政企边缘安全,如何助您提升企业免疫力?
>>發(fā)布會(huì)傳送門(mén):https://yqh.aliyun.com/live/detail/21749
點(diǎn)擊查看詳情:https://yqh.aliyun.com/live/cdn_0106
在數(shù)字化進(jìn)程中,政企會(huì)面臨諸多在線化的挑戰(zhàn),一方面要求業(yè)務(wù)能夠在線開(kāi)放,同時(shí)也要求服務(wù)是穩(wěn)定流暢可靠的,此外還要保證安全合規(guī),這對(duì)業(yè)務(wù)開(kāi)發(fā)及運(yùn)營(yíng)者提出了極高要求。1月6日,阿里云CDN年度產(chǎn)品升級(jí)發(fā)布會(huì)中,阿里云CDN產(chǎn)品專家彭飛對(duì)阿里云CDN政企安全加速解決方案進(jìn)行了詳細(xì)解讀。
在企業(yè)數(shù)字化轉(zhuǎn)型中,一般常見(jiàn)的挑戰(zhàn)有以下情況:在突發(fā)事件下,政府網(wǎng)站及應(yīng)用產(chǎn)生高并發(fā)訪問(wèn),造成訪問(wèn)不暢;公信力媒體內(nèi)容若被惡意攻擊篡改,將產(chǎn)生負(fù)面輿情,以及盜鏈盜播等惡意行為導(dǎo)致優(yōu)質(zhì)視頻內(nèi)容泄露;金融行業(yè)具有嚴(yán)格的等保合規(guī)要求,源站及節(jié)點(diǎn)服務(wù)高可用性保障十分重要,DDoS及WEB應(yīng)用攻擊影響業(yè)務(wù)和企業(yè)考核,同時(shí)大規(guī)模交易下的訪問(wèn)體驗(yàn)和跨國(guó)訪問(wèn)體驗(yàn)急需保障;傳統(tǒng)企業(yè)的內(nèi)部OA、ERP、郵箱、會(huì)議等辦公協(xié)同軟件訪問(wèn)體驗(yàn)差,影響工作效率,對(duì)外在線業(yè)務(wù)數(shù)據(jù)被爬或WEB入侵導(dǎo)致企業(yè)數(shù)據(jù)泄露……諸如此類,都是政企開(kāi)發(fā)及運(yùn)營(yíng)者需要避免的。
所以在這種場(chǎng)景之下,政企應(yīng)用存在共同的挑戰(zhàn)存在于三個(gè)方面:第一是對(duì)于互聯(lián)網(wǎng)訪問(wèn)體驗(yàn)的保障,包括由于公眾跨地區(qū)跨(運(yùn)營(yíng)商)網(wǎng)訪問(wèn)造成的訪問(wèn)延遲、訪問(wèn)失敗,以及因?yàn)橹髡境隹趲捁潭ㄓ邢?#xff0c;無(wú)法在突發(fā)訪問(wèn)下保障良好的訪問(wèn)體驗(yàn)等;第二是需要有效的規(guī)避互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)攻擊,包括DDoS/CC等網(wǎng)絡(luò)攻擊行為造成政務(wù)互聯(lián)網(wǎng)服務(wù)中斷,以及針對(duì)WEB應(yīng)用的攻擊威脅主站的應(yīng)用和數(shù)據(jù)安全;第三是在內(nèi)容分發(fā)或用戶的終端上,缺少內(nèi)容一致性校驗(yàn)、https傳輸加密等技術(shù)保障的情況下,數(shù)據(jù)內(nèi)容很容易被劫持篡改,造成不良影響。
為了幫助政企行業(yè)應(yīng)對(duì)挑戰(zhàn),阿里云發(fā)布政企安全加速解決方案。該解決方案是阿里云CDN團(tuán)隊(duì)和云安全團(tuán)隊(duì)共同打造的分發(fā)加速+邊緣安全一站式服務(wù),解決政府、金融、傳媒、傳統(tǒng)企業(yè)內(nèi)容分發(fā)安全和加速性能的問(wèn)題,為云上業(yè)務(wù)保駕護(hù)航。客戶可以直接登錄阿里云官網(wǎng),搜索:政企安全加速,去解決方案頁(yè)面了解詳情,并且也留下相應(yīng)問(wèn)題與阿里云架構(gòu)師進(jìn)行免費(fèi)的咨詢。
解決方案的基座是阿里云CDN多年沉淀的強(qiáng)大的內(nèi)容分發(fā)能力,在安全層面,解決方案主要具備WAF應(yīng)用層安全、DDoS防護(hù)網(wǎng)絡(luò)層安全、內(nèi)容防篡改、全鏈路HTTPS傳輸,高可用安全,安全合規(guī)六大方面的能力,進(jìn)而構(gòu)建了完整的邊緣安全體系。
首先,整個(gè)方案是基于穩(wěn)定、極速、智能、安全的全站加速網(wǎng)絡(luò)構(gòu)建。目前,阿里云整個(gè)2800+節(jié)點(diǎn)覆蓋六大洲、70多個(gè)國(guó)家,具備130Tbps帶寬儲(chǔ)備,每天為150余萬(wàn)域名加速。
在此基礎(chǔ)之上,針對(duì)很多企業(yè)的動(dòng)靜內(nèi)容混合的情況,阿里云全站加速面向用戶提供更好的多維度增值能力,可以實(shí)現(xiàn)自定義動(dòng)靜分離,動(dòng)態(tài)內(nèi)容采用智能路由,進(jìn)行傳輸協(xié)議優(yōu)化,壓縮傳輸,實(shí)時(shí)網(wǎng)絡(luò)質(zhì)量探測(cè),而靜態(tài)內(nèi)容邊緣多級(jí)緩存,同運(yùn)營(yíng)商回源,以此保障用戶整體訪問(wèn)質(zhì)量可以達(dá)到最優(yōu),分發(fā)效率提升30%,提速效果明顯。
其次,基于全站加速,再去構(gòu)建應(yīng)用層安全防護(hù),主要包括以下幾個(gè)維度:
一、在邊緣抵御WEB攻擊
CDN節(jié)點(diǎn)集成了WAF(WEB應(yīng)用防火墻)功能,可抵御常見(jiàn)OWASP威脅,抵御CC攻擊,管理機(jī)器流量,降低源站負(fù)載,有效保護(hù)源站W(wǎng)EB應(yīng)用系統(tǒng)安全。比如零售企業(yè),現(xiàn)在都會(huì)用戶去提供在線商城服務(wù),一般也都會(huì)在源站去部署相應(yīng)的WAF防護(hù)能力,而一旦內(nèi)容越出了邊界,在很多情況下,對(duì)于網(wǎng)絡(luò)安全防護(hù)實(shí)際上就很不可控了。而CDN作為更貼近用戶端的網(wǎng)絡(luò)網(wǎng)絡(luò)區(qū)間,如果能在CDN邊緣把相應(yīng)的攻擊給阻斷,就可以起到很好的保護(hù)效果。
CDN WAF幾大特性包括:提供實(shí)時(shí)更新高危Web 0 Day漏洞,24小時(shí)內(nèi)提供虛擬補(bǔ)訂防護(hù);可以有效防御SQL注入,XSS跨站等常見(jiàn)Web攻擊;支持用戶自定義防護(hù)規(guī)則,防護(hù)業(yè)務(wù)風(fēng)險(xiǎn),抵御CC攻擊;基于機(jī)器流量管理,降低爬蟲(chóng)、自動(dòng)化工具對(duì)網(wǎng)站業(yè)務(wù)的影響,可以將爬蟲(chóng)流量下降40%。
二、DDoS攻擊防護(hù)確保網(wǎng)站服務(wù)可靠性
在網(wǎng)絡(luò)層,企業(yè)更多面臨DDoS或者CC攻擊,對(duì)業(yè)務(wù)穩(wěn)定性帶來(lái)很大的隱患。比如金融企業(yè)經(jīng)常會(huì)要求CDN提供相應(yīng)的CC防護(hù)服務(wù),因?yàn)镃DN本身就是一個(gè)反向代理的服務(wù),在這種服務(wù)機(jī)制之下,用戶的源站能夠得到有效保護(hù),邊緣節(jié)點(diǎn)可以屏蔽掉攻擊行為。
CDN節(jié)點(diǎn)目前已經(jīng)能夠較好地去識(shí)別網(wǎng)絡(luò)攻擊的特征,并且在第一時(shí)間對(duì)一些非服務(wù)端口,比如非80、443端口流量進(jìn)行指定和阻斷。同時(shí),基于CDN節(jié)點(diǎn)智能精準(zhǔn)檢測(cè),一旦發(fā)現(xiàn)流量攻擊并超過(guò)基礎(chǔ)防護(hù)閾值,就可以將攻擊流量自動(dòng)化調(diào)度到高防節(jié)點(diǎn),實(shí)現(xiàn)流量清洗,當(dāng)攻擊停止,流量會(huì)自動(dòng)調(diào)度回到CDN服務(wù)節(jié)點(diǎn)。整體可提供1Tbps以上DDoS防護(hù),確保客戶業(yè)務(wù)安全無(wú)虞。
三、多維度保障傳輸鏈路內(nèi)容防篡改
廣電傳媒企業(yè)非常關(guān)注內(nèi)容一致性,內(nèi)容在源站還是在CDN、客戶端,都一定不能被篡改。解決方案為該類需求提供多維度的全鏈路內(nèi)容防篡改方案。首先,可為客戶提供獨(dú)享節(jié)點(diǎn)保障資源的隔離性,其次,在CDN內(nèi)部、CDN與源站和客戶端之間通過(guò)國(guó)密算法進(jìn)行全鏈路安全傳輸,此外,基于國(guó)密算法的內(nèi)容一致性校驗(yàn),確保內(nèi)容防篡改。
四、易于實(shí)施的IPv6轉(zhuǎn)換服務(wù),快速滿足合規(guī)要求
目前,從監(jiān)管、行業(yè)發(fā)展等各個(gè)角度來(lái)看,網(wǎng)站的IPv6兼容改造都勢(shì)在必行。目前CDN已經(jīng)能夠完整支持從CDN邊緣節(jié)點(diǎn)下行到CDN邊緣節(jié)點(diǎn)上行這兩端的IPv6訪問(wèn),并且可以做到協(xié)議跟隨,當(dāng)客戶端請(qǐng)求是IPv6,回源也會(huì)優(yōu)先到IPv6。IPv4源站無(wú)需做任何改造即可實(shí)現(xiàn)IPv6地址轉(zhuǎn)換,即可便捷去進(jìn)行落地,迅速滿足行業(yè)監(jiān)管要求。同時(shí),IPv6節(jié)點(diǎn)全面覆蓋,滿足各地各運(yùn)營(yíng)商用戶訪問(wèn)需求,相比由單一節(jié)點(diǎn)構(gòu)成的IPv6地址轉(zhuǎn)換服務(wù)性能體驗(yàn)更優(yōu)。
綜上所述,阿里云政企安全加速解決方案是無(wú)縫集成了加速與安全雙項(xiàng)能力,核心提供的安全能力包括:WAF應(yīng)用層安全、DDoS網(wǎng)絡(luò)層安全、內(nèi)容防篡改、全鏈路HTTPS傳輸、高可用安全、安全合規(guī)六個(gè)方面。同時(shí),不止于加速,在serverless邊緣可編程能力,DevOps配置管理能力,CDN與阿里云體系產(chǎn)品整合(DATAV,SLS,OSS)能力等各方面形成更完整的企業(yè)級(jí)CDN加速體驗(yàn)。
案例解讀
某官網(wǎng)在沒(méi)有實(shí)施HTTPS和IPv6合規(guī)的改造之前,很多內(nèi)容是不支持的,僅僅是支持IPv4和HTTP服務(wù),這就意味著在合規(guī)性上可能會(huì)存在一些問(wèn)題。同時(shí),如果網(wǎng)站要進(jìn)行改造的話,成本也比較高。而當(dāng)這個(gè)官網(wǎng)使用了CDN加速服務(wù)之后,通過(guò)CDN便捷對(duì)接快速上線,避免源站技術(shù)改造,即可一站式支持IPv4 HTTP、IPv4 HTTPS、IPv6 HTTP、IPv6 HTTPS確保合規(guī)安全。
對(duì)該官網(wǎng)來(lái)說(shuō),它的用戶訪問(wèn)體驗(yàn)上的提升也十分明顯,下圖左側(cè)是未做CDN加速的源站使用單一節(jié)點(diǎn)服務(wù)全國(guó)訪問(wèn)請(qǐng)求,大多數(shù)地域訪問(wèn)體驗(yàn)不佳,同時(shí)很多處的最慢響應(yīng)時(shí)間達(dá)15秒左右,接近觸發(fā)“站點(diǎn)不可用”的單項(xiàng)否決指標(biāo);下圖右側(cè)同一源站使用CDN加速后在同一時(shí)刻全國(guó)各地訪問(wèn)體驗(yàn)顯著改善,最慢響應(yīng)時(shí)間、平均響應(yīng)時(shí)間明顯縮短,服務(wù)可用性得到提升。
原文鏈接:https://developer.aliyun.com/article/781181?
版權(quán)聲明:本文內(nèi)容由阿里云實(shí)名注冊(cè)用戶自發(fā)貢獻(xiàn),版權(quán)歸原作者所有,阿里云開(kāi)發(fā)者社區(qū)不擁有其著作權(quán),亦不承擔(dān)相應(yīng)法律責(zé)任。具體規(guī)則請(qǐng)查看《阿里云開(kāi)發(fā)者社區(qū)用戶服務(wù)協(xié)議》和《阿里云開(kāi)發(fā)者社區(qū)知識(shí)產(chǎn)權(quán)保護(hù)指引》。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,填寫(xiě)侵權(quán)投訴表單進(jìn)行舉報(bào),一經(jīng)查實(shí),本社區(qū)將立刻刪除涉嫌侵權(quán)內(nèi)容。總結(jié)
以上是生活随笔為你收集整理的政企边缘安全,如何助您提升企业免疫力?的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 专家解读EdgeRoutine边缘程序
- 下一篇: 【直播预约】线上Greentea JUG