政企邊緣安全，如何助您提高企業的"免疫力"？

>>發佈會傳送門：https://yqh.aliyun.com/live/detail/21749

點擊查看詳情：https://yqh.aliyun.com/live/cdn_0106

在數字化進程中，政企會面臨諸多在線化的挑戰，一方面要求業務可以在線開放，同時也要求服務是穩定流暢可靠的，此外還要保證安全合規，這對業務開發及運營者提出了極高要求。1月6日，阿里雲CDN年度產品升級發佈會中，阿里雲CDN產品專家彭飛對阿里雲CDN政企安全加速解決方案進行了詳細解讀。

在企業數字化轉型中，通常常見的挑戰有如下狀況：在突發事件下，政府網站及應用產生高併發訪問，形成訪問不順暢；公信力媒體內容若被惡意攻擊篡改，將產生負面輿情，以及盜鏈盜播等惡意行爲致使優質視頻內容泄露；金融行業具備嚴格的等保合規要求，源站及節點服務高可用性保障十分重要，DDoS及WEB應用攻擊影響業務和企業考覈，同時大規模交易下的訪問體驗和跨國訪問體驗急需保障；傳統企業的內部OA、ERP、郵箱、會議等辦公協同軟件訪問體驗差，影響工做效率，對外在線業務數據被爬或WEB入侵致使企業數據泄露……諸如此類，都是政企開發及運營者須要避免的。

因此在這種場景之下，政企應用存在共同的挑戰存在於三個方面：第一是對於互聯網訪問體驗的保障，包括因爲公衆跨地區跨（運營商）網訪問形成的訪問延遲、訪問失敗，以及由於主站出口帶寬固定有限，沒法在突發訪問下保障良好的訪問體驗等；第二是須要有效的規避互聯網的網絡攻擊的風險攻擊，包括DDoS/CC等網絡攻擊行爲形成政務互聯網服務中斷，以及針對WEB應用的攻擊威脅主站的應用和數據安全；第三是在內容分發或用戶的終端上，缺乏內容一致性校驗、https傳輸加密等技術保障的狀況下，數據內容很容易被劫持篡改，形成不良影響。

爲了幫助政企行業應對挑戰，阿里雲發佈政企安全加速解決方案。該解決方案是阿里雲CDN團隊和雲安全團隊共同打造的分發加速+邊緣安全一站式服務，解決政府、金融、傳媒、傳統企業內容分發安全和加速性能的問題，爲雲上業務保駕護航。客戶能夠直接登陸阿里雲官網，搜索：政企安全加速，去解決方案頁面瞭解詳情，而且也留下相應問題與阿里雲架構師進行免費的諮詢。

解決方案的基座是阿里雲CDN多年沉澱的強大的內容分發能力，在安全層面，解決方案主要具有WAF應用層安全、DDoS防禦網絡層安全、內容防篡改、全鏈路HTTPS傳輸，高可用安全，安全合規六大方面的能力，進而構建了完整的邊緣安全體系。

首先，整個方案是基於穩定、極速、智能、安全的全站加速網絡構建。目前，阿里雲整個2800+節點覆蓋六大洲、70多個國家，具有130Tbps帶寬儲備，天天爲150餘萬域名加速。

在此基礎之上，針對不少企業的動靜內容混合的狀況，阿里雲全站加速面向用戶提供更好的多維度增值能力，能夠實現自定義動靜分離，動態內容採用智能路由，進行傳輸協議優化，壓縮傳輸，實時網絡質量探測，而靜態內容邊緣多級緩存，同運營商回源，以此保障用戶總體訪問質量能夠達到最優，分發效率提高30%，提速效果明顯。

其次，基於全站加速，再去構建應用層安全防禦，主要包括如下幾個維度：

1、在邊緣抵禦WEB攻擊

CDN節點集成了WAF（WEB應用防火牆）功能，可抵禦常見OWASP威脅，抵禦CC攻擊，管理機器流量，下降源站負載，有效保護源站WEB應用系統安全。好比零售企業，如今都會用戶去提供在線商城服務，通常也都會在源站去部署相應的WAF防禦能力，而一旦內容越出了邊界，在不少狀況下，對於網絡安全防禦實際上就很不可控了。而CDN做爲更貼近用戶端的網絡網絡區間，若是能在CDN邊緣把相應的攻擊給阻斷，就能夠起到很好的保護效果。

CDN WAF幾大特性包括：提供實時更新高危Web 0 Day漏洞，24小時內提供虛擬補訂防禦；能夠有效防護SQL注入，XSS跨站等常見Web攻擊；支持用戶自定義防禦規則，防禦業務風險，抵禦CC攻擊；基於機器流量管理，下降爬蟲、自動化工具對網站業務的影響，能夠將爬蟲流量降低40%。

2、DDoS攻擊防禦確保網站服務可靠性

在網絡層，企業更多面臨DDoS或者CC攻擊，對業務穩定性帶來很大的隱患。好比金融企業常常會要求CDN提供相應的CC防禦服務，由於CDN自己就是一個反向代理的服務，在這種服務機制之下，用戶的源站可以獲得有效保護，邊緣節點能夠屏蔽掉攻擊行爲。

CDN節點目前已經可以較好地去識別網絡攻擊的特徵，而且在第一時間對一些非服務端口，好比非80、443端口流量進行指定和阻斷。同時，基於CDN節點智能精準檢測，一旦發現流量攻擊並超過基礎防禦閾值，就能夠將攻擊流量自動化調度到高防節點，實現流量清洗，當攻擊中止，流量會自動調度回到CDN服務節點。總體可提供1Tbps以上DDoS防禦，確保客戶業務安全無虞。

3、多維度保障傳輸鏈路內容防篡改

廣電傳媒企業很是關注內容一致性，內容在源站仍是在CDN、客戶端，都必定不能被篡改。解決方案爲該類需求提供多維度的全鏈路內容防篡改方案。首先，可爲客戶提供獨享節點保障資源的隔離性，其次，在CDN內部、CDN與源站和客戶端之間經過國密算法進行全鏈路安全傳輸，此外，基於國密算法的內容一致性校驗，確保內容防篡改。

4、易於實施的IPv6轉換服務，快速知足合規要求

目前，從監管、行業發展等各個角度來看，網站的IPv6兼容改造都勢在必行。目前CDN已經可以完整支持從CDN邊緣節點下行到CDN邊緣節點上行這兩端的IPv6訪問，而且能夠作到協議跟隨，當客戶端請求是IPv6，回源也會優先到IPv6。IPv4源站無需作任何改造便可實現IPv6地址轉換，便可便捷去進行落地，迅速知足行業監管要求。同時，IPv6節點全面覆蓋，知足各地各運營商用戶訪問需求，相比由單一節點構成的IPv6地址轉換服務性能體驗更優。

綜上所述，阿里雲政企安全加速解決方案是無縫集成了加速與安全雙項能力，核心提供的安全能力包括：WAF應用層安全、DDoS網絡層安全、內容防篡改、全鏈路HTTPS傳輸、高可用安全、安全合規六個方面。同時，不止於加速，在serverless邊緣可編程能力，DevOps配置管理能力，CDN與阿里雲體系產品整合（DATAV，SLS，OSS）能力等各方面造成更完整的企業級CDN加速體驗。

案例解讀

某官網在沒有實施HTTPS和IPv6合規的改造以前，不少內容是不支持的，僅僅是支持IPv4和HTTP服務，這就意味着在合規性上可能會存在一些問題。同時，若是網站要進行改造的話，成本也比較高。而當這個官網使用了CDN加速服務以後，經過CDN便捷對接快速上線，避免源站技術改造，便可一站式支持IPv4 HTTP、IPv4 HTTPS、IPv6 HTTP、IPv6 HTTPS確保合規安全。

對該官網來講，它的用戶訪問體驗上的提高也十分明顯，下圖左側是未作CDN加速的源站使用單一節點服務全國訪問請求，大多數地域訪問體驗不佳，同時不少處的最慢響應時間達15秒左右，接近觸發「站點不可用」的單項否決指標；下圖右側同一源站使用CDN加速後在同一時刻全國各地訪問體驗顯著改善，最慢響應時間、平均響應時間明顯縮短，服務可用性獲得提高。