阿里云峰會 | 阿里云CDN六大邊緣安全能力，全力助推政企數(shù)字化轉(zhuǎn)型

6月9日，2020年阿里云線上峰會召開。阿里云智能總裁張建鋒認(rèn)為，數(shù)字化已經(jīng)成為中國經(jīng)濟(jì)的主要驅(qū)動力，疫情讓政府、企業(yè)都認(rèn)識到數(shù)字化的迫切性。在峰會上，阿里云CDN正式對外發(fā)布基于CDN構(gòu)建的六大邊緣安全能力，全力助推政企數(shù)字化發(fā)展。

阿里云CDN產(chǎn)品專家彭飛在演講中表示：作為關(guān)鍵互聯(lián)網(wǎng)基礎(chǔ)設(shè)施之一，CDN幫助互聯(lián)網(wǎng)應(yīng)用實現(xiàn)用戶訪問體驗的提升之外，也逐漸滲透到傳統(tǒng)領(lǐng)域，比如政府、金融、傳媒等等，幫助他們來應(yīng)對數(shù)字化轉(zhuǎn)型中業(yè)務(wù)互聯(lián)網(wǎng)化的技術(shù)挑戰(zhàn)，在追求更快速、更穩(wěn)定的內(nèi)容分發(fā)加速體驗的同時，網(wǎng)絡(luò)攻擊的防護(hù)也是他們十分關(guān)注的命題。

例如，對高可性和安全性非常敏感的金融行業(yè)，如何防御逐年上升的DDoS與CC攻擊，如何滿足行業(yè)安全合規(guī)要求？對于企業(yè)官網(wǎng)來說，如何應(yīng)對WAF攻擊，避免來自惡意刷量、爬蟲的的騷擾？在線政務(wù)平臺如何實現(xiàn)全鏈路傳輸內(nèi)容加密和防篡改？傳媒企業(yè)如何確保業(yè)務(wù)高可用與內(nèi)容一致性？

為了應(yīng)對以上挑戰(zhàn)，CDN也需要進(jìn)行持續(xù)的創(chuàng)新和升級。

在全站加速產(chǎn)品基座之上，通過云安全能力在邊緣的注入，阿里云CDN打造了WAF應(yīng)用層安全、DDoS網(wǎng)絡(luò)層安全、內(nèi)容防篡改、全鏈路HTTPS傳輸、高可用安全、安全合規(guī)六大安全體系，形成了邊緣安全的立體防護(hù)能力，一站式保障分發(fā)加速與業(yè)務(wù)安全。

加速效率仍需提升，全站加速提升30%動靜混合站點(diǎn)分發(fā)效率

CDN本質(zhì)上是提供內(nèi)容分發(fā)加速服務(wù)的，而大部分企業(yè)的官網(wǎng)中都既有圖片、文件類的靜態(tài)資源，也存在一些如賬號登錄、數(shù)據(jù)查詢等動態(tài)的交互，針對動靜內(nèi)容要做智能分離，采用不同的策略，才能呈現(xiàn)更好的加速效果。

阿里云全站加速可實現(xiàn)動、靜態(tài)內(nèi)容智能識別，針對靜態(tài)內(nèi)容，通過CDN邊緣節(jié)點(diǎn)多級緩存實現(xiàn)高命中率的靜態(tài)內(nèi)容分發(fā)加速，針對動態(tài)內(nèi)容，基于實時網(wǎng)絡(luò)探測、智能路由選路、傳輸協(xié)議的優(yōu)化、內(nèi)容壓縮傳輸?shù)纫幌盗械募夹g(shù)手段，來提升回源效率，降低訪問時延，整體上可以幫助動靜態(tài)混合頁面提升30%的分發(fā)效率。

對抗Web應(yīng)用攻擊，CDN邊緣節(jié)點(diǎn)注入WAF安全能力

在應(yīng)用層，最常見的攻擊形式是Web應(yīng)用攻擊，如SQL注入、XSS跨站腳本等攻擊手段，會對網(wǎng)站的數(shù)據(jù)內(nèi)容、品牌形象造成極大的風(fēng)險。

CDN邊緣安全體系架構(gòu)分為邊緣節(jié)點(diǎn)和回源節(jié)點(diǎn)，采用多級、雙層的防御體系，為用戶構(gòu)筑一道完整的邊緣應(yīng)用層的防護(hù)體系。在回源節(jié)點(diǎn)側(cè)，通過WAF能力注入，幫助回源動態(tài)請求實現(xiàn)Web攻擊的防護(hù)。同時，云安全0 day漏洞實時更新支持24小時內(nèi)為高危風(fēng)險漏洞提供虛擬安全補(bǔ)丁。在邊緣節(jié)點(diǎn)側(cè)，也提供頻次控制與機(jī)器流量管理能力，識別惡意爬蟲、刷量軟件等機(jī)器流量，降低用戶下行帶寬，避免成本浪費(fèi)。在實際應(yīng)用場景上，方案可以幫助零售企業(yè)的電商銷售平臺避免WAF攻擊、CC攻擊和刷量等惡意行為。

邊緣平滑聯(lián)動DDoS高防，確保業(yè)務(wù)平穩(wěn)

銀行、保險、券商等金融企業(yè)由于本身業(yè)務(wù)的敏感性，經(jīng)常會遭受到外部攻擊，其中DDoS攻擊防護(hù)十分關(guān)鍵。阿里云政企安全加速解決方案通過CDN邊緣節(jié)點(diǎn)與DDoS高防平滑聯(lián)動方案，自動化實現(xiàn)DDoS攻擊識別、調(diào)度至高防節(jié)點(diǎn)進(jìn)行流量清洗與平穩(wěn)后的流量回調(diào)，讓用戶可以享受到高防節(jié)點(diǎn)的上T級別的DDoS防攻擊能力以及上百萬級別的QPS防御能力，同時在沒有攻擊時用邊緣節(jié)點(diǎn)來保障加速效果。

獨(dú)享+國密+防篡改方案，全方位保障鏈路與內(nèi)容安全

對于政務(wù)網(wǎng)站、黨建學(xué)習(xí)平臺等場景來說，信息的準(zhǔn)確性至關(guān)重要。除了采用https來進(jìn)行源站到CDN、CDN到客戶端的全鏈路傳輸加密，也需要規(guī)避源站和CDN節(jié)點(diǎn)上的內(nèi)容安全風(fēng)險。

針對高安全等級的業(yè)務(wù)場景，阿里云基于前期在股份制銀行、央媒等大型項目中的最佳實踐經(jīng)驗，沉淀了一套基于獨(dú)享物理資源、國密算法與節(jié)點(diǎn)一致性校驗等手段的防篡改方案，可以最大程度規(guī)避內(nèi)容安全風(fēng)險。同時，為了讓更多用戶將防篡改能力應(yīng)用到其業(yè)務(wù)場景中去，阿里云也提供獨(dú)享IP、雙證書keyless等更通用、簡化的技術(shù)方案。

邊緣高可用與合規(guī)認(rèn)證，層層保障讓業(yè)務(wù)更安心

通過主備源切換、源站告警、離線模式、災(zāi)備站等多種模式，來保障當(dāng)源站出現(xiàn)風(fēng)險時CDN仍然能夠為用戶響應(yīng)內(nèi)容，為源站恢復(fù)爭取時間。同時，在合規(guī)認(rèn)證方面，阿里云具備國內(nèi)外97項合規(guī)認(rèn)證，其中與CDN相關(guān)47項，包括等保2.0三級、金融云等保四級、可信云、ISO27001系列、PCI DSS安全認(rèn)證等一些列認(rèn)證，作為國內(nèi)領(lǐng)先的合規(guī)服務(wù)商，阿里云可以完全滿足客戶對合規(guī)性的要求。

基于CDN構(gòu)建的邊緣安全體系，阿里云發(fā)布了政企安全加速解決方案，這是阿里云CDN加速落地政企行業(yè)的一大步。阿里云CDN產(chǎn)品專家彭飛表示：解決方案已經(jīng)在金融、傳媒、政府、航空、車企等眾多領(lǐng)域上得到客戶的認(rèn)可，阿里云CDN希望與客戶一起構(gòu)建極速、安全的互聯(lián)網(wǎng)體驗。對此，阿里云還開展了CDN加速以及DDoS防護(hù)、高級版WAF免費(fèi)試用活動，幫助更多企業(yè)降低解決方案的使用門檻。詳細(xì)情況，可以登錄阿里云官網(wǎng)搜索「政企安全加速」進(jìn)一步了解。