在数字化进程中,政企会面临诸多在线化的挑战,一方面要求业务能够在线开放,同时也要求服务是稳定流畅可靠的,此外还要保证安全合规,这对业务开发及运营者提出了极高要求。1月6日,阿里云CDN年度产品升级发布会中,阿里云CDN产品专家彭飞对阿里云CDN政企安全加速解决方案进行了详细解读。
在企业数字化转型中,一般常见的挑战有以下情况:在突发事件下,政府网站及应用产生高并发访问,造成访问不畅;公信力媒体内容若被恶意攻击篡改,将产生负面舆情,以及盗链盗播等恶意行为导致优质视频内容泄露;金融行业具有严格的等保合规要求,源站及节点服务高可用性保障十分重要,DDoS及WEB应用攻击影响业务和企业考核,同时大规模交易下的访问体验和跨国访问体验急需保障;传统企业的内部OA、ERP、邮箱、会议等办公协同软件访问体验差,影响工作效率,对外在线业务数据被爬或WEB入侵导致企业数据泄露……诸如此类,都是政企开发及运营者需要避免的。
所以在这种场景之下,政企应用存在共同的挑战存在于三个方面:第一是对于互联网访问体验的保障,包括由于公众跨地区跨(运营商)网访问造成的访问延迟、访问失败,以及因为主站出口带宽固定有限,无法在突发访问下保障良好的访问体验等;第二是需要有效的规避互联网的网络攻击的风险攻击,包括DDoS/CC等网络攻击行为造成政务互联网服务中断,以及针对WEB应用的攻击威胁主站的应用和数据安全;第三是在内容分发或用户的终端上,缺少内容一致性校验、https传输加密等技术保障的情况下,数据内容很容易被劫持篡改,造成不良影响。
为了帮助政企行业应对挑战,阿里云发布政企安全加速解决方案。该解决方案是阿里云CDN团队和云安全团队共同打造的分发加速+边缘安全一站式服务,解决政府、金融、传媒、传统企业内容分发安全和加速性能的问题,为云上业务保驾护航。客户可以直接登录阿里云官网,搜索:政企安全加速,去解决方案页面了解详情,并且也留下相应问题与阿里云架构师进行免费的咨询。
解决方案的基座是阿里云CDN多年沉淀的强大的内容分发能力,在安全层面,解决方案主要具备WAF应用层安全、DDoS防护网络层安全、内容防篡改、全链路HTTPS传输,高可用安全,安全合规六大方面的能力,进而构建了完整的边缘安全体系。
首先,整个方案是基于稳定、极速、智能、安全的全站加速网络构建。目前,阿里云整个2800+节点覆盖六大洲、70多个国家,具备130Tbps带宽储备,每天为150余万域名加速。
在此基础之上,针对很多企业的动静内容混合的情况,阿里云全站加速面向用户提供更好的多维度增值能力,可以实现自定义动静分离,动态内容采用智能路由,进行传输协议优化,压缩传输,实时网络质量探测,而静态内容边缘多级缓存,同运营商回源,以此保障用户整体访问质量可以达到最优,分发效率提升30%,提速效果明显。
其次,基于全站加速,再去构建应用层安全防护,主要包括以下几个维度:
一、在边缘抵御WEB攻击
CDN节点集成了WAF(WEB应用防火墙)功能,可抵御常见OWASP威胁,抵御CC攻击,管理机器流量,降低源站负载,有效保护源站WEB应用系统安全。比如零售企业,现在都会用户去提供在线商城服务,一般也都会在源站去部署相应的WAF防护能力,而一旦内容越出了边界,在很多情况下,对于网络安全防护实际上就很不可控了。而CDN作为更贴近用户端的网络网络区间,如果能在CDN边缘把相应的攻击给阻断,就可以起到很好的保护效果。
CDN WAF几大特性包括:提供实时更新高危Web 0 Day漏洞,24小时内提供虚拟补订防护;可以有效防御SQL注入,XSS跨站等常见Web攻击;支持用户自定义防护规则,防护业务风险,抵御CC攻击;基于机器流量管理,降低爬虫、自动化工具对网站业务的影响,可以将爬虫流量下降40%。
二、DDoS攻击防护确保网站服务可靠性
在网络层,企业更多面临DDoS或者CC攻击,对业务稳定性带来很大的隐患。比如金融企业经常会要求CDN提供相应的CC防护服务,因为CDN本身就是一个反向代理的服务,在这种服务机制之下,用户的源站能够得到有效保护,边缘节点可以屏蔽掉攻击行为。
CDN节点目前已经能够较好地去识别网络攻击的特征,并且在第一时间对一些非服务端口,比如非80、443端口流量进行指定和阻断。同时,基于CDN节点智能精准检测,一旦发现流量攻击并超过基础防护阈值,就可以将攻击流量自动化调度到高防节点,实现流量清洗,当攻击停止,流量会自动调度回到CDN服务节点。整体可提供1Tbps以上DDoS防护,确保客户业务安全无虞。
三、多维度保障传输链路内容防篡改
广电传媒企业非常关注内容一致性,内容在源站还是在CDN、客户端,都一定不能被篡改。解决方案为该类需求提供多维度的全链路内容防篡改方案。首先,可为客户提供独享节点保障资源的隔离性,其次,在CDN内部、CDN与源站和客户端之间通过国密算法进行全链路安全传输,此外,基于国密算法的内容一致性校验,确保内容防篡改。
四、易于实施的IPv6转换服务,快速满足合规要求
目前,从监管、行业发展等各个角度来看,网站的IPv6兼容改造都势在必行。目前CDN已经能够完整支持从CDN边缘节点下行到CDN边缘节点上行这两端的IPv6访问,并且可以做到协议跟随,当客户端请求是IPv6,回源也会优先到IPv6。IPv4源站无需做任何改造即可实现IPv6地址转换,即可便捷去进行落地,迅速满足行业监管要求。同时,IPv6节点全面覆盖,满足各地各运营商用户访问需求,相比由单一节点构成的IPv6地址转换服务性能体验更优。
综上所述,阿里云政企安全加速解决方案是无缝集成了加速与安全双项能力,核心提供的安全能力包括:WAF应用层安全、DDoS网络层安全、内容防篡改、全链路HTTPS传输、高可用安全、安全合规六个方面。同时,不止于加速,在serverless边缘可编程能力,DevOps配置管理能力,CDN与阿里云体系产品整合(DATAV,SLS,OSS)能力等各方面形成更完整的企业级CDN加速体验。
案例解读
某官网在没有实施HTTPS和IPv6合规的改造之前,很多内容是不支持的,仅仅是支持IPv4和HTTP服务,这就意味着在合规性上可能会存在一些问题。同时,如果网站要进行改造的话,成本也比较高。而当这个官网使用了CDN加速服务之后,通过CDN便捷对接快速上线,避免源站技术改造,即可一站式支持IPv4 HTTP、IPv4 HTTPS、IPv6 HTTP、IPv6 HTTPS确保合规安全。
对该官网来说,它的用户访问体验上的提升也十分明显,下图左侧是未做CDN加速的源站使用单一节点服务全国访问请求,大多数地域访问体验不佳,同时很多处的最慢响应时间达15秒左右,接近触发“站点不可用”的单项否决指标;下图右侧同一源站使用CDN加速后在同一时刻全国各地访问体验显著改善,最慢响应时间、平均响应时间明显缩短,服务可用性得到提升。
来源:oschina
链接:https://my.oschina.net/u/4497880/blog/4894051