CDN应用进阶 | 正确使用CDN 让你更好规避安全风险

为了帮助用户更好地了解和使用CDN产品,CDN应用实践进阶系统课程开课了。12月17日,阿里云CDN产品专家彭飞在线分享了《正确使用CDN,让你更好规避安全风险》议题,内容主要包括以下几个方面:

使用CDN的常见误区和问题有哪些?
DDoS攻击是如何一步步演进的?
CDN场景中更有效的防护方式是什么?
阿里云CDN边缘安全体系如何帮助客户抵御攻击?
针对近期潜在安全风险,你可以怎么做?
客户体验和安全稳定是企业的两大核心诉求
阿里云CDN正式商业化至今,已经服务了30万+的全球客户,其中最核心的两类场景就是网站和APP的业务。在这个业务中,客户的核心诉求还是相对集中的,一方面,希望能够给他们的用户提供更优质的体验,需要解决分布于不同运营商网络下的终端用户的跨网访问效率、广泛分布用户的一致性访问体验、中心部署源站成本高昂、突发流量下的弹性扩展以及弱网环境下传输性能等等方面的问题;另一方面,客户希望业务是安全稳定运行,这种稳定就包括了提供SLA可靠性、解决网络DDoS和CC攻击、保护内容不被恶意爬取、劫持、篡改等等。综上所述,用户体验和安全稳定是企业的两大核心诉求。

CDN是企业常用的互联网服务之一,主要提供内容分发服务。CDN能帮助用户缓解互联网网络拥塞、提高互联网业务响应速度、是改善用户业务体验的重要手段。同时,CDN使用反向代理技术,能有效的保护用户源站,避免源站暴露进而遭到黑客的攻击。CDN海量的服务节点天然给用户提供了一定的防护能力,继而获得相应的稳定性提升。默认情况下会用整个CDN大网的网络能力和计算能力,有效的对抗攻击者的攻击。

关于CDN安全的那些误区和问题
前文提到了CDN节点可以为用户提供一定的防护能力,其实在使用CDN过程中会有一些常见的误区,比如:第一个误区是有些用户认为用了CDN之后有效保护源站就不需要额外购买安全服务了,甚至可以使用CDN平台来抵抗攻击;第二个误区是用户认为其用了CDN后无需进行任何额外配置,有攻击CDN自动来抵抗,和其没什么关系,对其没什么影响。

伴随这两种误区就会产生一些问题,比如:第一个问题是当用户遭到DDoS攻击,CDN为保证整体服务质量,会将用户业务切入沙箱,网站业务质量受到较大影响,且影响该域名后续的CDN加速服务质量。第二个问题是当用户遭到刷量型CC攻击,由于请求非常分散,CDN认为是客户正常业务的流量增长,因此尽力提供服务,造成短时间大量带宽突增,客户要为此付出大额账单,造成较大的经济损失。

正确地认识网络攻击
客户业务线上运行过程中,不可避免会遇到网络安全威胁,DDoS攻击是最典型的。DDoS的核心原理是什么?是如何发展演进的? 我们有必要进行详细的了解,以便于更好的在CDN上给与其防护。

DDoS的核心目标是造成业务损失,受害目标无法对外进行服务,进而造成业务损失。其本质是消耗目标系统的资源,具体有2种实现方式:一种叫做拥塞有限的带宽,第二种叫耗尽有限的计算资源。本质上CDN给用户提供的就是这两种资源。一个是分发的带宽资源,第二个是在节点上提供相应的算力,所以攻击本身就是在消耗这个。

其中三类攻击包括:
一、网络流量型攻击
这种攻击会利用到一些协议漏洞,比如UDP、SMP协议,很轻易地构造出过载大报文来堵塞网络入口,这就导致正常请求很难进入。

二、耗尽计算资源型攻击——连接耗尽

最典型的就是网络层CC,利用HTTP协议的三次握手,给服务器发一半的三次握手请求,后续的一些请求不再发了,所以服务器端就会等待,进而占用大量的资源,导致服务器连接资源直接被耗尽,服务不可持续。

三、耗尽计算资源型攻击——应用耗尽

典型是是7层的应用层CC攻击。这种攻击发出的攻击请求,从报文来看,看不出他有非常明显的畸形或有害性,很难去做相应的判断。由于七层CC都是正常的业务请求,同时CDN只是缓存内容,并不了解业务逻辑,同时业务也经常会遇到客户业务突发,当CC攻击时,如果无特殊的错误码异常,从CDN角度来看会和正常的业务上量是一样的,因此也会尽力服务。进而CC攻击会形成突发带宽峰值,进而产生高额账单,因此给客户造成了较大的经济损失。

DDoS攻击的演进
了解到攻击实质之后,再看看整个攻击的演进过程,便于大家更好地了解攻击原理。整个的演进大概分为四个阶段:

第一个阶段:DoS攻击
基于一个单点的服务器进行攻击流量的发送。这时流量规模在500Mbps到10Gbps之间,由于传统服务器的硬件、服务性能、带宽水平都有限,在这样的流量规模之下,就可以造成服务器的全面瘫痪,甚至终止。通过对传统硬件设备直接进行流量清洗的单点防护,再回到服务器,就可以达到防御目的。同时,也可以对相应的原IP进行封禁。

第二阶段:DDoS攻击
也就是分布式的DoS攻击,它的攻击源就不是单点的服务器,而是一群僵尸网络,黑客通过系统漏洞在网络上抓取大量肉鸡,运用这些肉鸡在不同的网络里去同时发起攻击,造成的带宽规模可能从10Gbps到100Gbps。对这种分布式的僵尸网络攻击形式,通常防御手段就是用多点的大流量清洗中心去做近源的流量压制,之后再把清洁流量注回到服务器。

第三阶段:DRDoS,分布式反射型拒绝服务攻击。
互联网上的肉鸡抓取可能存在困难,但一旦被发现,很快这个周期就会丢失掉。所以这些僵尸网络在控制一定的这个周期数量后,会通过反射的机制向目标主体进行攻击。反射的主要机制是互联网上公共的真实存在的设备,在处理协议的过程中可能会形成一个攻击流量成本的放大,比如请求NTP 10K返回50K,请求的原地址改成目标服务器,所有终端都以为受害主机在请求,所有请求都会回到受害主机。整个流量可能会从100Gbps到2Tbps之间,所以对于这种攻击一个是要在很多的协议源头去做流量的阻断,另一个就是还要通过全球化分布式的DDoS进行相应防御。

第四阶段:未来发展
未来,5g、IPv6和IoT技术发展,会导致单位攻击能力翻10倍、公网IP数量指数增长以及潜在肉鸡无处不在,都是我们将要面临的一些风险。所以未来的攻击规模可能会超过2Tbps甚至更高。

CDN场景中应该怎么去更加有效的防护?
沿着以上两个核心场景来看,一个是拥塞带宽,一个是耗尽资源。

对于拥塞有限带宽入口这类攻击,本质上要在流量上Hold住。CDN天然具有丰富的节点资源,使用分布式的网络将攻击分散到不同的边缘节点,同时在近源清洗后返回服务端。

对于耗尽有限资源资源这类攻击,本质上要做到攻击的快速可见,并且能够把相应特征进行阻断。单纯依靠CDN不能特别有效的解决问题,需要通过CDN节点上的配置,完成智能精准检测DDoS攻击,并自动化调度攻击到DDoS高防进行流量清洗。这时候需要用户购买高防抗DDoS的产品。

本质上标准的CDN仍然是一个内容分发产品,不是安全产品,也没有承诺安全方面的SLA,因此,如果用户需要更加专业的安全服务,还是需要选择云安全的DDoS等产品,形成多级的安全防护体系,来更加有效的进行风险防御。

那么,具体阿里云CDN结合云安全的产品之后,能够提供怎样的安全防护体系呢?

政企安全加速解决方案 是一套基于基于阿里云CDN构建的边缘安全体系,核心能力是加速,但又不止于加速。加速是整体方案的基础,依托于阿里云全站加速平台,通过自动化动静分离,智能路由选路,私有协议传输等核心技术,提升静动态混合站点的全站加速效果。在加速基础之上,为客户提供WAF应用层安全、DDoS网络层安全、内容防篡改、全链路HTTPS传输,高可用安全,安全合规 6大方面安全能力,从客户业务流量进入CDN产品体系,一直到回到客户源站,全链路提供安全保障,保障企业互联网业务的安全加速。

CDN边缘安全——网络层与应用层双重安全
一、网络层
银行,证券,保险等金融行业的业务线上化已经成为常见的业务办理模式,客户的 金融网银,网上业务办理业务,一般情况下Web攻击较多,遭遇DDoS网络攻击的场景并不常见,但一旦发生DDoS攻击,企业核心互联网业务就面临瘫痪风险,将会严重影响企业品牌,产生重大资损。因此一般情况银行客户都在源站侧部署DDoS防护能力,同时在CDN边缘分发侧,也希望CDN能利用大量分布式的节点优势,提供边缘DDoS防护能力,在边缘检测DDoS攻击并实现攻击阻断,保护源站不受到攻击冲击。最终实现,无攻击CDN分发,有攻击DDoS防护。

在CDN的边缘节点具备基础的抗D的防护能力。如果用户当前的攻击流量比较高,达到了用户设置的阈值之后,就可以自动化的检测到当前的攻击的流量,并且通过智能调度的方式,将当前恶意的请求全部解析到高防的IP。高防IP的产品去做流量的攻击检测,以及攻击的清洗防护,整个过程是自动化实现。

整个业务流程是:
•客户需要分别开通CDN和DDoS高防产品,并将域名配置在两个产品中,其次,将高防侧生成的调度CNAME在CDN侧进行联动配置。配置后即可实现无攻击CDN分发,有攻击DDoS防护的效果
•在遇到攻击时,首先,自动化丢弃非80|443端口非正常流量,第二,CDN会智能识别网络层攻击行为,精准,实时将DDoS攻击区域流量切换到高防服务,整个过程完全自动化,无需用户介入;第三,在高防侧用户可以享受最高超过1T的DDoS防护和清理能力,以及超过250W QPS的防护能力
•当攻击结束后,CDN将自动将流量重新调度回CDN网络,实现正常业务分发

如上就能够完整平滑的实现CDN与高防的联动,实现无攻击CDN分发,有攻击DDoS防护。

二、应用层
零售客户通过线上电商进行产品宣传和售卖已经成为一种常见的销售模式,无论是企业官网,电商平台,运营活动页面,只要是面向互联网业务无可避免的,经常经常遭遇Web,CC,刷量攻击,对客户体验,稳定性产生较大影响。客户在源站部署WAF能力,保护源站。同样,在CDN分发侧,希望在云端进行Web安全防护。客户会优先开启观察模式,在云端感知到网络攻击风险,然后,逐步灰度源站策略,实现多级防护结构,保证源站安全。

阿里云CDN团队与云安全团队合作,将沉淀多年的云WAF能力,注入到CDN边缘节点,实现WEB攻击的边缘安全防护。

大家都知道,CDN产品一般由2层节点构成多级分发体系,边缘节点更靠近客户,回源上层节点与源站交互获取源站内容,回源节点和边缘节点之间形成多级缓存,提升命中率。当前,云WAF能力已经注入到CDN回源节点,针对动态回源请求,防护OWASP Top10威胁,例如:SQL注入,XSS跨站等常见Web攻击;同时客户还能享受到0 DAY漏洞更新能力,24小时内提供高危漏洞虚拟补订防护。

然而仅能解决回源防护就足够了吗?如果出现恶意刷量,恶意爬取,大文件CC攻击场景,仅会对CDN边缘节点产生影响,请求不经过L2,会产生大量下行带宽,极大提升客户的带宽成本。所以,CDN在边缘节点提供频次控制,机器流量管理能力。通过频次控制能力,用户可以自定义防护规则,有效识别异常的高频访问,边缘抵御CC攻击。通过机器流量管理能力,识别恶意爬虫,刷单软件等机器流量,有效降低下行带宽,节约成本。

通过以上两层能力,CDN可以为用户提供较为立体的应用层防护能力。

希望大家能够更实际的去了解,并根据实际需求情况进行配置。以下是CDN频次控制、区域封禁、DDoS联动功能的钉钉群,可以扫码进群进行申请开通。同时,大家也可以在控制台开通CDN WAF功能,享受到相应服务。对于对安全有进一步需求的政企客户,欢迎加入政企安全加速产品交流钉钉群,联系群中的架构师获得更充分的建议。

原文链接
本文为阿里云原创内容,未经允许不得转载。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/514526.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

“程序员千万不要选全栈开发”

作者 | 千鸟(网名) 小路助手开发者责编 | 晋兆雨出品 | CSDN(ID:CSDNnews)对于大多数人来说,大学毕业后选择一家满意的公司,一路升职加薪才是正解,但他却偏偏选择了一条鲜有人知的…

「直播回顾」Mars:加速数据科学的新方式

简介: 本文从数据科学概念、背景和现状切入,引出加速数据科学的新方式Mars,并介绍了Mars具体能解决的一些问题和背后的逻辑、哲学,同时对Mars整体数据处理流程进行了介绍。 本文分为4个部分: Mars的背景和现状 Mars解…

围观|第一代云原生企业米哈游如何让想象发生?

作者 | 贾宁宇 来源|阿里巴巴云原生公众号 在米哈游的办公区,有一间会议室,专门留给了阿里云工程师。 今年,是这家二次元文化公司创立的第九年,米哈游和阿里云的交情,也有八年了。 米哈游总裁刘伟还记得多年前&…

作为一名通信老司机,我是如何看待翼龙通信无人机救灾的?

作者:小枣君来源:鲜枣课堂昨天,关于翼龙无人机救灾的新闻,刷屏了整个网络。由国家应急管理部紧急调派的翼龙-2H应急救灾型无人机,搭载中国移动的基站设备,从贵州安顺出发,连续出动两次&#xff…

揭秘大流量场景下发布如「丝般顺滑」背后的原因

为什么很多互联网公司不敢在白天发布,都选择在半夜发布。要是能摆脱半夜发布的窘境,它不香吗?选择在半夜发布无非是为了减少对用户的影响,出了问题影响面可控。 那我们就来谈谈,发布会有哪些问题。 若您的应用没有上…

Serverless 落地之痛怎么解?

传统业务在开发上线的过程中,需要团队合作,每个人开发一部分,合并代码,开发联调,然后进行资源评估,测试环境搭建、线上环境搭建、测试上线、运维。但是在 Serverless 时代下,开发者只需要开发自…

可信云十年,重磅研究成果与2021云计算十大关键词悉数发布

编辑 | 宋慧 出品 | CSDN云计算 头图 | 2021可信云大会现场 可信云从提出到发展至今,已经历经了十个年头,可信云大会也已举办到第八届。2021年7月27-28日,由中国信息通信研究院、中国通信标准化协会联合主办的“2021可信云大会”盛大开幕&am…

「直播回顾」Mars应用与最佳实践

简介: 本文首先对Mars的概念、功能、优势进行了介绍,随后,对Mars几个典型的应用场景进行介绍,并通过两个Demo展示了在使用Mars后数据科学性能的提升,最后总结了Mars的最佳实践,让使用Mars更高效便捷。 本文…

TechWorld2021技术嘉年华,解锁“不一样”的技术盛会

当今,网络空间和物理空间的边界不断融合,网络安全和信息化作为一体之两翼也在进行一种融合,网络安全产业伴随着“融合”持续升级发展。7月30日 ,以“融合•Convergency”为主题的TechWorld2021绿盟科技技术嘉年华在北京顺利召开&a…

《资源成本双优化!看 Serverless 颠覆编程教育的创新实践》

简介: 说起 Serverless 这个词,我想大家应该都不陌生,那么 Serverless 这个词到底是什么意思?Serverless 到底能解决什么问题?可能很多朋友还没有深刻的体会和体感,这篇文章我就和大家一起聊聊 Serverless。…

为了让盲人也能追剧,优酷做了哪些努力?

简介: 虽然Android和iOS系统本身就有对无障碍技术的官方支持,但是随着各种技术的迭代和演进,以及页面内容的复杂度的增加,靠系统自身的支持已经远远无法达到理想的无障碍用户体验。优酷客户端针对视障群体实际需求及反馈进行梳理&…

统信软件启用全新LOGO,迎接中国操作系统大时代

编辑 | 宋慧 出品 | CSDN云计算 头图 | 统信软件发布会现场 在2020年底完成11亿元A轮融资的半年之后,统信软件在7月31日发布了全新品牌LOGO,并推出了200多项功能改进的统信UOS1040版本。 统信软件技术有限公司总经理刘闻欢表示,统信软件从成…

距离 Java 开发者玩转 Serverless,到底还有多远?

简介: 本文摘自 Spring Cloud Alibaba 开源项目创始团队成员方剑撰写的《深入理解 Spring Cloud 与实战》一书,主要讲述了 Java 微服务框架 Spring Boot/Cloud 这个事实标准下如何应对 FaaS 场景。 作者 | 方剑(洛夜) Spring Clo…

MSHA x Chaos 容灾高可用实践

简介: 2020 年 12 月份,阿里云应用高可用产品 AHAS(Application High Availability Service)发布了新的功能模块 AHAS-MSHA,它是在阿⾥巴巴电商业务环境演进出来的多活容灾架构解决⽅案。本篇文章我们首先介绍容灾领域…

基于元学习和人机协同的端到端对话模型

Dialog Studio 是达摩院NLP-小蜜Conversational AI团队研发的面向开发者的智能对话开发平台,目前已经在云(多省市政务12345热线、中移动10086、金融、医疗等)、钉钉(通过钉钉官方智能工作助理服务几百万企业)、集团内&…

AI释放数字经济潜能!思谋科技受邀出席2021全球数字经济大会

8月2日,2021全球数字经济大会在北京举办。本次会议以“创新引领 数据驱动——建设全球数字经济标杆城市”为主题,由北京市人民政府、国家发展和改革委员会、工业和信息化部、商务部、国家互联网信息办公室共同主办。思谋科技作为承办单位参与论坛。思谋科…

ZAO 背后的深度学习算法原理浅析

ZAO最近火爆,成为现象级产品之一,引起大家的广泛关注,ATA上面已经有同学做了一些说明分析,链接如下: https://www.atatech.org/articles/148375?spmata.13269325.0.0.27ad49fa0Vr2gG 上面文章介绍了ZAO是基于deep f…

Serverless在SaaS领域的最佳实践

简介: 特别对于当下的经济环境,SaaS厂商要明白,不能再通过烧钱的方式,只关注在自己的用户数量上,而更多的要思考如何帮助客户降低成本、增加效率,所以需要将更多的精力放在自己产品的定制化能力上。 作者&a…

终于有人把大数据讲明白了。。。

大数据是对海量数据进行存储、计算、统计、分析处理的一系列处理手段,处理的数据量通常是TB级,甚至是PB或EB级的数据,这是传统数据处理手段所无法完成的,其涉及的技术有分布式计算、高并发处理、高可用处理、集群、实时性计算等&a…

都 2021 年了,Serverless 能取代微服务吗?

简介: 马上就要 2021 年了,Serverless 是否终将取代微服务?从微服务到 Serverless 需要经过怎样的路径?本文将对 Serverless 与微服务在优势劣势上进行深度对比。 来源 | Serverless 公众号 编译 | OrangeJ 作者 | Mariliis Rett…