簡介: 在數字化進程中,政企會面臨諸多在線化的挑戰,一方面要求業務能夠在線開放,同時也要求服務是穩定流暢可靠的,此外還要保證安全合規,這對業務開發及運營者提出了極高要求。1月6日,阿里雲CDN年度產品升級發佈會中,阿里雲CDN產品專家彭飛對阿里雲CDN政企安全加速解決方案進行了詳細解讀。
在企業數字化轉型中,一般常見的挑戰有以下情況:在突發事件下,政府網站及應用產生高併發訪問,造成訪問不暢;公信力媒體內容若被惡意攻擊篡改,將產生負面輿情,以及盜鏈盜播等惡意行爲導致優質視頻內容泄露;金融行業具有嚴格的等保合規要求,源站及節點服務高可用性保障十分重要,DDoS及WEB應用攻擊影響業務和企業考覈,同時大規模交易下的訪問體驗和跨國訪問體驗急需保障;傳統企業的內部OA、ERP、郵箱、會議等辦公協同軟件訪問體驗差,影響工作效率,對外在線業務數據被爬或WEB入侵導致企業數據泄露……諸如此類,都是政企開發及運營者需要避免的。
所以在這種場景之下,政企應用存在共同的挑戰存在於三個方面:第一是對於互聯網訪問體驗的保障,包括由於公衆跨地區跨(運營商)網訪問造成的訪問延遲、訪問失敗,以及因爲主站出口帶寬固定有限,無法在突發訪問下保障良好的訪問體驗等;第二是需要有效的規避互聯網的網絡攻擊的風險攻擊,包括DDoS/CC等網絡攻擊行爲造成政務互聯網服務中斷,以及針對WEB應用的攻擊威脅主站的應用和數據安全;第三是在內容分發或用戶的終端上,缺少內容一致性校驗、https傳輸加密等技術保障的情況下,數據內容很容易被劫持篡改,造成不良影響。
爲了幫助政企行業應對挑戰,阿里雲發佈政企安全加速解決方案。該解決方案是阿里雲CDN團隊和雲安全團隊共同打造的分發加速+邊緣安全一站式服務,解決政府、金融、傳媒、傳統企業內容分發安全和加速性能的問題,爲雲上業務保駕護航。客戶可以直接登錄阿里雲官網,搜索:政企安全加速,去解決方案頁面瞭解詳情,並且也留下相應問題與阿里雲架構師進行免費的諮詢。
解決方案的基座是阿里雲CDN多年沉澱的強大的內容分發能力,在安全層面,解決方案主要具備WAF應用層安全、DDoS防護網絡層安全、內容防篡改、全鏈路HTTPS傳輸,高可用安全,安全合規六大方面的能力,進而構建了完整的邊緣安全體系。
首先,整個方案是基於穩定、極速、智能、安全的全站加速網絡構建。目前,阿里雲整個2800+節點覆蓋六大洲、70多個國家,具備130Tbps帶寬儲備,每天爲150餘萬域名加速。
在此基礎之上,針對很多企業的動靜內容混合的情況,阿里雲全站加速面向用戶提供更好的多維度增值能力,可以實現自定義動靜分離,動態內容採用智能路由,進行傳輸協議優化,壓縮傳輸,實時網絡質量探測,而靜態內容邊緣多級緩存,同運營商回源,以此保障用戶整體訪問質量可以達到最優,分發效率提升30%,提速效果明顯。
其次,基於全站加速,再去構建應用層安全防護,主要包括以下幾個維度:
一、在邊緣抵禦WEB攻擊
CDN節點集成了WAF(WEB應用防火牆)功能,可抵禦常見OWASP威脅,抵禦CC攻擊,管理機器流量,降低源站負載,有效保護源站WEB應用系統安全。比如零售企業,現在都會用戶去提供在線商城服務,一般也都會在源站去部署相應的WAF防護能力,而一旦內容越出了邊界,在很多情況下,對於網絡安全防護實際上就很不可控了。而CDN作爲更貼近用戶端的網絡網絡區間,如果能在CDN邊緣把相應的攻擊給阻斷,就可以起到很好的保護效果。
CDN WAF幾大特性包括:提供實時更新高危Web 0 Day漏洞,24小時內提供虛擬補訂防護;可以有效防禦SQL注入,XSS跨站等常見Web攻擊;支持用戶自定義防護規則,防護業務風險,抵禦CC攻擊;基於機器流量管理,降低爬蟲、自動化工具對網站業務的影響,可以將爬蟲流量下降40%。
二、DDoS攻擊防護確保網站服務可靠性
在網絡層,企業更多面臨DDoS或者CC攻擊,對業務穩定性帶來很大的隱患。比如金融企業經常會要求CDN提供相應的CC防護服務,因爲CDN本身就是一個反向代理的服務,在這種服務機制之下,用戶的源站能夠得到有效保護,邊緣節點可以屏蔽掉攻擊行爲。
CDN節點目前已經能夠較好地去識別網絡攻擊的特徵,並且在第一時間對一些非服務端口,比如非80、443端口流量進行指定和阻斷。同時,基於CDN節點智能精準檢測,一旦發現流量攻擊並超過基礎防護閾值,就可以將攻擊流量自動化調度到高防節點,實現流量清洗,當攻擊停止,流量會自動調度回到CDN服務節點。整體可提供1Tbps以上DDoS防護,確保客戶業務安全無虞。
三、多維度保障傳輸鏈路內容防篡改
廣電傳媒企業非常關注內容一致性,內容在源站還是在CDN、客戶端,都一定不能被篡改。解決方案爲該類需求提供多維度的全鏈路內容防篡改方案。首先,可爲客戶提供獨享節點保障資源的隔離性,其次,在CDN內部、CDN與源站和客戶端之間通過國密算法進行全鏈路安全傳輸,此外,基於國密算法的內容一致性校驗,確保內容防篡改。
四、易於實施的IPv6轉換服務,快速滿足合規要求
目前,從監管、行業發展等各個角度來看,網站的IPv6兼容改造都勢在必行。目前CDN已經能夠完整支持從CDN邊緣節點下行到CDN邊緣節點上行這兩端的IPv6訪問,並且可以做到協議跟隨,當客戶端請求是IPv6,回源也會優先到IPv6。IPv4源站無需做任何改造即可實現IPv6地址轉換,即可便捷去進行落地,迅速滿足行業監管要求。同時,IPv6節點全面覆蓋,滿足各地各運營商用戶訪問需求,相比由單一節點構成的IPv6地址轉換服務性能體驗更優。
綜上所述,阿里雲政企安全加速解決方案是無縫集成了加速與安全雙項能力,核心提供的安全能力包括:WAF應用層安全、DDoS網絡層安全、內容防篡改、全鏈路HTTPS傳輸、高可用安全、安全合規六個方面。同時,不止於加速,在serverless邊緣可編程能力,DevOps配置管理能力,CDN與阿里雲體系產品整合(DATAV,SLS,OSS)能力等各方面形成更完整的企業級CDN加速體驗。
案例解讀
某官網在沒有實施HTTPS和IPv6合規的改造之前,很多內容是不支持的,僅僅是支持IPv4和HTTP服務,這就意味着在合規性上可能會存在一些問題。同時,如果網站要進行改造的話,成本也比較高。而當這個官網使用了CDN加速服務之後,通過CDN便捷對接快速上線,避免源站技術改造,即可一站式支持IPv4 HTTP、IPv4 HTTPS、IPv6 HTTP、IPv6 HTTPS確保合規安全。
對該官網來說,它的用戶訪問體驗上的提升也十分明顯,下圖左側是未做CDN加速的源站使用單一節點服務全國訪問請求,大多數地域訪問體驗不佳,同時很多處的最慢響應時間達15秒左右,接近觸發“站點不可用”的單項否決指標;下圖右側同一源站使用CDN加速後在同一時刻全國各地訪問體驗顯著改善,最慢響應時間、平均響應時間明顯縮短,服務可用性得到提升。
作者:樰籬
本文爲阿里雲原創內容,未經允許不得轉載