怎样用CDN防篡改、抗攻击、控内容?一份CDN安全指南请查收

阿里云CDN经过10多年的技术沉淀和实践,已经从传统的加速,逐渐构筑起一个边缘+云的安全网络立体防护体系,从全链路安全传输、常见攻击类型的边缘防御、企业级独享资源部署、运维以及内容安全保障机制几个维度,为企业通向网络提供安全可靠的桥梁 。
基础安全能力 保障全链路安全传输一、源站保护
由于CDN的分布式架构,用户通过访问就近边缘节点获取内容,通过这样的跳板,有效地隐藏源站IP,从而分解源站的访问压力 。当大规模恶意攻击来袭时,边缘点节可以做为第一道防线进行防护,大大分散攻击强度,即使是针对动态内容的的恶意请求,阿里云CDN的智能调度系统还可以卸载源站压力,维护系统平稳 。

怎样用CDN防篡改、抗攻击、控内容?一份CDN安全指南请查收

文章插图
 
二、防篡改能力
阿里云CDN提供企业级全链路HTTPS+节点内容防篡改能力,保证客户从源站到客户端全链路的传输安全 。在链路传输层面,通过HTTPS协议保证链接不可被中间源劫持,在节点上可以对源站文件进行一致性验证,如果发现内容不一致会将内容删除,重新回源拉取,如果内容一致才会进行分发 。整套解决方案能够在源站、链路端、CDN节点、客户端全链路保证内容的安全性,提供更高的安全传输保障 。
怎样用CDN防篡改、抗攻击、控内容?一份CDN安全指南请查收

文章插图
 
三、访问和认证安全
阿里云CDN可以通过配置访问的referer、User-Agent以及IP黑白名单等多种方式,来对访问者身份进行识别和过滤,从而限制资源被访问的情况;并且设置鉴权Key对URL进行加密实现高级防盗链,保护源站资源 。同时通过构建IP信誉库,加强对黑名单IP的访问限制 。
企业级边缘安全能力 全面抵御常见攻击类型2019年, 阿里云云安全监测到云上DDoS攻击发生近百万次,应用层DDoS(CC攻击)成为常见的攻击类型,攻击手法也更为多变复杂;同时,Web应用安全相关的问题依然占据非常大的比重,从用户信息泄露到羊毛党的狂欢,无时无刻不在考验着每一个行业、每一个Web应用的安全水位 。为了让承载数据传输的网络平台更加安全可靠,阿里云CDN一直不断夯实安全上的能力 。
一、 DDoS清洗
CDN面向企业提供边缘化的应用层DDoS,即CC防护能力,可以通过IP,Header参数,URL参数等多个维度进行监控,并可以通过次数,状态码,请求方法进行数据统计,并最终进行恶意访问的安全拦截,有效保证正常业务量的访问 。面对网络层DDoS攻击,CDN产品与DDoS产品可以实现联动,在分发场景中可以通过CDN进行分发,在DDoS攻击发生时,可以探测攻击的区域,并有效的将攻击调度到DDoS进行防护清洗,有效保护源站 。
通过联动方案可以有效利用海量DDoS清洗,完美防御SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS 、HTTP 等Flood 。同时,基于阿里云飞天平台的计算能力和深度学习算法,智能预判DDoS攻击,平滑切换高防IP,不影响业务运行 。
怎样用CDN防篡改、抗攻击、控内容?一份CDN安全指南请查收

文章插图
 
二、WAF
CDN结合WAF能力,形成边缘的应用层防护能力,将业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器 。避免网站服务器被恶意入侵,保障企业业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题 。CDN WAF提供虚拟补丁,针对网站被曝光的最新漏洞,最大可能地提供快速修复规则 。并且依托云安全,快速的漏洞响应速度,及时的漏洞修复能力 。
三、防刷防爬
面对网络爬虫的恶意爬取,CDN平台基于阿里巴巴集团业务沉淀的恶意IP库、恶意指纹库等,通过贴近业务风险的机器学习能力和定制化爬虫模型进行精准对抗,降低爬虫、自动化工具对网站业务的影响,保障企业的数据安全,维护企业的核心商业价值 。
CDN资源独享 提升企业安全系数针对如数字政务、大型企业等具有强安全需求的业务场景,阿里云CDN也提供独享资源方案 。首先,CDN支持客户通过安全加速节点实现物理隔离,完全单独构建,深度集成安全功能,提供单节点高级高防能力 。其次,CDN提供独享IP资源,保证业务安全风险隔离,不会在别人受到攻击时被影响 。第三,CDN支持单用户独立调度域,用户之间DNS攻击互不影响,百万QPS的DNS Flood防护 。
坚守内容与平台的“生产”安全底线一、平台内容健康合规
阿里云基于人工智能及海量样本集,深度学习训练识别模型,精准识别通过CDN加速的图片中的涉黄场景,并可根据用户实际的管控需求,提供多层次的识别与灵活管控方案 。整体鉴黄准确率超过99%,可替代90%以上的人工审核,大幅度降低违规风险 。


推荐阅读