政企边缘安全,如何助您提升企业免疫力?
>>發布會傳送門:https://yqh.aliyun.com/live/detail/21749
點擊查看詳情:https://yqh.aliyun.com/live/cdn_0106
在數字化進程中,政企會面臨諸多在線化的挑戰,一方面要求業務能夠在線開放,同時也要求服務是穩定流暢可靠的,此外還要保證安全合規,這對業務開發及運營者提出了極高要求。1月6日,阿里云CDN年度產品升級發布會中,阿里云CDN產品專家彭飛對阿里云CDN政企安全加速解決方案進行了詳細解讀。
在企業數字化轉型中,一般常見的挑戰有以下情況:在突發事件下,政府網站及應用產生高并發訪問,造成訪問不暢;公信力媒體內容若被惡意攻擊篡改,將產生負面輿情,以及盜鏈盜播等惡意行為導致優質視頻內容泄露;金融行業具有嚴格的等保合規要求,源站及節點服務高可用性保障十分重要,DDoS及WEB應用攻擊影響業務和企業考核,同時大規模交易下的訪問體驗和跨國訪問體驗急需保障;傳統企業的內部OA、ERP、郵箱、會議等辦公協同軟件訪問體驗差,影響工作效率,對外在線業務數據被爬或WEB入侵導致企業數據泄露……諸如此類,都是政企開發及運營者需要避免的。
所以在這種場景之下,政企應用存在共同的挑戰存在于三個方面:第一是對于互聯網訪問體驗的保障,包括由于公眾跨地區跨(運營商)網訪問造成的訪問延遲、訪問失敗,以及因為主站出口帶寬固定有限,無法在突發訪問下保障良好的訪問體驗等;第二是需要有效的規避互聯網的網絡攻擊的風險攻擊,包括DDoS/CC等網絡攻擊行為造成政務互聯網服務中斷,以及針對WEB應用的攻擊威脅主站的應用和數據安全;第三是在內容分發或用戶的終端上,缺少內容一致性校驗、https傳輸加密等技術保障的情況下,數據內容很容易被劫持篡改,造成不良影響。
為了幫助政企行業應對挑戰,阿里云發布政企安全加速解決方案。該解決方案是阿里云CDN團隊和云安全團隊共同打造的分發加速+邊緣安全一站式服務,解決政府、金融、傳媒、傳統企業內容分發安全和加速性能的問題,為云上業務保駕護航。客戶可以直接登錄阿里云官網,搜索:政企安全加速,去解決方案頁面了解詳情,并且也留下相應問題與阿里云架構師進行免費的咨詢。
解決方案的基座是阿里云CDN多年沉淀的強大的內容分發能力,在安全層面,解決方案主要具備WAF應用層安全、DDoS防護網絡層安全、內容防篡改、全鏈路HTTPS傳輸,高可用安全,安全合規六大方面的能力,進而構建了完整的邊緣安全體系。
首先,整個方案是基于穩定、極速、智能、安全的全站加速網絡構建。目前,阿里云整個2800+節點覆蓋六大洲、70多個國家,具備130Tbps帶寬儲備,每天為150余萬域名加速。
在此基礎之上,針對很多企業的動靜內容混合的情況,阿里云全站加速面向用戶提供更好的多維度增值能力,可以實現自定義動靜分離,動態內容采用智能路由,進行傳輸協議優化,壓縮傳輸,實時網絡質量探測,而靜態內容邊緣多級緩存,同運營商回源,以此保障用戶整體訪問質量可以達到最優,分發效率提升30%,提速效果明顯。
其次,基于全站加速,再去構建應用層安全防護,主要包括以下幾個維度:
一、在邊緣抵御WEB攻擊
CDN節點集成了WAF(WEB應用防火墻)功能,可抵御常見OWASP威脅,抵御CC攻擊,管理機器流量,降低源站負載,有效保護源站WEB應用系統安全。比如零售企業,現在都會用戶去提供在線商城服務,一般也都會在源站去部署相應的WAF防護能力,而一旦內容越出了邊界,在很多情況下,對于網絡安全防護實際上就很不可控了。而CDN作為更貼近用戶端的網絡網絡區間,如果能在CDN邊緣把相應的攻擊給阻斷,就可以起到很好的保護效果。
CDN WAF幾大特性包括:提供實時更新高危Web 0 Day漏洞,24小時內提供虛擬補訂防護;可以有效防御SQL注入,XSS跨站等常見Web攻擊;支持用戶自定義防護規則,防護業務風險,抵御CC攻擊;基于機器流量管理,降低爬蟲、自動化工具對網站業務的影響,可以將爬蟲流量下降40%。
二、DDoS攻擊防護確保網站服務可靠性
在網絡層,企業更多面臨DDoS或者CC攻擊,對業務穩定性帶來很大的隱患。比如金融企業經常會要求CDN提供相應的CC防護服務,因為CDN本身就是一個反向代理的服務,在這種服務機制之下,用戶的源站能夠得到有效保護,邊緣節點可以屏蔽掉攻擊行為。
CDN節點目前已經能夠較好地去識別網絡攻擊的特征,并且在第一時間對一些非服務端口,比如非80、443端口流量進行指定和阻斷。同時,基于CDN節點智能精準檢測,一旦發現流量攻擊并超過基礎防護閾值,就可以將攻擊流量自動化調度到高防節點,實現流量清洗,當攻擊停止,流量會自動調度回到CDN服務節點。整體可提供1Tbps以上DDoS防護,確保客戶業務安全無虞。
三、多維度保障傳輸鏈路內容防篡改
廣電傳媒企業非常關注內容一致性,內容在源站還是在CDN、客戶端,都一定不能被篡改。解決方案為該類需求提供多維度的全鏈路內容防篡改方案。首先,可為客戶提供獨享節點保障資源的隔離性,其次,在CDN內部、CDN與源站和客戶端之間通過國密算法進行全鏈路安全傳輸,此外,基于國密算法的內容一致性校驗,確保內容防篡改。
四、易于實施的IPv6轉換服務,快速滿足合規要求
目前,從監管、行業發展等各個角度來看,網站的IPv6兼容改造都勢在必行。目前CDN已經能夠完整支持從CDN邊緣節點下行到CDN邊緣節點上行這兩端的IPv6訪問,并且可以做到協議跟隨,當客戶端請求是IPv6,回源也會優先到IPv6。IPv4源站無需做任何改造即可實現IPv6地址轉換,即可便捷去進行落地,迅速滿足行業監管要求。同時,IPv6節點全面覆蓋,滿足各地各運營商用戶訪問需求,相比由單一節點構成的IPv6地址轉換服務性能體驗更優。
綜上所述,阿里云政企安全加速解決方案是無縫集成了加速與安全雙項能力,核心提供的安全能力包括:WAF應用層安全、DDoS網絡層安全、內容防篡改、全鏈路HTTPS傳輸、高可用安全、安全合規六個方面。同時,不止于加速,在serverless邊緣可編程能力,DevOps配置管理能力,CDN與阿里云體系產品整合(DATAV,SLS,OSS)能力等各方面形成更完整的企業級CDN加速體驗。
案例解讀
某官網在沒有實施HTTPS和IPv6合規的改造之前,很多內容是不支持的,僅僅是支持IPv4和HTTP服務,這就意味著在合規性上可能會存在一些問題。同時,如果網站要進行改造的話,成本也比較高。而當這個官網使用了CDN加速服務之后,通過CDN便捷對接快速上線,避免源站技術改造,即可一站式支持IPv4 HTTP、IPv4 HTTPS、IPv6 HTTP、IPv6 HTTPS確保合規安全。
對該官網來說,它的用戶訪問體驗上的提升也十分明顯,下圖左側是未做CDN加速的源站使用單一節點服務全國訪問請求,大多數地域訪問體驗不佳,同時很多處的最慢響應時間達15秒左右,接近觸發“站點不可用”的單項否決指標;下圖右側同一源站使用CDN加速后在同一時刻全國各地訪問體驗顯著改善,最慢響應時間、平均響應時間明顯縮短,服務可用性得到提升。
原文鏈接:https://developer.aliyun.com/article/781181?
版權聲明:本文內容由阿里云實名注冊用戶自發貢獻,版權歸原作者所有,阿里云開發者社區不擁有其著作權,亦不承擔相應法律責任。具體規則請查看《阿里云開發者社區用戶服務協議》和《阿里云開發者社區知識產權保護指引》。如果您發現本社區中有涉嫌抄襲的內容,填寫侵權投訴表單進行舉報,一經查實,本社區將立刻刪除涉嫌侵權內容。總結
以上是生活随笔為你收集整理的政企边缘安全,如何助您提升企业免疫力?的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 专家解读EdgeRoutine边缘程序
- 下一篇: 【直播预约】线上Greentea JUG