如何構建企業出海的"免疫力"？深刻解讀阿里雲CDN安全能力

隨着信息技術快速發展與應用，產業數字化和智能化趨勢正日益加深，企業信息安全與防禦被提高到前全部未有的高度。阿里雲CDN通過10多年的技術發展時間，已逐步構築一個邊緣+雲的安全網絡立體防禦體系，包含了全鏈路安全傳輸、常見攻擊類型的邊緣防護、企業級獨享資源部署、運維以及內容安全保障機制，爲企業打造安全出海的網絡運營環境。
在CDN安全防禦存在兩個核心場景：擁塞帶寬和耗盡資源。
對於擁塞有限帶寬入口這類攻擊，本質上要在流量上Hold住。CDN自然具備豐富的節點資源，使用分佈式的網絡將攻擊分散到不一樣的邊緣節點，同時在近源清洗後返回服務端。
對於耗盡有限資源這類攻擊，本質上要作到攻擊的快速可見，而且可以把相應特徵進行阻斷。單純依靠CDN不能特別有效的解決問題，須要經過CDN節點上的配置，完成智能精準檢測DDoS攻擊，並自動化調度攻擊到DDoS高防進行流量清洗，這時候須要用戶購買高防抗DDoS的產品。

基於阿里雲CDN+雲安全構建的邊緣安全體系

基於阿里雲CDN構建的邊緣安全體系，其核心能力還是加速，但又不止於加速。加速是總體方案的基礎，依託於阿里雲全站加速平臺，經過自動化動靜分離，智能路由選路，私有協議傳輸等核心技術，提高靜動態混合站點的全站加速效果。在加速基礎之上，爲客戶提供豐富的邊緣應用層安全、網絡層DDoS防護、內容防篡改、全鏈路HTTPS傳輸，高可用安全，安全合規 6大方面安全能力，從客戶業務流量進入CDN產品體系，一直到回到客戶源站，全鏈路提供安全保障，保障企業互聯網業務的安全加速。
邊緣安全防禦
阿里雲CDN經過構建完整的企業級邊緣安全能力，包括DDoS緩解，WAF，頻次控制，IP/區域封禁，機器流量管理，精準訪問控制等，作到從網絡層到應用層的全棧防禦。在不犧牲網站加速性能的同時，全面保障客戶在線業務的穩定性和安全性。
每一年，阿里雲安全監測到雲上DDoS攻擊發生近百萬次，應用層DDoS（CC攻擊）成爲常見的攻擊類型，攻擊手法也更爲多變複雜；同時，Web應用安全相關的問題依然佔據很是大的比重，從用戶信息泄露到羊毛黨的狂歡，無時無刻不在考驗着每個行業、每個Web應用的安全水位。爲了讓承載數據傳輸的網絡平臺更加安全可靠，阿里雲CDN一直不斷夯實安全上的能力。

1. DDoS緩解
   CDN與DDoS高防產品能夠實現聯動，在分發場景中能夠經過CDN進行分發。在DDoS攻擊發生時，能夠將發生DDoS攻擊區域的流量調度到DDoS高防去清洗，有效保護業務的服務質量。經過聯動方案能夠有效清洗海量DDoS攻擊，完美防護SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS等Flood 型攻擊。同時，基於阿里雲飛天平臺的計算能力和深度學習算法，智能預判DDoS攻擊，平滑切換爲DDoS高防，且不影響業務運行。
2. 機器流量管理
   面對網絡爬蟲的惡意爬取，CDN平臺基於阿里巴巴集團業務沉澱的惡意IP庫、惡意指紋庫等，經過貼近業務風險的機器學習能力和定製化爬蟲模型進行精準對抗，下降爬蟲、自動化工具對網站業務的影響，保障企業的數據安全，維護企業的核心商業價值。
3. 頻次控制
   當網站遭受惡意CC攻擊並響應緩慢時，經過頻次控制功能，能夠秒級阻斷訪問該網站的請求，提高網站的安全性。頻次控制保護您的網站 URL免受超出設定閾值的可疑請求的影響。它支持豐富的監測對象，並配以自定義規則，來定義合適的訪問閾值。一旦達到設定的請求閾值，就會觸發自定義響應，經過多樣化的手段（如阻斷或者質詢）來處理過於頻繁的訪問請求。
4. IP/區域封禁
   配置IP黑白名單來實現對訪客身份的識別和過濾，從而限制訪問CDN資源的用戶，提高CDN的安全性。另外還能配置國家的黑白名單，幫助您一鍵阻斷來自指定區域的訪問請求，解決部分地區高發的惡意請求問題。
5. 精準訪問控制
   容許自定義匹配條件，實施精準的訪問控制。匹配條件可以檢查常見的HTTP字段（如IP、URL、header等），來知足業務場景的定製化需求。該功能經過支持豐富的請求字段，定義多樣化的匹配條件，來描述所要捕獲的訪問請求。一旦請求被匹配，就會觸發規則所定義的操做，如質詢、觀察、阻斷等，作到精準的訪問准入。
6. WAF
   因爲CDN的分佈式架構，用戶經過訪問就近邊緣節點獲取內容，經過這樣的跳板，有效地隱藏源站IP，從而分解源站的訪問壓力。當大規模惡意攻擊來襲時，邊緣節點能夠作爲第一道防線，不只大大分散攻擊強度，還能夠經過上述的多種安全能力完成邊緣的防禦。

阿里雲CDN 還集成雲WAF能力，實現源站最後一層的防禦。WAF 會對回源的業務流量進行惡意特徵識別及防禦，將正常安全的流量回源到服務器，進而避免網站服務器被惡意入侵，保障企業業務的核心數據安全，解決因惡意攻擊致使的服務器性能異常問題。CDN WAF提供虛擬補丁，針對網站被曝光的最新漏洞，最大可能地提供快速修復規則，並依託雲安全，快速實現漏洞響應和修復。

防篡改能力
阿里雲CDN提供企業級全鏈路HTTPS+節點內容防篡改能力，保證客戶從源站到客戶端全鏈路的傳輸安全。在鏈路傳輸層面，經過HTTPS協議保證連接不可被中間源劫持，在節點上能夠對源站文件進行一致性驗證，若是發現內容不一致會將內容刪除，從新回源拉取，若是內容一致纔會進行分發。整套解決方案可以在源站、鏈路端、CDN節點、客戶端全鏈路保證內容的安全性，提供更高的安全傳輸保障。

資源獨享 提高企業安全係數
針對大型企業等具備強安全需求的業務場景，阿里雲CDN提供獨享資源方案：
支持客戶經過安全加速節點實現物理隔離，徹底單獨構建，深度集成安全功能，提供單節點高級高防能力；
提供獨享IP資源，保證業務安全風險隔離，不會在別人受到攻擊時被影響；
支持單用戶獨立調度域，用戶之間DNS攻擊互不影響，百萬QPS的DNS Flood防禦。

堅守內容與平臺的「生產」安全底線
阿里雲基於人工智能及海量樣本集，深度學習訓練識別模型，精準識別經過CDN加速的圖片中的涉黃場景，並可根據用戶實際的管控需求，提供多層次的識別與靈活管控方案。總體鑑黃準確率超過99%，可替代90%以上的人工審覈，大幅度下降違規風險。
經過簡化安全加速架構，讓運維人員更便捷地進行一站式自助配置與API管控，實現平常攻擊的監控告警、全鏈路排查、自動防禦與實時全景數據日誌查看。同時大型活動期間的護航與重保響應制度，能夠輔助企業應用一塊兒抵禦安全風險，保護系統平穩。

阿里雲CDN平臺還經過了國家信息安全等級保護2.0三級、ISO900一、PCI-DSS等合規認證，在網絡安全、數據安全、服務安全等方面測評得到世界權威承認。

行業應用案例
企業網站——航空大促
亞洲某廉價航空公司，在每一個季度會舉行一次大型機票促銷活動，藉助於阿里雲CDN+WAF的架構，能夠實現對刷票類請求的快速封禁，經過長期持續分析大促期間的佔座狀況，將佔座率壓到了比較低的水平，保證業務營收的穩定。
遊戲公司-遊戲出海
中國遊戲公司出海大軍中，有一匹脫穎而出的黑馬。這家企業使用阿里雲DCDN來整合超大規模的用戶體驗，容許用戶將其源服務器的全部邊界網關協議（BGP）網絡資源替換爲單個操做網絡，將源服務器的帶寬成本下降了50%以上。