政企邊緣安全，如何助您提升企業的“免疫力”？

>>釋出會傳送門

：

https://yqh.aliyun.com/live/detail/21749 點選檢視詳情 https://yqh.aliyun.com/live/cdn_0106

在數字化程序中，政企會面臨諸多線上化的挑戰，一方面要求業務能夠線上開放，同時也要求服務是穩定流暢可靠的，此外還要保證安全合規，這對業務開發及營運者提出了極高要求。1月6日，阿裡雲CDN年度産品更新釋出會中，阿裡雲CDN産品專家彭飛對阿裡雲CDN政企安全加速解決方案進行了詳細解讀。

在企業數字化轉型中，一般常見的挑戰有以下情況：在突發事件下，政府網站及應用産生高并發通路，造成通路不暢；公信力媒體内容若被惡意攻擊篡改，将産生負面輿情，以及盜鍊盜播等惡意行為導緻優質視訊内容洩露；金融行業具有嚴格的等保合規要求，源站及節點服務高可用性保障十分重要，DDoS及WEB應用攻擊影響業務和企業考核，同時大規模交易下的通路體驗和跨國通路體驗急需保障；傳統企業的内部OA、ERP、郵箱、會議等辦公協同軟體通路體驗差，影響工作效率，對外線上業務資料被爬或WEB入侵導緻企業資料洩露……諸如此類，都是政企開發及營運者需要避免的。

是以在這種場景之下，政企應用存在共同的挑戰存在于三個方面：第一是對于網際網路通路體驗的保障，包括由于公衆跨地區跨（營運商）網通路造成的通路延遲、通路失敗，以及因為主站出口帶寬固定有限，無法在突發通路下保障良好的通路體驗等；第二是需要有效的規避網際網路的網絡攻擊的風險攻擊，包括DDoS/CC等網絡攻擊行為造成政務網際網路服務中斷，以及針對WEB應用的攻擊威脅主站的應用和資料安全；第三是在内容分發或使用者的終端上，缺少内容一緻性校驗、https傳輸加密等技術保障的情況下，資料内容很容易被劫持篡改，造成不良影響。

為了幫助政企行業應對挑戰，阿裡雲釋出政企安全加速解決方案。該解決方案是阿裡雲CDN團隊和雲安全團隊共同打造的分發加速+邊緣安全一站式服務，解決政府、金融、傳媒、傳統企業内容分發安全和加速性能的問題，為雲上業務保駕護航。客戶可以直接登入阿裡雲官網，搜尋：政企安全加速，去解決方案頁面了解詳情，并且也留下相應問題與阿裡雲架構師進行免費的咨詢。

解決方案的基座是阿裡雲CDN多年沉澱的強大的内容分發能力，在安全層面，解決方案主要具備WAF應用層安全、DDoS防護網絡層安全、内容防篡改、全鍊路HTTPS傳輸，高可用安全，安全合規六大方面的能力，進而建構了完整的邊緣安全體系。

首先，整個方案是基于穩定、極速、智能、安全的全站加速網絡建構。目前，阿裡雲整個2800+節點覆寫六大洲、70多個國家，具備130Tbps帶寬儲備，每天為150餘萬域名加速。

在此基礎之上，針對很多企業的動靜内容混合的情況，阿裡雲全站加速面向使用者提供更好的多元度增值能力，可以實作自定義動靜分離，動态内容采用智能路由，進行傳輸協定優化，壓縮傳輸，實時網絡品質探測，而靜态内容邊緣多級緩存，同營運商回源，以此保障使用者整體通路品質可以達到最優，分發效率提升30%，提速效果明顯。

其次，基于全站加速，再去建構應用層安全防護，主要包括以下幾個次元：

一、在邊緣抵禦WEB攻擊

CDN節點內建了WAF（WEB應用防火牆）功能，可抵禦常見OWASP威脅，抵禦CC攻擊，管理機器流量，降低源站負載，有效保護源站WEB應用系統安全。比如零售企業，現在都會使用者去提供線上商城服務，一般也都會在源站去部署相應的WAF防護能力，而一旦内容越出了邊界，在很多情況下，對于網絡安全防護實際上就很不可控了。而CDN作為更貼近使用者端的網絡網絡區間，如果能在CDN邊緣把相應的攻擊給阻斷，就可以起到很好的保護效果。

CDN WAF幾大特性包括：提供實時更新高危Web 0 Day漏洞，24小時内提供虛拟補訂防護；可以有效防禦SQL注入，XSS跨站等常見Web攻擊；支援使用者自定義防護規則，防護業務風險，抵禦CC攻擊；基于機器流量管理，降低爬蟲、自動化工具對網站業務的影響，可以将爬蟲流量下降40%。

二、DDoS攻擊防護確定網站服務可靠性

在網絡層，企業更多面臨DDoS或者CC攻擊，對業務穩定性帶來很大的隐患。比如金融企業經常會要求CDN提供相應的CC防護服務，因為CDN本身就是一個反向代理的服務，在這種服務機制之下，使用者的源站能夠得到有效保護，邊緣節點可以屏蔽掉攻擊行為。

CDN節點目前已經能夠較好地去識别網絡攻擊的特征，并且在第一時間對一些非服務端口，比如非80、443端口流量進行指定和阻斷。同時，基于CDN節點智能精準檢測，一旦發現流量攻擊并超過基礎防護門檻值，就可以将攻擊流量自動化排程到高防節點，實作流量清洗，當攻擊停止，流量會自動排程回到CDN服務節點。整體可提供1Tbps以上DDoS防護，確定客戶業務安全無虞。

三、多元度保障傳輸鍊路内容防篡改

廣電傳媒企業非常關注内容一緻性，内容在源站還是在CDN、用戶端，都一定不能被篡改。解決方案為該類需求提供多元度的全鍊路内容防篡改方案。首先，可為客戶提供獨享節點保障資源的隔離性，其次，在CDN内部、CDN與源站和用戶端之間通過國密算法進行全鍊路安全傳輸，此外，基于國密算法的内容一緻性校驗，確定内容防篡改。

四、易于實施的IPv6轉換服務，快速滿足合規要求

目前，從監管、行業發展等各個角度來看，網站的IPv6相容改造都勢在必行。目前CDN已經能夠完整支援從CDN邊緣節點下行到CDN邊緣節點上行這兩端的IPv6通路，并且可以做到協定跟随，當用戶端請求是IPv6，回源也會優先到IPv6。IPv4源站無需做任何改造即可實作IPv6位址轉換，即可便捷去進行落地，迅速滿足行業監管要求。同時，IPv6節點全面覆寫，滿足各地各營運商使用者通路需求，相比由單一節點構成的IPv6位址轉換服務性能體驗更優。

綜上所述，阿裡雲政企安全加速解決方案是無縫內建了加速與安全雙項能力，核心提供的安全能力包括：WAF應用層安全、DDoS網絡層安全、内容防篡改、全鍊路HTTPS傳輸、高可用安全、安全合規六個方面。同時，不止于加速，在serverless邊緣可程式設計能力，DevOps配置管理能力，CDN與阿裡雲體系産品整合（DATAV，SLS，OSS）能力等各方面形成更完整的企業級CDN加速體驗。

案例解讀

某官網在沒有實施HTTPS和IPv6合規的改造之前，很多内容是不支援的，僅僅是支援IPv4和HTTP服務，這就意味着在合規性上可能會存在一些問題。同時，如果網站要進行改造的話，成本也比較高。而當這個官網使用了CDN加速服務之後，通過CDN便捷對接快速上線，避免源站技術改造，即可一站式支援IPv4 HTTP、IPv4 HTTPS、IPv6 HTTP、IPv6 HTTPS確定合規安全。

對該官網來說，它的使用者通路體驗上的提升也十分明顯，下圖左側是未做CDN加速的源站使用單一節點服務全國通路請求，大多數地域通路體驗不佳，同時很多處的最慢響應時間達15秒左右，接近觸發“站點不可用”的單項否決名額；下圖右側同一源站使用CDN加速後在同一時刻全國各地通路體驗顯著改善，最慢響應時間、平均響應時間明顯縮短，服務可用性得到提升。