企業(yè)線(xiàn)上服務(wù)所面臨的安全風(fēng)險(xiǎn)�,主要來(lái)自以下五個(gè)方面:
DDoS攻擊類(lèi)型已有20多年歷史,它攻擊方式簡(jiǎn)單直接���,通過(guò)偽造報(bào)文直接擁塞企業(yè)上聯(lián)帶寬�。隨著IoT等終端設(shè)備增多���,網(wǎng)絡(luò)攻擊量也愈發(fā)兇猛����。根據(jù)防御吧安全中心報(bào)告顯示,在2019年�,超過(guò)100G的攻擊已經(jīng)比較常見(jiàn),而且超過(guò) 500G 的攻擊也已經(jīng)成為常態(tài)�。一旦企業(yè)服務(wù)面臨這種情況,上聯(lián)帶寬被打滿(mǎn)����,正常請(qǐng)求無(wú)法承接,就會(huì)導(dǎo)致企業(yè)服務(wù)無(wú)法正常提供線(xiàn)上服務(wù)���。因此��,防御DDoS 攻擊依然是企業(yè)首先要投入去應(yīng)對(duì)的問(wèn)題��。
相比于四層DDoS攻擊偽造報(bào)文��,CC攻擊通過(guò)向受害的服務(wù)器發(fā)送大量請(qǐng)求來(lái)耗盡服務(wù)器的資源寶庫(kù)CPU����、內(nèi)存等�����。常見(jiàn)的方式是訪(fǎng)問(wèn)需要服務(wù)器進(jìn)行數(shù)據(jù)庫(kù)查詢(xún)的相關(guān)請(qǐng)求���,這種情況想服務(wù)器負(fù)載以及資源消耗會(huì)很快飆升�,導(dǎo)致服務(wù)器響應(yīng)變慢甚至不可用。
常見(jiàn)的 Web 攻擊包括SQL 注入�、跨站腳本攻擊XSS����、跨站請(qǐng)求偽造CSRF 等。與DDoS和CC以大量報(bào)文發(fā)起的攻擊相比��,Web 攻擊主要是利用 Web 設(shè)計(jì)的漏洞達(dá)到攻擊的目標(biāo)����。一旦攻擊行為實(shí)施成功,要么網(wǎng)站的數(shù)據(jù)庫(kù)內(nèi)容泄露�����,或者網(wǎng)頁(yè)被掛馬��。數(shù)據(jù)庫(kù)內(nèi)容泄露嚴(yán)重影響企業(yè)的數(shù)據(jù)安全��,網(wǎng)頁(yè)被掛馬會(huì)影響企業(yè)網(wǎng)站的安全形象以及被搜索引擎降權(quán)等���。
根據(jù)防御吧安全中心的報(bào)告數(shù)據(jù)顯示���,2019年�����,惡意爬蟲(chóng)在房產(chǎn)����、交通�����、游戲����、電商、資訊論壇等幾個(gè)行業(yè)中的占比都超過(guò)50%�。惡意爬蟲(chóng)通過(guò)去爬取網(wǎng)站核心的內(nèi)容,比如電商的價(jià)格信息等�����,對(duì)信息進(jìn)行竊取�����,同時(shí)也加重服務(wù)器的負(fù)擔(dān)。
劫持和篡改比較常見(jiàn)���,當(dāng)網(wǎng)站被第三方劫持后��,流量會(huì)被引流到其他網(wǎng)站上���,導(dǎo)致網(wǎng)站的用戶(hù)訪(fǎng)問(wèn)流量減少�����,用戶(hù)流失�����。同時(shí)����,對(duì)于傳媒、政務(wù)網(wǎng)站來(lái)說(shuō)����,內(nèi)容被篡改會(huì)引發(fā)極大的政策風(fēng)險(xiǎn)。
企業(yè)線(xiàn)上業(yè)務(wù)需要構(gòu)建多層次縱深防護(hù)
面對(duì)愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì)����,為了應(yīng)對(duì)以上安全風(fēng)險(xiǎn)��,企業(yè)在關(guān)注線(xiàn)上業(yè)務(wù)的流暢�����、穩(wěn)定的同時(shí)����,也要構(gòu)建多層次縱深防護(hù)體系�,從各個(gè)層面建立響應(yīng)的應(yīng)對(duì)措施和防護(hù)機(jī)制。
在網(wǎng)絡(luò)層�����,需要進(jìn)行DDoS攻擊的清洗和處理��,當(dāng)造成更嚴(yán)重影響需要通過(guò)切換IP以及聯(lián)合黑洞機(jī)制去緩解��。
在傳輸層����,相較于傳統(tǒng)明文傳輸,通過(guò)https的支持去進(jìn)行傳輸層面加密����,來(lái)避免證書(shū)偽造�。
在應(yīng)用層��,需要進(jìn)行CC防護(hù)�����、防爬���、業(yè)務(wù)防刷的能力部署,防止惡意攻擊者刷帶寬的情況發(fā)生��,避免經(jīng)濟(jì)和業(yè)務(wù)損失�。貼近源站的防護(hù)方面,需要部署WAF和防篡改�,對(duì)源站和內(nèi)容進(jìn)行防護(hù)。
企業(yè)需要在網(wǎng)絡(luò)層���、傳輸層�����、應(yīng)用層等多層次構(gòu)建防護(hù)能力��,同時(shí)在應(yīng)用層�,對(duì)于不同場(chǎng)景要有不同防護(hù)措施。
基于CDN構(gòu)建邊緣安全+高防中心防護(hù)安全架構(gòu)
基于對(duì)縱深防護(hù)的理解�,防御吧CDN的安全架構(gòu)是基于CDN分布式節(jié)點(diǎn)實(shí)現(xiàn)的邊緣安全防護(hù)機(jī)制,同時(shí)聯(lián)動(dòng)高防清洗中心進(jìn)行防護(hù)�。
如下圖所示,整體安全架構(gòu)第一層防護(hù)就是構(gòu)建在全球CDN節(jié)點(diǎn)上���,將更多安全能力加強(qiáng)在邊緣節(jié)點(diǎn)上���,通過(guò)多層次多維度流量數(shù)據(jù)統(tǒng)計(jì)和攻擊檢測(cè)的能力,包括DDoS�����、HTTP訪(fǎng)問(wèn)信息等數(shù)據(jù)匯總到安全大腦��,安全大腦再對(duì)數(shù)據(jù)進(jìn)行綜合分析���,針對(duì)不同層次的攻擊下發(fā)相應(yīng)的動(dòng)態(tài)防御策略到邊緣節(jié)點(diǎn)�����。與此同時(shí)���,邊緣節(jié)點(diǎn)自身也會(huì)進(jìn)行自動(dòng)防御和清洗�。另外��,整體安全架構(gòu)將WAF和防篡改能力部署在回源節(jié)點(diǎn)上����,對(duì)攻擊到達(dá)源站之前進(jìn)行防御。如果源站希望只在CDN服務(wù)之下�,不想暴露在公網(wǎng)上,整體架構(gòu)也會(huì)基于CDN提供源站高級(jí)防護(hù)能力���,避免源站被惡意掃描者被發(fā)現(xiàn)�。
對(duì)于金融�、政府等場(chǎng)景�,需要具備大流量抗D的能力,CDN有海量邊緣節(jié)點(diǎn)通過(guò)自己的調(diào)度和清洗能力把大部分DDoS攻擊給消化掉�����。當(dāng)一旦出現(xiàn)更嚴(yán)重的DDoS攻擊時(shí)���,安全大腦會(huì)指導(dǎo)智能調(diào)度�����,將被攻擊的流量切換到高級(jí)防護(hù)節(jié)點(diǎn)去清洗���。
防御吧CDN安全架構(gòu)三個(gè)核心能力
在以上的CDN安全架構(gòu)基礎(chǔ)之上�����,趙偉也對(duì)DDoS防護(hù)智能調(diào)度�����、Web防護(hù)以及機(jī)器流量管理三個(gè)核心能力進(jìn)行解讀���。
一、DDoS防護(hù)智能調(diào)度:邊緣節(jié)點(diǎn)分布式抗D與高防中心大流量抗D聯(lián)動(dòng)
DDoS防護(hù)智能調(diào)度的策略是����,業(yè)務(wù)流量缺省通過(guò)CDN分發(fā),最大程度確保加速效果和用戶(hù)體驗(yàn)���,而當(dāng)檢測(cè)到大流量 DDoS 攻擊之后�,智能調(diào)度會(huì)判斷嚴(yán)重程度并決策由高防進(jìn)行 DDoS清洗,同時(shí)根據(jù)攻擊情況進(jìn)行區(qū)域調(diào)度或全局調(diào)度�,而當(dāng)DDoS 攻擊停止后,智能調(diào)度系統(tǒng)會(huì)自動(dòng)決策將高防服務(wù)的業(yè)務(wù)流量調(diào)度回 CDN 邊緣節(jié)點(diǎn)�,盡最大可能的保證正常加速效果。
DDoS防護(hù)智能調(diào)度最核心就是邊緣加速���、智能調(diào)度��、T級(jí)防護(hù)三塊��,邊緣加速的基礎(chǔ)上具備充分的DDoS攻擊檢測(cè)以及智能調(diào)度的能力����,決策什么時(shí)候進(jìn)行高防去清洗�,嚴(yán)重的攻擊進(jìn)入T級(jí)防護(hù)中心進(jìn)行清洗。目前方案已經(jīng)在金融行業(yè)����、傳媒行業(yè)沉淀了典型客戶(hù)。
二���、Web防護(hù)——八層安全功能,層層過(guò)濾惡意請(qǐng)求
Web防護(hù)的策略是通過(guò)層層過(guò)濾�����,來(lái)抵御惡意請(qǐng)求。第一層是精準(zhǔn)訪(fǎng)問(wèn)控制����,指具體對(duì)http請(qǐng)求的攔截策略;第二層是區(qū)域封禁���,對(duì)業(yè)務(wù)無(wú)效區(qū)或者異常地域請(qǐng)求進(jìn)行攔截����;第三層IP信譽(yù)系統(tǒng)���,是利用防御吧多年積累的互聯(lián)網(wǎng)IP大數(shù)據(jù)畫(huà)像����,對(duì)惡意行為進(jìn)行分類(lèi)并對(duì)IP進(jìn)行攔截�����;第四層是黑名單系統(tǒng)�,是對(duì)某些UA或者IP進(jìn)行攔截,以上四層都屬于精確攔截��;第五層是頻次控制,對(duì)相對(duì)高頻且訪(fǎng)問(wèn)異常IP進(jìn)行攔截����;第六層是對(duì)于互聯(lián)網(wǎng)機(jī)器流量進(jìn)行管理,阻斷惡意爬蟲(chóng)��;第七第八層是WAF和源站高級(jí)防護(hù)���,對(duì)于源站進(jìn)行更深層次的防護(hù)�。
趙偉認(rèn)為:CDN邊緣節(jié)點(diǎn)是最接近互聯(lián)網(wǎng)用戶(hù)的����,在所有的訪(fǎng)問(wèn)請(qǐng)求中,可能有正常用戶(hù)的請(qǐng)求��,當(dāng)然也會(huì)存在爬蟲(chóng)����、注入、跨站的訪(fǎng)問(wèn)請(qǐng)求�����,經(jīng)過(guò)以上逐層的防護(hù)策略����,過(guò)濾掉相應(yīng)惡意請(qǐng)求,最終可以達(dá)到只有正常請(qǐng)求返回源站的效果���。
三�����、機(jī)器流量管理——識(shí)別互聯(lián)網(wǎng)Bot流量����,阻斷惡意爬蟲(chóng)
機(jī)器流量管理部署在邊緣��,當(dāng)各種互聯(lián)網(wǎng)訪(fǎng)問(wèn)進(jìn)入CDN邊緣節(jié)點(diǎn)之后�����,機(jī)器流量管理系統(tǒng)會(huì)提取最原始的Client信息���,分析信息計(jì)算Client特征值�,并與防御吧安全積累的機(jī)器流量特征庫(kù)進(jìn)行匹配���,最終識(shí)別結(jié)果�����,正常訪(fǎng)問(wèn)�、搜索引擎、商業(yè)爬蟲(chóng)這些行為是網(wǎng)站期望的行為��,會(huì)被放行�,而惡意爬蟲(chóng)會(huì)被攔截。在處置動(dòng)作上�����,機(jī)器流量管理相比當(dāng)前常見(jiàn)嵌入在正常頁(yè)面中的行為��,侵入性有所降低�����,支持相對(duì)平滑的接入���。
下圖是一個(gè)實(shí)際的案例����,在執(zhí)行機(jī)器流量管理策略的時(shí)候����,首先會(huì)對(duì)某域名進(jìn)行流量分析�,左側(cè)圖是針對(duì)某域名開(kāi)啟機(jī)器流量分析后��,識(shí)別出超過(guò) 82% 的請(qǐng)求為惡意爬蟲(chóng)����,然后開(kāi)啟攔截機(jī)器流量中的惡意爬蟲(chóng)流量后�,如右側(cè)圖所示,域名峰值帶寬下降超過(guò)80%����。
CDN目前已經(jīng)是互聯(lián)網(wǎng)流量的主要入口,把安全能力注入CDN邊緣節(jié)點(diǎn)�,為客戶(hù)提供一站式安全加速解決方案成為行業(yè)大勢(shì)所趨。在發(fā)布會(huì)的最后���,趙偉分享到:未來(lái)����,防御吧政企安全加速解決方案將在場(chǎng)景化���、便捷化�����、智能化三個(gè)方面深耕�,為客戶(hù)提供更貼近需求的、更快捷省心的����、更智能高效的安全策略,讓CDN可以成為每個(gè)企業(yè)在線(xiàn)服務(wù)的第一道防線(xiàn)�,來(lái)保障企業(yè)應(yīng)用的安全、穩(wěn)定運(yùn)行�。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
