簡介：隨著信息技術(shù)快速發(fā)展與應(yīng)用，產(chǎn)業(yè)數(shù)字化和智能化趨勢正日益加深，企業(yè)信息安全與防護(hù)被提升到前所有未有的高度。阿里云CDN經(jīng)過10多年的技術(shù)發(fā)展時間，已逐步構(gòu)筑一個邊緣+云的安全網(wǎng)絡(luò)立體防護(hù)體系，包含了全鏈路安全傳輸、常見攻擊類型的邊緣防御、企業(yè)級獨(dú)享資源部署、運(yùn)維以及內(nèi)容安全保障機(jī)制，為企業(yè)打造安全出海的網(wǎng)絡(luò)運(yùn)營環(huán)境。

隨著信息技術(shù)快速發(fā)展與應(yīng)用，產(chǎn)業(yè)數(shù)字化和智能化趨勢正日益加深，企業(yè)信息安全與防護(hù)被提升到前所有未有的高度。阿里云CDN經(jīng)過10多年的技術(shù)發(fā)展時間，已逐步構(gòu)筑一個邊緣+云的安全網(wǎng)絡(luò)立體防護(hù)體系，包含了全鏈路安全傳輸、常見攻擊類型的邊緣防御、企業(yè)級獨(dú)享資源部署、運(yùn)維以及內(nèi)容安全保障機(jī)制，為企業(yè)打造安全出海的網(wǎng)絡(luò)運(yùn)營環(huán)境。
在CDN安全防護(hù)存在兩個核心場景：擁塞帶寬和耗盡資源。
對于擁塞有限帶寬入口這類攻擊，本質(zhì)上要在流量上Hold住。CDN天然具有豐富的節(jié)點(diǎn)資源，使用分布式的網(wǎng)絡(luò)將攻擊分散到不同的邊緣節(jié)點(diǎn)，同時在近源清洗后返回服務(wù)端。
對于耗盡有限資源這類攻擊，本質(zhì)上要做到攻擊的快速可見，并且能夠把相應(yīng)特征進(jìn)行阻斷。單純依靠CDN不能特別有效的解決問題，需要通過CDN節(jié)點(diǎn)上的配置，完成智能精準(zhǔn)檢測DDoS攻擊，并自動化調(diào)度攻擊到DDoS高防進(jìn)行流量清洗，這時候需要用戶購買高防抗DDoS的產(chǎn)品。

基于阿里云CDN+云安全構(gòu)建的邊緣安全體系

基于阿里云CDN構(gòu)建的邊緣安全體系，其核心能力仍是加速，但又不止于加速。加速是整體方案的基礎(chǔ)，依托于阿里云全站加速平臺，通過自動化動靜分離，智能路由選路，私有協(xié)議傳輸?shù)群诵募夹g(shù)，提升靜動態(tài)混合站點(diǎn)的全站加速效果。在加速基礎(chǔ)之上，為客戶提供豐富的邊緣應(yīng)用層安全、網(wǎng)絡(luò)層DDoS防御、內(nèi)容防篡改、全鏈路HTTPS傳輸，高可用安全，安全合規(guī) 6大方面安全能力，從客戶業(yè)務(wù)流量進(jìn)入CDN產(chǎn)品體系，一直到回到客戶源站，全鏈路提供安全保障，保障企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)的安全加速。
邊緣安全防護(hù)
阿里云CDN通過構(gòu)建完整的企業(yè)級邊緣安全能力，包括DDoS緩解，WAF，頻次控制，IP/區(qū)域封禁，機(jī)器流量管理，精準(zhǔn)訪問控制等，做到從網(wǎng)絡(luò)層到應(yīng)用層的全棧防護(hù)。在不犧牲網(wǎng)站加速性能的同時，全面保障客戶在線業(yè)務(wù)的穩(wěn)定性和安全性。
每年，阿里云安全監(jiān)測到云上DDoS攻擊發(fā)生近百萬次，應(yīng)用層DDoS（CC攻擊）成為常見的攻擊類型，攻擊手法也更為多變復(fù)雜；同時，Web應(yīng)用安全相關(guān)的問題依然占據(jù)非常大的比重，從用戶信息泄露到羊毛黨的狂歡，無時無刻不在考驗(yàn)著每一個行業(yè)、每一個Web應(yīng)用的安全水位。為了讓承載數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)平臺更加安全可靠，阿里云CDN一直不斷夯實(shí)安全上的能力。
1. DDoS緩解
CDN與DDoS高防產(chǎn)品可以實(shí)現(xiàn)聯(lián)動，在分發(fā)場景中可以通過CDN進(jìn)行分發(fā)。在DDoS攻擊發(fā)生時，可以將發(fā)生DDoS攻擊區(qū)域的流量調(diào)度到DDoS高防去清洗，有效保護(hù)業(yè)務(wù)的服務(wù)質(zhì)量。通過聯(lián)動方案可以有效清洗海量DDoS攻擊，完美防御SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS等Flood 型攻擊。同時，基于阿里云飛天平臺的計算能力和深度學(xué)習(xí)算法，智能預(yù)判DDoS攻擊，平滑切換為DDoS高防，且不影響業(yè)務(wù)運(yùn)行。
2. 機(jī)器流量管理
面對網(wǎng)絡(luò)爬蟲的惡意爬取，CDN平臺基于阿里巴巴集團(tuán)業(yè)務(wù)沉淀的惡意IP庫、惡意指紋庫等，通過貼近業(yè)務(wù)風(fēng)險的機(jī)器學(xué)習(xí)能力和定制化爬蟲模型進(jìn)行精準(zhǔn)對抗，降低爬蟲、自動化工具對網(wǎng)站業(yè)務(wù)的影響，保障企業(yè)的數(shù)據(jù)安全，維護(hù)企業(yè)的核心商業(yè)價值。
3. 頻次控制
當(dāng)網(wǎng)站遭受惡意CC攻擊并響應(yīng)緩慢時，通過頻次控制功能，可以秒級阻斷訪問該網(wǎng)站的請求，提升網(wǎng)站的安全性。頻次控制保護(hù)您的網(wǎng)站 URL免受超出設(shè)定閾值的可疑請求的影響。它支持豐富的監(jiān)測對象，并配以自定義規(guī)則，來定義合適的訪問閾值。一旦達(dá)到設(shè)定的請求閾值，就會觸發(fā)自定義響應(yīng)，通過多樣化的手段（如阻斷或者質(zhì)詢）來處理過于頻繁的訪問請求。
4. IP/區(qū)域封禁
配置IP黑白名單來實(shí)現(xiàn)對訪客身份的識別和過濾，從而限制訪問CDN資源的用戶，提升CDN的安全性。另外還能配置國家的黑白名單，幫助您一鍵阻斷來自指定區(qū)域的訪問請求，解決部分地區(qū)高發(fā)的惡意請求問題。
5. 精準(zhǔn)訪問控制
允許自定義匹配條件，實(shí)施精準(zhǔn)的訪問控制。匹配條件能夠檢查常見的HTTP字段（如IP、URL、header等），來滿足業(yè)務(wù)場景的定制化需求。該功能通過支持豐富的請求字段，定義多樣化的匹配條件，來描述所要捕獲的訪問請求。一旦請求被匹配，就會觸發(fā)規(guī)則所定義的操作，如質(zhì)詢、觀察、阻斷等，做到精準(zhǔn)的訪問準(zhǔn)入。
6. WAF
由于CDN的分布式架構(gòu)，用戶通過訪問就近邊緣節(jié)點(diǎn)獲取內(nèi)容，通過這樣的跳板，有效地隱藏源站IP，從而分解源站的訪問壓力。當(dāng)大規(guī)模惡意攻擊來襲時，邊緣節(jié)點(diǎn)可以做為第一道防線，不僅大大分散攻擊強(qiáng)度，還可以通過上述的多種安全能力完成邊緣的防護(hù)。

阿里云CDN 還集成云WAF能力，實(shí)現(xiàn)源站最后一層的防護(hù)。WAF 會對回源的業(yè)務(wù)流量進(jìn)行惡意特征識別及防護(hù)，將正常安全的流量回源到服務(wù)器，進(jìn)而避免網(wǎng)站服務(wù)器被惡意入侵，保障企業(yè)業(yè)務(wù)的核心數(shù)據(jù)安全，解決因惡意攻擊導(dǎo)致的服務(wù)器性能異常問題。CDN WAF提供虛擬補(bǔ)丁，針對網(wǎng)站被曝光的最新漏洞，最大可能地提供快速修復(fù)規(guī)則，并依托云安全，快速實(shí)現(xiàn)漏洞響應(yīng)和修復(fù)。

防篡改能力
阿里云CDN提供企業(yè)級全鏈路HTTPS+節(jié)點(diǎn)內(nèi)容防篡改能力，保證客戶從源站到客戶端全鏈路的傳輸安全。在鏈路傳輸層面，通過HTTPS協(xié)議保證鏈接不可被中間源劫持，在節(jié)點(diǎn)上可以對源站文件進(jìn)行一致性驗(yàn)證，如果發(fā)現(xiàn)內(nèi)容不一致會將內(nèi)容刪除，重新回源拉取，如果內(nèi)容一致才會進(jìn)行分發(fā)。整套解決方案能夠在源站、鏈路端、CDN節(jié)點(diǎn)、客戶端全鏈路保證內(nèi)容的安全性，提供更高的安全傳輸保障。

資源獨(dú)享 提升企業(yè)安全系數(shù)
針對大型企業(yè)等具有強(qiáng)安全需求的業(yè)務(wù)場景，阿里云CDN提供獨(dú)享資源方案：
支持客戶通過安全加速節(jié)點(diǎn)實(shí)現(xiàn)物理隔離，完全單獨(dú)構(gòu)建，深度集成安全功能，提供單節(jié)點(diǎn)高級高防能力；
提供獨(dú)享IP資源，保證業(yè)務(wù)安全風(fēng)險隔離，不會在別人受到攻擊時被影響；
支持單用戶獨(dú)立調(diào)度域，用戶之間DNS攻擊互不影響，百萬QPS的DNS Flood防護(hù)。

堅守內(nèi)容與平臺的“生產(chǎn)”安全底線
阿里云基于人工智能及海量樣本集，深度學(xué)習(xí)訓(xùn)練識別模型，精準(zhǔn)識別通過CDN加速的圖片中的涉黃場景，并可根據(jù)用戶實(shí)際的管控需求，提供多層次的識別與靈活管控方案。整體鑒黃準(zhǔn)確率超過99%，可替代90%以上的人工審核，大幅度降低違規(guī)風(fēng)險。
通過簡化安全加速架構(gòu)，讓運(yùn)維人員更便捷地進(jìn)行一站式自助配置與API管控，實(shí)現(xiàn)日常攻擊的監(jiān)控告警、全鏈路排查、自動防護(hù)與實(shí)時全景數(shù)據(jù)日志查看。同時大型活動期間的護(hù)航與重保響應(yīng)制度，可以輔助企業(yè)應(yīng)用一起抵御安全風(fēng)險，保護(hù)系統(tǒng)平穩(wěn)。

阿里云CDN平臺還通過了國家信息安全等級保護(hù)2.0三級、ISO9001、PCI-DSS等合規(guī)認(rèn)證，在網(wǎng)絡(luò)安全、數(shù)據(jù)安全、服務(wù)安全等方面測評獲得世界權(quán)威認(rèn)可。

行業(yè)應(yīng)用案例
企業(yè)網(wǎng)站——航空大促
亞洲某廉價航空公司，在每個季度會舉行一次大型機(jī)票促銷活動，借助于阿里云CDN+WAF的架構(gòu)，可以實(shí)現(xiàn)對刷票類請求的快速封禁，通過長期持續(xù)分析大促期間的占座情況，將占座率壓到了比較低的水平，保證業(yè)務(wù)營收的穩(wěn)定。
游戲公司-游戲出海
中國游戲公司出海大軍中，有一匹脫穎而出的黑馬。這家企業(yè)使用阿里云DCDN來整合超大規(guī)模的用戶體驗(yàn)，允許用戶將其源服務(wù)器的所有邊界網(wǎng)關(guān)協(xié)議（BGP）網(wǎng)絡(luò)資源替換為單個操作網(wǎng)絡(luò)，將源服務(wù)器的帶寬成本降低了50%以上。

原文鏈接：https://developer.aliyun.com/article/784775?

版權(quán)聲明：本文內(nèi)容由阿里云實(shí)名注冊用戶自發(fā)貢獻(xiàn)，版權(quán)歸原作者所有，阿里云開發(fā)者社區(qū)不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。具體規(guī)則請查看《阿里云開發(fā)者社區(qū)用戶服務(wù)協(xié)議》和《阿里云開發(fā)者社區(qū)知識產(chǎn)權(quán)保護(hù)指引》。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容，填寫侵權(quán)投訴表單進(jìn)行舉報，一經(jīng)查實(shí)，本社區(qū)將立刻刪除涉嫌侵權(quán)內(nèi)容。

總結(jié)

以上是生活随笔為你收集整理的如何构建企业出海的“免疫力“？深入解读阿里云CDN安全能力的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。