原标题:见招拆招?阿里云高级技术专家赵伟教你在CDN边缘节点上构建多层纵深防护体系
赵伟认为,企业线上服务所面临的安全风险,主要来自以下五个方面:
DDoS攻击类型已有20多年历史,它攻击方式简单直接,通过伪造报文直接拥塞企业上联带宽。随着IoT等终端设备增多,网络攻击量也愈发凶猛。根据阿里云安全中心报告显示,在2019年,超过100G的攻击已经比较常见,而且超过 500G 的攻击也已经成为常态。一旦企业服务面临这种情况,上联带宽被打满,正常请求无法承接,就会导致企业服务无法正常提供线上服务。因此,防御DDoS 攻击依然是企业首先要投入去应对的问题。
相比于四层DDoS攻击伪造报文,CC攻击通过向受害的服务器发送大量请求来耗尽服务器的资源宝库CPU、内存等。常见的方式是访问需要服务器进行数据库查询的相关请求,这种情况想服务器负载以及资源消耗会很快飙升,导致服务器响应变慢甚至不可用。
常见的 Web 攻击包括SQL 注入、跨站脚本攻击XSS、跨站请求伪造CSRF 等。与DDoS和CC以大量报文发起的攻击相比,Web 攻击主要是利用 Web 设计的漏洞达到攻击的目标。一旦攻击行为实施成功,要么网站的数据库内容泄露,或者网页被挂马。数据库内容泄露严重影响企业的数据安全,网页被挂马会影响企业网站的安全形象以及被搜索引擎降权等。
根据阿里云安全中心的报告数据显示,2019年,恶意爬虫在房产、交通、游戏、电商、资讯论坛等几个行业中的占比都超过50%。恶意爬虫通过去爬取网站核心的内容,比如电商的价格信息等,对信息进行窃取,同时也加重服务器的负担。
劫持和篡改比较常见,当网站被第三方劫持后,流量会被引流到其他网站上,导致网站的用户访问流量减少,用户流失。同时,对于传媒、政务网站来说,内容被篡改会引发极大的政策风险。
面对愈发严峻的网络安全态势,为了应对以上安全风险,企业在关注线上业务的流畅、稳定的同时,也要构建多层次纵深防护体系,从各个层面建立响应的应对措施和防护机制。
企业需要在网络层、传输层、应用层等多层次构建防护能力,同时在应用层,对于不同场景要有不同防护措施。
基于对纵深防护的理解,阿里云CDN的安全架构是基于CDN分布式节点实现的边缘安全防护机制,同时联动高防清洗中心进行防护。
如下图所示,整体安全架构第一层防护就是构建在全球CDN节点上,将更多安全能力加强在边缘节点上,通过多层次多维度流量数据统计和攻击检测的能力,包括DDoS、HTTP访问信息等数据汇总到安全大脑,安全大脑再对数据进行综合分析,针对不同层次的攻击下发相应的动态防御策略到边缘节点。与此同时,边缘节点自身也会进行自动防御和清洗。另外,整体安全架构将WAF和防篡改能力部署在回源节点上,对攻击到达源站之前进行防御。如果源站希望只在CDN服务之下,不想暴露在公网上,整体架构也会基于CDN提供源站高级防护能力,避免源站被恶意扫描者被发现。
对于金融、政府等场景,需要具备大流量抗D的能力,CDN有海量边缘节点通过自己的调度和清洗能力把大部分DDoS攻击给消化掉。当一旦出现更严重的DDoS攻击时,安全大脑会指导智能调度,将被攻击的流量切换到高级防护节点去清洗。
在以上的CDN安全架构基础之上,赵伟也对DDoS防护智能调度、Web防护以及机器流量管理三个核心能力进行解读。
一、DDoS防护智能调度:边缘节点分布式抗D与高防中心大流量抗D联动
DDoS防护智能调度的策略是,业务流量缺省通过CDN分发,最大程度确保加速效果和用户体验,而当检测到大流量 DDoS 攻击之后,智能调度会判断严重程度并决策由高防进行 DDoS清洗,同时根据攻击情况进行区域调度或全局调度,而当DDoS 攻击停止后,智能调度系统会自动决策将高防服务的业务流量调度回 CDN 边缘节点,尽最大可能的保证正常加速效果。
DDoS防护智能调度最核心就是边缘加速、智能调度、T级防护三块,边缘加速的基础上具备充分的DDoS攻击检测以及智能调度的能力,决策什么时候进行高防去清洗,严重的攻击进入T级防护中心进行清洗。目前方案已经在金融行业、传媒行业沉淀了典型客户。
二、Web防护——八层安全功能,层层过滤恶意请求
Web防护的策略是通过层层过滤,来抵御恶意请求。第一层是精准访问控制,指具体对http请求的拦截策略;第二层是区域封禁,对业务无效区或者异常地域请求进行拦截;第三层IP信誉系统,是利用阿里云多年积累的互联网IP大数据画像,对恶意行为进行分类并对IP进行拦截;第四层是黑名单系统,是对某些UA或者IP进行拦截,以上四层都属于精确拦截;第五层是频次控制,对相对高频且访问异常IP进行拦截;第六层是对于互联网机器流量进行管理,阻断恶意爬虫;第七第八层是WAF和源站高级防护,对于源站进行更深层次的防护。
赵伟认为:CDN边缘节点是最接近互联网用户的,在所有的访问请求中,可能有正常用户的请求,当然也会存在爬虫、注入、跨站的访问请求,经过以上逐层的防护策略,过滤掉相应恶意请求,最终可以达到只有正常请求返回源站的效果。
三、机器流量管理——识别互联网Bot流量,阻断恶意爬虫
机器流量管理部署在边缘,当各种互联网访问进入CDN边缘节点之后,机器流量管理系统会提取最原始的Client信息,分析信息计算Client特征值,并与阿里云安全积累的机器流量特征库进行匹配,最终识别结果,正常访问、搜索引擎、商业爬虫这些行为是网站期望的行为,会被放行,而恶意爬虫会被拦截。在处置动作上,机器流量管理相比当前常见嵌入在正常页面中的行为,侵入性有所降低,支持相对平滑的接入。
下图是一个实际的案例,在执行机器流量管理策略的时候,首先会对某域名进行流量分析,左侧图是针对某域名开启机器流量分析后,识别出超过 82% 的请求为恶意爬虫,然后开启拦截机器流量中的恶意爬虫流量后,如右侧图所示,域名峰值带宽下降超过80%。
CDN目前已经是互联网流量的主要入口,把安全能力注入CDN边缘节点,为客户提供一站式安全加速解决方案成为行业大势所趋。在发布会的最后,赵伟分享到:未来,阿里云政企安全加速解决方案将在场景化、便捷化、智能化三个方面深耕,为客户提供更贴近需求的、更快捷省心的、更智能高效的安全策略,让CDN可以成为每个企业在线服务的第一道防线,来保障企业应用的安全、稳定运行。
点击回顾发布会详情:https://yq.aliyun.com/live/2748?spm=a2c4e.11153940.0.0.673a663ddmSPha游戏网
相关下载 |
原标题:阿里鱼上线IP研究中心,构建授权行业大数据基础设施 5月21日,阿里鱼IP研究中心、天猫母婴亲子和阿里数据,联合发布了《2020中国市场IP电商指数详情>>
北京时间5月21日晚间消息,据外媒报道,权威调研机构Gartner公布了“2020年度全球供应链25强”榜单,思科公司高居榜首,而阿里巴巴和联想分居第七和第十五位。 Gartne详情>>
据报详情>>
5月20日,阿里巴巴在线上发布会宣布启动“双百计划“:将围绕天猫精灵投入100亿元进行AIoT布局及生态建设,年内将与合作伙伴共同推出百款千万级智能产品。早在4月17详情>>
原标题:618怎么选货?看这些标签!阿里CCO紧急上线“挑好货”功能 【环球网科技综合报道 记者 勃潺】618即将来临,如何快速在天猫平台挑选心仪品质好货详情>>
原标题:被育碧起诉侵权《彩虹六号》,阿里巴巴旗下《Area F2》停止运营 IT之家5月20日消息 据小黑盒报道,阿里巴巴旗下游戏公司简悦团队Area F2 Team详情>>
原标题:爱施德:公司与阿里巴巴设立合资公司,名称确定为深圳爱巴巴网络科技有限公司 爱施德公告,公司与阿里巴巴共同投资设立的合资公司已完成工商注册登记,名称确详情>>
原标题:阿里公布数字健康新基建大图 【环球网科技综合报道 记者 勃潺】5月20日,阿里巴巴通过旗下智库阿里研究院发布了阿里大健康数字基建大图,系统详情>>
原标题:可连接设备超2.72亿台,阿里100亿加持天猫精灵生态 自今年1月天猫精灵升级为独立事业部后,5月20日,阿里巴巴宣布今年将投入100亿元围绕天猫精灵详情>>
原标题:8200个品牌参与单频道大促,拼多多要用“限时秒杀”反击阿里聚划算? 图片来源:视觉中国 记者 | 林北辰 据拼多多方面消息,5月15日至5月21日详情>>
原标题:推进马云医疗梦!阿里公布数字健康新基建大图 南都讯 记者马建忠 众所周知,马云有个“医疗梦”,为推进这一战略布局,5月20日,阿里巴巴通过旗下智详情>>
原标题:阿里投百亿布局AIoT 重点建立天猫精灵生态 5月20日,阿里在天猫精灵春季新品发布会上宣布,将在今年投入100亿元,围绕天猫精灵全面布局AIoT及内详情>>
5月20日下午消息,阿里巴巴宣布,将投入100亿元围绕天猫精灵全面布局AIoT及内容生态领域。 据悉,今年天猫精灵将全面接入阿里经济体包括文娱、健康、教育、购物等内详情>>
第一次获知和《Area F2》相关的消息,是从去年10月游戏在海外开启某次测试传入国内开始,当时我所认识的《彩虹六号:围攻》玩家都在广泛热议这款游戏——当然是以一种戏谑详情>>
原标题:一盔难求被炒作?阿里1688联合四大产业带工厂平价直供 近日,公安部发通知称,将开展“一盔一带”安全守护行动:6月1日起,在全国范围内对依法查纠摩详情>>
原标题:姚建明:阿里巴巴C2M模式为外贸转内销提供精准指引 新京报讯(记者 王春蕊)2020年5月15日,新京报联合中国市长协会、中国人民大学国家发展与战略详情>>
原标题:《绿皮书》男主阿里演刀锋战士 概念图酷感十足 1905电影网讯去年,圣迭戈漫展期间,漫威影业总裁凯文·费奇宣布将开发新的《刀锋战士》系列电详情>>
原标题:猫猫狗狗当主播 阿里国际站宠物商品订单涨5倍 5月11日至17日,在阿里巴巴国际站“511展会”期间,宠物商品订单量比去年同期增长459.52%。 “受详情>>
原标题:恒指纳入同股不同权公司,阿里、小米预计9月成“蓝筹” PingWest品玩5月19日讯,5月18日,恒生指数公司宣布将同股不同权和第二上市公司纳入恒指详情>>
原标题:恒指迎重大调整 阿里美团有望8月纳入 恒生指数公司5月18日下午宣布了指数调整的相关咨询总结,阿里巴巴、美团点评、小米集团等明星互联网个详情>>
5月18日消息,天眼查数据显示,5月15日,阿里健康科技(中国)有限公司发生工商变更,阿里健康原CEO沈涤凡卸任公司法定代表人、董事长和总经理,由阿里巴巴集团创新业务事业群总裁朱顺详情>>
「一切都怪新冠。」」 对于前梦工场创始人杰弗瑞·卡赞伯格来说,过去这一个月过得不太美妙。 一个月前,他精心筹备两年的短视频平台 Quibi 正式上线。这家全新的视频平台,背靠详情>>
原标题:沈涤凡卸任阿里健康科技(中国)有限公司法定代表人 鞭牛士 5月18日消息,据天眼查数据显示,5月15日,阿里健康科技(中国)有限公司发生工商变更,阿里健详情>>
原标题:阿里健康法人代表变更,朱顺炎接任!原CEO沈涤凡退出 南都讯 记者马建忠 今年以来股价涨幅超200%的阿里健康,公司法人发生变更。天眼查显示,阿里详情>>
原标题:阿里聚划算的进化与直播电商的蜕变 1992年,中国第一档电视购物节目诞生,在那个互联网还没有普及的年代,霸占“云”购物的头把交椅。然而到了详情>>
原标题:育碧起诉苹果、谷歌销售阿里侵权游戏 阿里回应:尊重对方,没有侵权 5月16日消息,法国知名游戏开发商育碧娱乐公司在当地时间周五起诉苹果、谷详情>>
原标题:苹果谷歌遭游戏公司育碧起诉,被指销售阿里涉嫌侵权游戏 有媒体报道5月16日称,知名游戏公司育碧于日前向洛杉矶联邦法院提交起诉书,指控苹果和详情>>
【导读】今日(5月16日)据外媒MyBroadband报道,育碧于本周五对苹果以及谷歌两家公司提起诉讼,指控其销售育碧旗下《彩虹六号:围攻》的“山寨”侵权游戏。--> 详情>>
5月16日下午消息,据外媒报道,法国知名游戏开发商育碧娱乐公司在周五起诉苹果、谷歌公司,指控他们销售育碧热门游戏《彩虹六号:围攻》的抄袭作品。 谷歌、阿里、苹详情>>
原标题:阿里放大招推出「粗盐」、爱奇艺上线「PAO」,争做中国版YouTube? 来源:Tech星球(tech618) 作者:陈桥辉 视频社交时代的争夺战仍在继续。 Tech详情>>
原标题:[路演]申通快递:自阿里巴巴间接入股以来 公司取得了较大的经营改善 全景网5月15日讯 凝心聚力、共克时艰、做受尊敬的上市公司——浙江辖区详情>>
原标题:阿里XG实验室联合中移动落地首个创新型5G专网 5G智慧园区专网正式启用。 5月15日,记者获悉,阿里巴巴与中国移动合作建设的5G智慧园区专网正详情>>
当年的奇才队,阿里纳斯是绝对的一哥,素有“大将军”之称,百万军中上阵杀敌,砍分如探囊取物一般。而尼克扬曾在2007年到2011年间在奇才效力,是大将军的小弟和跟班,追详情>>
权威国际处理性能委员会TPC官方披露, 在被誉为“数据库分析场景珠穆朗玛峰”的TPC-DS基准测试中,阿里云自研的云原生数据仓库AnalyticDB,性能指标达到了1489万,刷详情>>
原标题:英超球星阿里在家遭遇入室抢劫 损失不菲 【英超球星阿里在家遭遇入室抢劫 损失不菲】英国媒体报道,效力于英超托特纳姆热刺的英格兰国脚阿里详情>>
原标题:今天,阿里1688为“中国加博会”当主场! 经济日报-中国经济网5月13日讯 今天上午,第十二届中国加工贸易产品博览会线上展(以下简称:第十二届线详情>>
原标题:杭州有电商、济南有“健康” !浪潮要跟阿里PK“比较优势”? 作者:李云杰 一年前,2018年4月27日,在国家卫健委、山东省政府的支持下,济南市政府授详情>>
原标题:IDC 2019下半年公有云服务市场报告 阿里云下滑0.8%百度云跌出前五 作者:寒露 来源:GPLP犀牛财经(ID:gplpcn) 5月8日,IDC 发布《中国公有云服务详情>>
原标题:山西牵手阿里助力“晋”数字乡村建设 阿里“春雷计划”向前“晋”。日前,山西省农业农村厅和阿里巴巴签署“春雷计划”战略合作协议和数字乡详情>>
原标题:丰巢收费遭小区抵制:王卫是大股东 背后与阿里存在角力 雷帝网 雷建平 5月12日报道 随着丰巢快递柜开始收费,丰巢与小区业主之间的矛盾也开始详情>>