如何构建企业出海的"免疫力"？深刻解读阿里云CDN安全能力

随着信息技术快速发展与应用，产业数字化和智能化趋势正日益加深，企业信息安全与防御被提高到前全部未有的高度。阿里云CDN通过10多年的技术发展时间，已逐步构筑一个边缘+云的安全网络立体防御体系，包含了全链路安全传输、常见攻击类型的边缘防护、企业级独享资源部署、运维以及内容安全保障机制，为企业打造安全出海的网络运营环境。
在CDN安全防御存在两个核心场景：拥塞带宽和耗尽资源。
对于拥塞有限带宽入口这类攻击，本质上要在流量上Hold住。CDN自然具备丰富的节点资源，使用分布式的网络将攻击分散到不一样的边缘节点，同时在近源清洗后返回服务端。
对于耗尽有限资源这类攻击，本质上要作到攻击的快速可见，而且可以把相应特征进行阻断。单纯依靠CDN不能特别有效的解决问题，须要经过CDN节点上的配置，完成智能精准检测DDoS攻击，并自动化调度攻击到DDoS高防进行流量清洗，这时候须要用户购买高防抗DDoS的产品。

基于阿里云CDN+云安全构建的边缘安全体系

基于阿里云CDN构建的边缘安全体系，其核心能力还是加速，但又不止于加速。加速是总体方案的基础，依托于阿里云全站加速平台，经过自动化动静分离，智能路由选路，私有协议传输等核心技术，提高静动态混合站点的全站加速效果。在加速基础之上，为客户提供丰富的边缘应用层安全、网络层DDoS防护、内容防篡改、全链路HTTPS传输，高可用安全，安全合规 6大方面安全能力，从客户业务流量进入CDN产品体系，一直到回到客户源站，全链路提供安全保障，保障企业互联网业务的安全加速。
边缘安全防御
阿里云CDN经过构建完整的企业级边缘安全能力，包括DDoS缓解，WAF，频次控制，IP/区域封禁，机器流量管理，精准访问控制等，作到从网络层到应用层的全栈防御。在不牺牲网站加速性能的同时，全面保障客户在线业务的稳定性和安全性。
每一年，阿里云安全监测到云上DDoS攻击发生近百万次，应用层DDoS（CC攻击）成为常见的攻击类型，攻击手法也更为多变复杂；同时，Web应用安全相关的问题依然占据很是大的比重，从用户信息泄露到羊毛党的狂欢，无时无刻不在考验着每个行业、每个Web应用的安全水位。为了让承载数据传输的网络平台更加安全可靠，阿里云CDN一直不断夯实安全上的能力。

1. DDoS缓解
   CDN与DDoS高防产品能够实现联动，在分发场景中能够经过CDN进行分发。在DDoS攻击发生时，能够将发生DDoS攻击区域的流量调度到DDoS高防去清洗，有效保护业务的服务质量。经过联动方案能够有效清洗海量DDoS攻击，完美防护SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS等Flood 型攻击。同时，基于阿里云飞天平台的计算能力和深度学习算法，智能预判DDoS攻击，平滑切换为DDoS高防，且不影响业务运行。
2. 机器流量管理
   面对网络爬虫的恶意爬取，CDN平台基于阿里巴巴集团业务沉淀的恶意IP库、恶意指纹库等，经过贴近业务风险的机器学习能力和定制化爬虫模型进行精准对抗，下降爬虫、自动化工具对网站业务的影响，保障企业的数据安全，维护企业的核心商业价值。
3. 频次控制
   当网站遭受恶意CC攻击并响应缓慢时，经过频次控制功能，能够秒级阻断访问该网站的请求，提高网站的安全性。频次控制保护您的网站 URL免受超出设定阈值的可疑请求的影响。它支持丰富的监测对象，并配以自定义规则，来定义合适的访问阈值。一旦达到设定的请求阈值，就会触发自定义响应，经过多样化的手段（如阻断或者质询）来处理过于频繁的访问请求。
4. IP/区域封禁
   配置IP黑白名单来实现对访客身份的识别和过滤，从而限制访问CDN资源的用户，提高CDN的安全性。另外还能配置国家的黑白名单，帮助您一键阻断来自指定区域的访问请求，解决部分地区高发的恶意请求问题。
5. 精准访问控制
   容许自定义匹配条件，实施精准的访问控制。匹配条件可以检查常见的HTTP字段（如IP、URL、header等），来知足业务场景的定制化需求。该功能经过支持丰富的请求字段，定义多样化的匹配条件，来描述所要捕获的访问请求。一旦请求被匹配，就会触发规则所定义的操做，如质询、观察、阻断等，作到精准的访问准入。
6. WAF
   因为CDN的分布式架构，用户经过访问就近边缘节点获取内容，经过这样的跳板，有效地隐藏源站IP，从而分解源站的访问压力。当大规模恶意攻击来袭时，边缘节点能够作为第一道防线，不只大大分散攻击强度，还能够经过上述的多种安全能力完成边缘的防御。

阿里云CDN 还集成云WAF能力，实现源站最后一层的防御。WAF 会对回源的业务流量进行恶意特征识别及防御，将正常安全的流量回源到服务器，进而避免网站服务器被恶意入侵，保障企业业务的核心数据安全，解决因恶意攻击致使的服务器性能异常问题。CDN WAF提供虚拟补丁，针对网站被曝光的最新漏洞，最大可能地提供快速修复规则，并依托云安全，快速实现漏洞响应和修复。

防篡改能力
阿里云CDN提供企业级全链路HTTPS+节点内容防篡改能力，保证客户从源站到客户端全链路的传输安全。在链路传输层面，经过HTTPS协议保证连接不可被中间源劫持，在节点上能够对源站文件进行一致性验证，若是发现内容不一致会将内容删除，从新回源拉取，若是内容一致才会进行分发。整套解决方案可以在源站、链路端、CDN节点、客户端全链路保证内容的安全性，提供更高的安全传输保障。

资源独享 提高企业安全系数
针对大型企业等具备强安全需求的业务场景，阿里云CDN提供独享资源方案：
支持客户经过安全加速节点实现物理隔离，彻底单独构建，深度集成安全功能，提供单节点高级高防能力；
提供独享IP资源，保证业务安全风险隔离，不会在别人受到攻击时被影响；
支持单用户独立调度域，用户之间DNS攻击互不影响，百万QPS的DNS Flood防御。

坚守内容与平台的“生产”安全底线
阿里云基于人工智能及海量样本集，深度学习训练识别模型，精准识别经过CDN加速的图片中的涉黄场景，并可根据用户实际的管控需求，提供多层次的识别与灵活管控方案。总体鉴黄准确率超过99%，可替代90%以上的人工审核，大幅度下降违规风险。
经过简化安全加速架构，让运维人员更便捷地进行一站式自助配置与API管控，实现平常攻击的监控告警、全链路排查、自动防御与实时全景数据日志查看。同时大型活动期间的护航与重保响应制度，能够辅助企业应用一块儿抵御安全风险，保护系统平稳。

阿里云CDN平台还经过了国家信息安全等级保护2.0三级、ISO900一、PCI-DSS等合规认证，在网络安全、数据安全、服务安全等方面测评得到世界权威承认。

行业应用案例
企业网站——航空大促
亚洲某廉价航空公司，在每一个季度会举行一次大型机票促销活动，借助于阿里云CDN+WAF的架构，能够实现对刷票类请求的快速封禁，经过长期持续分析大促期间的占座状况，将占座率压到了比较低的水平，保证业务营收的稳定。
游戏公司-游戏出海
中国游戏公司出海大军中，有一匹脱颖而出的黑马。这家企业使用阿里云DCDN来整合超大规模的用户体验，容许用户将其源服务器的全部边界网关协议（BGP）网络资源替换为单个操做网络，将源服务器的带宽成本下降了50%以上。