如何构建企业出海的"免疫力"？深入解读阿里云CDN安全能力

简介： 随着信息技术快速发展与应用，产业数字化和智能化趋势正日益加深，企业信息安全与防护被提升到前所有未有的高度。阿里云CDN经过10多年的技术发展时间，已逐步构筑一个边缘+云的安全网络立体防护体系，包含了全链路安全传输、常见攻击类型的边缘防御、企业级独享资源部署、运维以及内容安全保障机制，为企业打造安全出海的网络运营环境。

在CDN安全防护存在两个核心场景：拥塞带宽和耗尽资源。

对于拥塞有限带宽入口这类攻击，本质上要在流量上Hold住。CDN天然具有丰富的节点资源，使用分布式的网络将攻击分散到不同的边缘节点，同时在近源清洗后返回服务端。

对于耗尽有限资源这类攻击，本质上要做到攻击的快速可见，并且能够把相应特征进行阻断。单纯依靠CDN不能特别有效的解决问题，需要通过CDN节点上的配置，完成智能精准检测DDoS攻击，并自动化调度攻击到DDoS高防进行流量清洗，这时候需要用户购买高防抗DDoS的产品。

基于阿里云CDN+云安全构建的边缘安全体系

基于阿里云CDN构建的边缘安全体系，其核心能力仍是加速，但又不止于加速。加速是整体方案的基础，依托于阿里云全站加速平台，通过自动化动静分离，智能路由选路，私有协议传输等核心技术，提升静动态混合站点的全站加速效果。在加速基础之上，为客户提供丰富的边缘应用层安全、网络层DDoS防御、内容防篡改、全链路HTTPS传输，高可用安全，安全合规 6大方面安全能力，从客户业务流量进入CDN产品体系，一直到回到客户源站，全链路提供安全保障，保障企业互联网业务的安全加速。

边缘安全防护

阿里云CDN通过构建完整的企业级边缘安全能力，包括DDoS缓解，WAF，频次控制，IP/区域封禁，机器流量管理，精准访问控制等，做到从网络层到应用层的全栈防护。在不牺牲网站加速性能的同时，全面保障客户在线业务的稳定性和安全性。

每年，阿里云安全监测到云上DDoS攻击发生近百万次，应用层DDoS（CC攻击）成为常见的攻击类型，攻击手法也更为多变复杂；同时，Web应用安全相关的问题依然占据非常大的比重，从用户信息泄露到羊毛党的狂欢，无时无刻不在考验着每一个行业、每一个Web应用的安全水位。为了让承载数据传输的网络平台更加安全可靠，阿里云CDN一直不断夯实安全上的能力。

1. DDoS缓解

CDN与DDoS高防产品可以实现联动，在分发场景中可以通过CDN进行分发。在DDoS攻击发生时，可以将发生DDoS攻击区域的流量调度到DDoS高防去清洗，有效保护业务的服务质量。通过联动方案可以有效清洗海量DDoS攻击，完美防御SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS等Flood 型攻击。同时，基于阿里云飞天平台的计算能力和深度学习算法，智能预判DDoS攻击，平滑切换为DDoS高防，且不影响业务运行。

2. 机器流量管理

面对网络爬虫的恶意爬取，CDN平台基于阿里巴巴集团业务沉淀的恶意IP库、恶意指纹库等，通过贴近业务风险的机器学习能力和定制化爬虫模型进行精准对抗，降低爬虫、自动化工具对网站业务的影响，保障企业的数据安全，维护企业的核心商业价值。

3. 频次控制

当网站遭受恶意CC攻击并响应缓慢时，通过频次控制功能，可以秒级阻断访问该网站的请求，提升网站的安全性。频次控制保护您的网站 URL免受超出设定阈值的可疑请求的影响。它支持丰富的监测对象，并配以自定义规则，来定义合适的访问阈值。一旦达到设定的请求阈值，就会触发自定义响应，通过多样化的手段（如阻断或者质询）来处理过于频繁的访问请求。

4. IP/区域封禁

配置IP黑白名单来实现对访客身份的识别和过滤，从而限制访问CDN资源的用户，提升CDN的安全性。另外还能配置国家的黑白名单，帮助您一键阻断来自指定区域的访问请求，解决部分地区高发的恶意请求问题。

5. 精准访问控制

允许自定义匹配条件，实施精准的访问控制。匹配条件能够检查常见的HTTP字段（如IP、URL、header等），来满足业务场景的定制化需求。该功能通过支持丰富的请求字段，定义多样化的匹配条件，来描述所要捕获的访问请求。一旦请求被匹配，就会触发规则所定义的操作，如质询、观察、阻断等，做到精准的访问准入。

6. WAF

由于CDN的分布式架构，用户通过访问就近边缘节点获取内容，通过这样的跳板，有效地隐藏源站IP，从而分解源站的访问压力。当大规模恶意攻击来袭时，边缘节点可以做为第一道防线，不仅大大分散攻击强度，还可以通过上述的多种安全能力完成边缘的防护。

阿里云CDN 还集成云WAF能力，实现源站最后一层的防护。WAF 会对回源的业务流量进行恶意特征识别及防护，将正常安全的流量回源到服务器，进而避免网站服务器被恶意入侵，保障企业业务的核心数据安全，解决因恶意攻击导致的服务器性能异常问题。CDN WAF提供虚拟补丁，针对网站被曝光的最新漏洞，最大可能地提供快速修复规则，并依托云安全，快速实现漏洞响应和修复。

防篡改能力

阿里云CDN提供企业级全链路HTTPS+节点内容防篡改能力，保证客户从源站到客户端全链路的传输安全。在链路传输层面，通过HTTPS协议保证链接不可被中间源劫持，在节点上可以对源站文件进行一致性验证，如果发现内容不一致会将内容删除，重新回源拉取，如果内容一致才会进行分发。整套解决方案能够在源站、链路端、CDN节点、客户端全链路保证内容的安全性，提供更高的安全传输保障。

资源独享 提升企业安全系数

针对大型企业等具有强安全需求的业务场景，阿里云CDN提供独享资源方案：

支持客户通过安全加速节点实现物理隔离，完全单独构建，深度集成安全功能，提供单节点高级高防能力；

提供独享IP资源，保证业务安全风险隔离，不会在别人受到攻击时被影响；

支持单用户独立调度域，用户之间DNS攻击互不影响，百万QPS的DNS Flood防护。

坚守内容与平台的“生产”安全底线

阿里云基于人工智能及海量样本集，深度学习训练识别模型，精准识别通过CDN加速的图片中的涉黄场景，并可根据用户实际的管控需求，提供多层次的识别与灵活管控方案。整体鉴黄准确率超过99%，可替代90%以上的人工审核，大幅度降低违规风险。

通过简化安全加速架构，让运维人员更便捷地进行一站式自助配置与API管控，实现日常攻击的监控告警、全链路排查、自动防护与实时全景数据日志查看。同时大型活动期间的护航与重保响应制度，可以辅助企业应用一起抵御安全风险，保护系统平稳。

阿里云CDN平台还通过了国家信息安全等级保护2.0三级、ISO9001、PCI-DSS等合规认证，在网络安全、数据安全、服务安全等方面测评获得世界权威认可。

行业应用案例

企业网站——航空大促

亚洲某廉价航空公司，在每个季度会举行一次大型机票促销活动，借助于阿里云CDN+WAF的架构，可以实现对刷票类请求的快速封禁，通过长期持续分析大促期间的占座情况，将占座率压到了比较低的水平，保证业务营收的稳定。

游戏公司-游戏出海

中国游戏公司出海大军中，有一匹脱颖而出的黑马。这家企业使用阿里云DCDN来整合超大规模的用户体验，允许用户将其源服务器的所有边界网关协议（BGP）网络资源替换为单个操作网络，将源服务器的带宽成本降低了50%以上。

原文链接
本文为阿里云原创内容，未经允许不得转载。