如何构建企业出海的“免疫力“?深入解读阿里云CDN安全能力

简介: 随着信息技术快速发展与应用,产业数字化和智能化趋势正日益加深,企业信息安全与防护被提升到前所有未有的高度。阿里云CDN经过10多年的技术发展时间,已逐步构筑一个边缘+云的安全网络立体防护体系,包含了全链路安全传输、常见攻击类型的边缘防御、企业级独享资源部署、运维以及内容安全保障机制,为企业打造安全出海的网络运营环境。


在CDN安全防护存在两个核心场景:拥塞带宽和耗尽资源。


对于拥塞有限带宽入口这类攻击,本质上要在流量上Hold住。CDN天然具有丰富的节点资源,使用分布式的网络将攻击分散到不同的边缘节点,同时在近源清洗后返回服务端。


对于耗尽有限资源这类攻击,本质上要做到攻击的快速可见,并且能够把相应特征进行阻断。单纯依靠CDN不能特别有效的解决问题,需要通过CDN节点上的配置,完成智能精准检测DDoS攻击,并自动化调度攻击到DDoS高防进行流量清洗,这时候需要用户购买高防抗DDoS的产品。

基于阿里云CDN+云安全构建的边缘安全体系
image.png

基于阿里云CDN构建的边缘安全体系,其核心能力仍是加速,但又不止于加速。加速是整体方案的基础,依托于阿里云全站加速平台,通过自动化动静分离,智能路由选路,私有协议传输等核心技术,提升静动态混合站点的全站加速效果。在加速基础之上,为客户提供丰富的边缘应用层安全、网络层DDoS防御、内容防篡改、全链路HTTPS传输,高可用安全,安全合规 6大方面安全能力,从客户业务流量进入CDN产品体系,一直到回到客户源站,全链路提供安全保障,保障企业互联网业务的安全加速。


边缘安全防护


阿里云CDN通过构建完整的企业级边缘安全能力,包括DDoS缓解,WAF,频次控制,IP/区域封禁,机器流量管理,精准访问控制等,做到从网络层到应用层的全栈防护。在不牺牲网站加速性能的同时,全面保障客户在线业务的稳定性和安全性。


每年,阿里云安全监测到云上DDoS攻击发生近百万次,应用层DDoS(CC攻击)成为常见的攻击类型,攻击手法也更为多变复杂;同时,Web应用安全相关的问题依然占据非常大的比重,从用户信息泄露到羊毛党的狂欢,无时无刻不在考验着每一个行业、每一个Web应用的安全水位。为了让承载数据传输的网络平台更加安全可靠,阿里云CDN一直不断夯实安全上的能力。


1. DDoS缓解


CDN与DDoS高防产品可以实现联动,在分发场景中可以通过CDN进行分发。在DDoS攻击发生时,可以将发生DDoS攻击区域的流量调度到DDoS高防去清洗,有效保护业务的服务质量。通过联动方案可以有效清洗海量DDoS攻击,完美防御SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS等Flood 型攻击。同时,基于阿里云飞天平台的计算能力和深度学习算法,智能预判DDoS攻击,平滑切换为DDoS高防,且不影响业务运行。


2. 机器流量管理


面对网络爬虫的恶意爬取,CDN平台基于阿里巴巴集团业务沉淀的恶意IP库、恶意指纹库等,通过贴近业务风险的机器学习能力和定制化爬虫模型进行精准对抗,降低爬虫、自动化工具对网站业务的影响,保障企业的数据安全,维护企业的核心商业价值。


3. 频次控制


当网站遭受恶意CC攻击并响应缓慢时,通过频次控制功能,可以秒级阻断访问该网站的请求,提升网站的安全性。频次控制保护您的网站 URL免受超出设定阈值的可疑请求的影响。它支持丰富的监测对象,并配以自定义规则,来定义合适的访问阈值。一旦达到设定的请求阈值,就会触发自定义响应,通过多样化的手段(如阻断或者质询)来处理过于频繁的访问请求。


4. IP/区域封禁


配置IP黑白名单来实现对访客身份的识别和过滤,从而限制访问CDN资源的用户,提升CDN的安全性。另外还能配置国家的黑白名单,帮助您一键阻断来自指定区域的访问请求,解决部分地区高发的恶意请求问题。


5. 精准访问控制


允许自定义匹配条件,实施精准的访问控制。匹配条件能够检查常见的HTTP字段(如IP、URL、header等),来满足业务场景的定制化需求。该功能通过支持丰富的请求字段,定义多样化的匹配条件,来描述所要捕获的访问请求。一旦请求被匹配,就会触发规则所定义的操作,如质询、观察、阻断等,做到精准的访问准入。


6. WAF


由于CDN的分布式架构,用户通过访问就近边缘节点获取内容,通过这样的跳板,有效地隐藏源站IP,从而分解源站的访问压力。当大规模恶意攻击来袭时,边缘节点可以做为第一道防线,不仅大大分散攻击强度,还可以通过上述的多种安全能力完成边缘的防护。

阿里云CDN 还集成云WAF能力,实现源站最后一层的防护。WAF 会对回源的业务流量进行恶意特征识别及防护,将正常安全的流量回源到服务器,进而避免网站服务器被恶意入侵,保障企业业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。CDN WAF提供虚拟补丁,针对网站被曝光的最新漏洞,最大可能地提供快速修复规则,并依托云安全,快速实现漏洞响应和修复。

防篡改能力


阿里云CDN提供企业级全链路HTTPS+节点内容防篡改能力,保证客户从源站到客户端全链路的传输安全。在链路传输层面,通过HTTPS协议保证链接不可被中间源劫持,在节点上可以对源站文件进行一致性验证,如果发现内容不一致会将内容删除,重新回源拉取,如果内容一致才会进行分发。整套解决方案能够在源站、链路端、CDN节点、客户端全链路保证内容的安全性,提供更高的安全传输保障。
image.png

资源独享 提升企业安全系数


针对大型企业等具有强安全需求的业务场景,阿里云CDN提供独享资源方案:


支持客户通过安全加速节点实现物理隔离,完全单独构建,深度集成安全功能,提供单节点高级高防能力;


提供独享IP资源,保证业务安全风险隔离,不会在别人受到攻击时被影响;


支持单用户独立调度域,用户之间DNS攻击互不影响,百万QPS的DNS Flood防护。

坚守内容与平台的“生产”安全底线


阿里云基于人工智能及海量样本集,深度学习训练识别模型,精准识别通过CDN加速的图片中的涉黄场景,并可根据用户实际的管控需求,提供多层次的识别与灵活管控方案。整体鉴黄准确率超过99%,可替代90%以上的人工审核,大幅度降低违规风险。


通过简化安全加速架构,让运维人员更便捷地进行一站式自助配置与API管控,实现日常攻击的监控告警、全链路排查、自动防护与实时全景数据日志查看。同时大型活动期间的护航与重保响应制度,可以辅助企业应用一起抵御安全风险,保护系统平稳。

阿里云CDN平台还通过了国家信息安全等级保护2.0三级、ISO9001、PCI-DSS等合规认证,在网络安全、数据安全、服务安全等方面测评获得世界权威认可。

行业应用案例


企业网站——航空大促


亚洲某廉价航空公司,在每个季度会举行一次大型机票促销活动,借助于阿里云CDN+WAF的架构,可以实现对刷票类请求的快速封禁,通过长期持续分析大促期间的占座情况,将占座率压到了比较低的水平,保证业务营收的稳定。


游戏公司-游戏出海


中国游戏公司出海大军中,有一匹脱颖而出的黑马。这家企业使用阿里云DCDN来整合超大规模的用户体验,允许用户将其源服务器的所有边界网关协议(BGP)网络资源替换为单个操作网络,将源服务器的带宽成本降低了50%以上。

原文链接
本文为阿里云原创内容,未经允许不得转载。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/513187.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

使用率激增 250%,这份报告再次将 Serverless 推向幕前

简介: 本文是对 Datadog 最新的一份 Serverless 报告的解读,欢迎大家留言讨论。 每项新技术的产生和演进过程中,都会有他自己的拥趸,也会有持怀疑论者。Serverless 的美在于他可以尽可能的解放客户在基础设施上的投入,…

dev用不了_跟风喊AMD YES?很多生产力项目,你必须用IU

大家好,我是小匠。现在的电脑市场中,高喊AMD YES几乎已经成为了一种政治正确了,尤其是在所谓的“生产力需求”的领域中。各大评测结果中也几乎都是AMD吊打Intel的局面。然而AU真的在所有生产力项目中都吊打IU吗?我可以负责任的告诉…

云计算到底是谁发明的?

作者 | 小枣君来源 | 鲜枣课堂(ID:xzclasscom)大家都在讨论云计算、云原生,那你知道云计算是谁发明的吗?说到云计算的起源,公众普遍认为,谷歌前 CEO 埃里克施密特是云计算概念的第一个提出者。2…

c语言静态变量存在堆还是栈,c 类 static 函数 什么样是静态变量?嵌入式C语言的堆栈管理如何实现...

C语言中静态变量是什么意思,有什么作用,static在数据类型前面表示什么最近刚看了C存储类的章节。所以来说说。C语言为变量提供了⑤种不同的存储模型,或者说是存储类。①个变量可以用存储时期描述,也可以用作用域描述,也…

如何专业化监控一个Kubernetes集群?

简介: 本文会介绍 Kubernetes 可观测性系统的构建,以及基于阿里云云产品实现 Kubernetes 可观测系统构建的最佳实践。 作者:佳旭 阿里云容器服务技术专家 引言 Kubernetes 在生产环境应用的普及度越来越广、复杂度越来越高,随之而…

如何构建一个拖垮整个公司的备份系统

简介: 在如今“数据即资产”的时代,有备才能无患。备份就像备胎,虽然大多人都知道备胎很重要,却很少有人检查。不发生点什么,你永远不知道TA对你有多重要。 原文链接 本文为阿里云原创内容,未经允许不得转…

6.7K Star 的知名开源项目源码,该怎么看?

作者 | 一只图雀来源 | 程序员巴士心理认知要到位首先要认识到,看源码是一个开始比较枯燥、同时时间跨度相对比较长的一个过程。所以看源码的第一步是找到自己想要了解领域、或者自己所在业务领域高度相关的项目,并且在这个领域比较出名,且维…

网站建设中 模板_网站建设之模板网站的缺点

随着网站建设市场的日益成熟,许多的自助建站平台纷纷涌入建站市场,甚至许多主机供应商也与一些自助建站平台达成了战略合作,买服务器赠送模板网站。那么我们进行网站建设时是选择专业建站公司的定制网站还是模板站呢?看完模板网站…

阿里云李飞飞:什么是云原生数据库

简介: 云原生是一种新型技术体系,是云计算未来的发展方向。今天,阿里云李飞飞将和我们分享何为云原生、云原生如何与分布式有机结合,以及云原生技术如何帮助客户迈入数字原生时代。 作者 | 飞刀 来源 | 阿里技术公众号 云原生是一…

stm32 adc 连续和扫描_技术分享 | STM32多个ADC模块同时采样转换的应用示例

在STM32家族里,多数系列芯片内含2到3个ADC模块,有的甚至更多,比方G4系列可以有5个ADC模块。其中,通道数因不同的系列或型号多少不等,几个到几十个的都有。有时,我们可能需要多个ADC模块同时工作&#xff0c…

云原生/低代码/数据科学/计算等方向内容整理志愿者招募了!

持续招募内容整理志愿者!云原生、数据科学、AI、低代码、计算等方向,有意愿的小伙伴,欢迎识别二维码提前报名哦。我们将持续为爱学习、有时间的小伙伴,提供多重福利!要求:1. 你需要具备一定学术背景&#x…

python计算运动会某个参赛选手的得分。数据保存在文件中_成绩计算电脑程序的使用说明...

成绩计算电脑程序的使用说明为了计算成绩,特制作这个电脑程序,说明如下:一、开发软件:Python二、使用说明:在电脑D盘根目录下建立两个excel文件,一个是1.xlsx,另一个是2.xlsx其中,1.…

android 创建文件夹_Android 动画小记

精简介绍Android中的动画,主要介绍用法。动画种类包括了:补间动画、逐帧动画、属性动画,前两者统称为视图动画。补间动画包括了平移、旋转、缩放和透明度四种,每种动画支持xml和代码设置。另外还有一种组合动画,就是将…

2021金蝶全球创见者大会成功举办, 500强企业共话EBC数字战斗力

11月27日,由金蝶主办的“2021全球创见者大会”成功举办。大会以“用数字战斗力,向管理要效益”为主题,求索不确定时代,EBC如何帮助500强及中小企业拥抱数字战斗力,构建企业韧性。 据了解,金蝶全球创见者大…

使用管控策略,设定多账号组织全局访问边界

简介: 企业上云多账号架构中,如何做到从上到下管理的同时,处理好员工的权限边界问题? 由多账号上云模式说起 多账号上云模式的产生 我们的企业客户上云,一般都是从尝试部署少量业务开始,然后逐步将更多业…

使用MaxCompute LOAD命令批量导入OSS数据最佳实践—STS方式LOAD开启KMS加密OSS数据

简介: MaxCompute使用load overwrite或load into命令将外部存储的数据(如:oss)导入到MaxCompute前的授权操作。 MaxCompute使用load overwrite或load into命令将外部存储的数据(如:oss)导入到M…

pca降维的基本思想_R语言进行PCA分析

点击上方「蓝字」关注我写在前面前面我们知道了降维分析学习了PCoA分析今天学习PCA分析...PCA(Principal Component Analysis),即主成分分析方法,是一种使用最广泛的数据降维算法。PCA的主要思想是将n维特征映射到k维上,这k维是全新的正交特征…

c语言线性分类回归库 台湾,最全的线性回归算法库总结—— scikit-learn篇

原标题:最全的线性回归算法库总结—— scikit-learn篇本文建议收藏后食用更加美味scikit-learn对于线性回归提供了比较多的类库,这些类库都可以用来做线性回归分析,本文就对这些类库的使用做一个总结,重点讲述这些线性回归算法库的…

吉麦新能源与联想签订战略合作协议,共同拥抱智能网联汽车升维时代

11月25日,吉麦新能源汽车与联想战略合作签约仪式成功举行,双方正式建立战略合作伙伴关系。未来,双方将在车联网、云解决方案及服务、IT基础架构产品服务、智慧工厂服务领域开展深入合作,合力推动新能源造车数智化转型,…

供应链商品域DDD实践

简介: DDD是一套方法论,实践能否成功,不仅仅是个技术问题,更是执行贯彻实施的问题。本文将就DDD的基本概念和DDD的实施进行分享。 作者 | 侧帽 来源 | 阿里技术公众号 前言 供应链商品域DDD实践时间不长,在实践过程也…