦內(nèi)容越出了邊界，在很多情況下，對于網(wǎng)絡(luò)安全防護實際上就很不可控了。而CDN作為更貼近用戶端的網(wǎng)絡(luò)網(wǎng)絡(luò)區(qū)間，如果能在CDN邊緣把相應(yīng)的攻擊給阻斷，就可以起到很好的保護效果。

CDN WAF幾大特性包括：提供實時更新高危Web 0 Day漏洞，24小時內(nèi)提供虛擬補訂防護；可以有效防御SQL注入，XSS跨站等常見Web攻擊；支持用戶自定義防護規(guī)則，防護業(yè)務(wù)風(fēng)險，抵御CC攻擊；基于機器流量管理，降低爬蟲、自動化工具對網(wǎng)站業(yè)務(wù)的影響，可以將爬蟲流量下降40%。

二、DDoS攻擊防護確保網(wǎng)站服務(wù)可靠性

在網(wǎng)絡(luò)層，企業(yè)更多面臨DDoS或者CC攻擊，對業(yè)務(wù)穩(wěn)定性帶來很大的隱患。比如金融企業(yè)經(jīng)常會要求CDN提供相應(yīng)的CC防護服務(wù)，因為CDN本身就是一個反向代理的服務(wù)，在這種服務(wù)機制之下，用戶的源站能夠得到有效保護，邊緣節(jié)點可以屏蔽掉攻擊行為。

CDN節(jié)點目前已經(jīng)能夠較好地去識別網(wǎng)絡(luò)攻擊的特征，并且在第一時間對一些非服務(wù)端口，比如非80、443端口流量進行指定和阻斷。同時，基于CDN節(jié)點智能精準檢測，一旦發(fā)現(xiàn)流量攻擊并超過基礎(chǔ)防護閾值，就可以將攻擊流量自動化調(diào)度到高防節(jié)點，實現(xiàn)流量清洗，當攻擊停止，流量會自動調(diào)度回到CDN服務(wù)節(jié)點。整體可提供1Tbps以上DDoS防護，確保客戶業(yè)務(wù)安全無虞。

三、多維度保障傳輸鏈路內(nèi)容防篡改

廣電傳媒企業(yè)非常關(guān)注內(nèi)容一致性，內(nèi)容在源站還是在CDN、客戶端，都一定不能被篡改。解決方案為該類需求提供多維度的全鏈路內(nèi)容防篡改方案。首先，可為客戶提供獨享節(jié)點保障資源的隔離性，其次，在CDN內(nèi)部、CDN與源站和客戶端之間通過國密算法進行全鏈路安全傳輸，此外，基于國密算法的內(nèi)容一致性校驗，確保內(nèi)容防篡改。

四、易于實施的IPv6轉(zhuǎn)換服務(wù)，快速滿足合規(guī)要求

目前，從監(jiān)管、行業(yè)發(fā)展等各個角度來看，網(wǎng)站的IPv6兼容改造都勢在必行。目前CDN已經(jīng)能夠完整支持從CDN邊緣節(jié)點下行到CDN邊緣節(jié)點上行這兩端的IPv6訪問，并且可以做到協(xié)議跟隨，當客戶端請求是IPv6，回源也會優(yōu)先到IPv6。IPv4源站無需做任何改造即可實現(xiàn)IPv6地址轉(zhuǎn)換，即可便捷去進行落地，迅速滿足行業(yè)監(jiān)管要求。同時，IPv6節(jié)點全面覆蓋，滿足各地各運營商用戶訪問需求，相比由單一節(jié)點構(gòu)成的IPv6地址轉(zhuǎn)換服務(wù)性能體驗更優(yōu)。

綜上所述，阿里云政企安全加速解決方案是無縫集成了加速與安全雙項能力，核心提供的安全能力包括：WAF應(yīng)用層安全、DDoS網(wǎng)絡(luò)層安全、內(nèi)容防篡改、全鏈路HTTPS傳輸、高可用安全、安全合規(guī)六個方面。同時，不止于加速，在serverless邊緣可編程能力，DevOps配置管理能力，CDN與阿里云體系產(chǎn)品整合（DATAV，SLS，OSS）能力等各方面形成更完整的企業(yè)級CDN加速體驗。

案例解讀

某官網(wǎng)在沒有實施HTTPS和IPv6合規(guī)的改造之前，很多內(nèi)容是不支持的，僅僅是支持IPv4和HTTP服務(wù)，這就意味著在合規(guī)性上可能會存在一些問題。同時，如果網(wǎng)站要進行改造的話，成本也比較高。而當這個官網(wǎng)使用了CDN加速服務(wù)之后，通過CDN便捷對接快速上線，避免源站技術(shù)改造，即可一站式支持IPv4 HTTP、IPv4 HTTPS、IPv6 HTTP、IPv6 HTTPS確保合規(guī)安全。

對該官網(wǎng)來說，它的用戶訪問體驗上的提升也十分明顯，下圖左側(cè)是未做CDN加速的源站使用單一節(jié)點服務(wù)全國訪問請求，大多數(shù)地域訪問體驗不佳，同時很多處的最慢響應(yīng)時間達15秒左右，接近觸發(fā)“站點不可用”的單項否決指標；下圖右側(cè)同一源站使用CDN加速后在同一時刻全國各地訪問體驗顯著改善，最慢響應(yīng)時間、平均響應(yīng)時間明顯縮短，服務(wù)可用性得到提升。

原文鏈接：https://developer.aliyun.com/article/781181?

版權(quán)聲明：本文內(nèi)容由阿里云實名注冊用戶自發(fā)貢獻，版權(quán)歸原作者所有，阿里云開發(fā)者社區(qū)不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。具體規(guī)則請查看《阿里云開發(fā)者社區(qū)用戶服務(wù)協(xié)議》和《阿里云開發(fā)者社區(qū)知識產(chǎn)權(quán)保護指引》。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容，填寫侵權(quán)投訴表單進行舉報，一經(jīng)查實，本社區(qū)將立刻刪除涉嫌侵權(quán)內(nèi)容。

總結(jié)

以上是生活随笔為你收集整理的政企边缘安全，如何助您提升企业免疫力？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。