怎樣用CDN防篡改、抗攻擊、控內容?一份CDN安全指南請查收
阿里雲安全月專題頁連結: https://developer.aliyun.com/topic/securityapril
阿里雲CDN經過10多年的技術沉澱和實踐,已經從傳統的加速,逐漸構築起一個邊緣+雲的安全網路立體防護體系,從全鏈路安全傳輸、常見攻擊型別的邊緣防禦、企業級獨享資源部署、運維以及內容安全保障機制幾個維度,為企業通向網路提供安全可靠的橋樑。
基礎安全能力 保障全鏈路安全傳輸
一、源站保護
由於CDN的分散式架構,使用者透過訪問就近邊緣節點獲取內容,透過這樣的跳板,有效地隱藏源站IP,從而分解源站的訪問壓力。當大規模惡意攻擊來襲時,邊緣點節可以做為第一道防線進行防護,大大分散攻擊強度,即使是針對動態內容的的惡意請求,阿里雲CDN的智慧排程系統還可以解除安裝源站壓力,維護系統平穩。
二、防篡改能力
阿里雲CDN提供企業級全鏈路HTTPS+節點內容防篡改能力,保證客戶從源站到客戶端全鏈路的傳輸安全。在鏈路傳輸層面,透過HTTPS協議保證連結不可被中間源劫持,在節點上可以對源站檔案進行一致性驗證,如果發現內容不一致會將內容刪除,重新回源拉取,如果內容一致才會進行分發。整套解決方案能夠在源站、鏈路端、CDN節點、客戶端全鏈路保證內容的安全性,提供更高的安全傳輸保障。
三、訪問和認證安全
阿里雲CDN可以透過配置訪問的referer、User-Agent以及IP黑白名單等多種方式,來對訪問者身份進行識別和過濾,從而限制資源被訪問的情況;並且設定鑑權Key對URL進行加密實現高階防盜鏈,保護源站資源。同時透過構建IP信譽庫,加強對黑名單IP的訪問限制。
企業級邊緣安全能力 全面抵禦常見攻擊型別
2019年, 阿里云云安全監測到雲上DDoS攻擊發生近百萬次,應用層DDoS(CC攻擊)成為常見的攻擊型別,攻擊手法也更為多變複雜;同時,Web應用安全相關的問題依然佔據非常大的比重,從使用者資訊洩露到羊毛黨的狂歡,無時無刻不在考驗著每一個行業、每一個Web應用的安全水位。為了讓承載資料傳輸的網路平臺更加安全可靠,阿里雲CDN一直不斷夯實安全上的能力。
一、 DDoS清洗
CDN面向企業提供邊緣化的應用層DDoS,即CC防護能力,可以透過IP,Header引數,URL引數等多個維度進行監控,並可以透過次數,狀態碼,請求方法進行資料統計,並最終進行惡意訪問的安全攔截,有效保證正常業務量的訪問。面對網路層DDoS攻擊,CDN產品與DDoS產品可以實現聯動,在分發場景中可以透過CDN進行分發,在DDoS攻擊發生時,可以探測攻擊的區域,並有效的將攻擊排程到DDoS進行防護清洗,有效保護源站。
透過聯動方案可以有效利用海量DDoS清洗,完美防禦SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS 、HTTP 等Flood。同時,基於阿里雲飛天平臺的計算能力和深度學習演算法,智慧預判DDoS攻擊,平滑切換高防IP,不影響業務執行。
二、WAF
CDN結合WAF能力,形成邊緣的應用層防護能力,將業務流量進行惡意特徵識別及防護,將正常、安全的流量回源到伺服器。避免網站伺服器被惡意入侵,保障企業業務的核心資料安全,解決因惡意攻擊導致的伺服器效能異常問題。CDN WAF提供虛擬補丁,針對網站被曝光的最新漏洞,最大可能地提供快速修復規則。並且依託雲安全,快速的漏洞響應速度,及時的漏洞修復能力。
三、防刷防爬
面對網路爬蟲的惡意爬取,CDN平臺基於阿里巴巴集團業務沉澱的惡意IP庫、惡意指紋庫等,透過貼近業務風險的機器學習能力和定製化爬蟲模型進行精準對抗,降低爬蟲、自動化工具對網站業務的影響,保障企業的資料安全,維護企業的核心商業價值。
CDN資源獨享 提升企業安全係數
針對如數字政務、大型企業等具有強安全需求的業務場景,阿里雲CDN也提供獨享資源方案。首先,CDN支援客戶透過安全加速節點實現物理隔離,完全單獨構建,深度整合安全功能,提供單節點高階高防能力。其次,CDN提供獨享IP資源,保證業務安全風險隔離,不會在別人受到攻擊時被影響。第三,CDN支援單使用者獨立排程域,使用者之間DNS攻擊互不影響,百萬QPS的DNS Flood防護。
堅守內容與平臺的“生產”安全底線
一、平臺內容健康合規
阿里雲基於人工智慧及海量樣本集,深度學習訓練識別模型,精準識別透過CDN加速的圖片中的涉黃場景,並可根據使用者實際的管控需求,提供多層次的識別與靈活管控方案。整體鑑黃準確率超過99%,可替代90%以上的人工稽核,大幅度降低違規風險。
二、運維便捷與安全性
透過簡化安全加速架構,讓運維人員更便捷地進行一站式自助配置與API管控,實現日常攻擊的監控告警、全鏈路排查、自動防護與實時全景資料日誌檢視。同時大型活動期間的護航與重保響應制度,可以輔助企業應用一起抵禦安全風險,保護系統平穩。
除了在上述技術,阿里雲CDN平臺也透過了國家資訊保安等級保護2.0三級、ISO9001、PCI-DSS等合規認證,在網路安全、資料安全、服務安全等方面測評獲得世界權威認可。
行業應用案例
電商——雙11全球狂歡節
在2019年雙11當日,阿里雲CDN為淘寶攔截惡意爬取商品 5100萬個,攔截惡意請求8.5億次,節省峰值頻寬超過65%。
企業網站——亞洲航空大促
亞航是亞洲最大的廉價航空公司,連續11年獲得“世界最佳低成本航空公司”稱號。亞航在每個季度會舉行一次大型機票促銷活動,藉助於阿里雲CDN+WAF(Anti-Bot)的架構,可以實現對刷票類請求的快速封禁,透過長期持續分析大促期間的佔座情況,將佔座率壓到了比較低的水平,保證亞航業務營收的穩定。
為了滿足更多企業的安全性與業務穩定需求,阿里雲面向政府、金融、傳媒以及傳統企業客戶推出政企安全加速解決方案,基於全球分佈的2800+CDN邊緣加速節點與全球領先的雲安全技術,實現加速和安全兩者兼得,幫助其更便捷、穩定、安全地使用網際網路進行使用者互動,擁抱數字化、線上化紅利。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31550522/viewspace-2687626/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- CDN到底能不能防止DDoS攻擊呢?高防CDN是如何防ddos攻擊呢?
- 如何利用CDN防護CC攻擊
- CDN流量放大攻擊思路
- Ding!您有一份ChunJun實用指南,請查收
- 深圳市恆訊科技分析:CDN防DDOS攻擊的原理
- CDN-內容分發網路
- CDN哪家好用?國內伺服器cdn防禦和海外cdn加速專線服務商排名伺服器
- Web前端效能優化_CDN(內容釋出網路)、CDN工作原理Web前端優化
- 叮!您有一份參會指南,請注意查收
- 一份遊戲公司防騙/回款指南拍拍拍拍了你,請查收遊戲
- Spring Boot介面如何設計防篡改、防重放攻擊Spring Boot
- 雲伺服器被攻擊瞭如何處理呢?恆訊科技建議採用高防CDN伺服器
- 內容分發網路(Content Delivery Network,CDN)
- 什麼是CDN防禦
- HTTPS可以預防駭客篡改內容嗎?HTTP
- 一文了解CDN(內容分發網路)
- 全域性負載均衡與CDN內容分發負載
- CDN防禦與高防伺服器伺服器
- CDN應用進階 | 正確使用CDN 讓你更好規避安全風險
- CDN和CDN加速
- 高防CDN有啥優勢
- 高防CDN支援泛解析嗎?
- 在面對攻擊時,怎麼樣有效防禦?
- 勒索攻擊成美國夢魘?這份防範指南請收好
- 阿里雲CDN加速節怎麼樣?如何更加優惠購買CDN/全站資源包?阿里
- 使用對抗樣本的攻擊過程
- 一份關於網站的國慶重保指南,請查收網站
- CDN加速是什麼樣的
- DBA:這有一份對接NBU備份故障排除指南,請查收!
- 與傳統的CDN相比,高防CDN的作用和優勢是什麼
- 雲端計算 - 內容分發網路CDN技術與應用全解
- 請問公司網站怎樣替換內容網站
- cdn
- Azure CDN 為靜態網站建立內容分發網路網站
- 企業網站被攻擊篡改的安全維護方案網站
- 綜述論文:對抗攻擊的12種攻擊方法和15種防禦方法
- 《DNS攻擊防範科普系列2》 -DNS伺服器怎麼防DDoS攻擊DNS伺服器
- CDN適用哪些場景?