政企边缘安全，如何助您提升企业的"免疫力"？

在数字化进程中，政企会面临诸多在线化的挑战，一方面要求业务能够在线开放，同时也要求服务是稳定流畅可靠的，此外还要保证安全合规，这对业务开发及运营者提出了极高要求。1月6日，阿里云CDN年度产品升级发布会中，阿里云CDN产品专家彭飞对阿里云CDN政企安全加速解决方案进行了详细解读。

在企业数字化转型中，一般常见的挑战有以下情况：在突发事件下，政府网站及应用产生高并发访问，造成访问不畅；公信力媒体内容若被恶意攻击篡改，将产生负面舆情，以及盗链盗播等恶意行为导致优质视频内容泄露；金融行业具有严格的等保合规要求，源站及节点服务高可用性保障十分重要，DDoS及WEB应用攻击影响业务和企业考核，同时大规模交易下的访问体验和跨国访问体验急需保障；传统企业的内部OA、ERP、邮箱、会议等办公协同软件访问体验差，影响工作效率，对外在线业务数据被爬或WEB入侵导致企业数据泄露……诸如此类，都是政企开发及运营者需要避免的。

所以在这种场景之下，政企应用存在共同的挑战存在于三个方面：第一是对于互联网访问体验的保障，包括由于公众跨地区跨（运营商）网访问造成的访问延迟、访问失败，以及因为主站出口带宽固定有限，无法在突发访问下保障良好的访问体验等；第二是需要有效的规避互联网的网络攻击的风险攻击，包括DDoS/CC等网络攻击行为造成政务互联网服务中断，以及针对WEB应用的攻击威胁主站的应用和数据安全；第三是在内容分发或用户的终端上，缺少内容一致性校验、https传输加密等技术保障的情况下，数据内容很容易被劫持篡改，造成不良影响。

为了帮助政企行业应对挑战，阿里云发布政企安全加速解决方案。该解决方案是阿里云CDN团队和云安全团队共同打造的分发加速+边缘安全一站式服务，解决政府、金融、传媒、传统企业内容分发安全和加速性能的问题，为云上业务保驾护航。客户可以直接登录阿里云官网，搜索：政企安全加速，去解决方案页面了解详情，并且也留下相应问题与阿里云架构师进行免费的咨询。

解决方案的基座是阿里云CDN多年沉淀的强大的内容分发能力，在安全层面，解决方案主要具备WAF应用层安全、DDoS防护网络层安全、内容防篡改、全链路HTTPS传输，高可用安全，安全合规六大方面的能力，进而构建了完整的边缘安全体系。

首先，整个方案是基于稳定、极速、智能、安全的全站加速网络构建。目前，阿里云整个2800+节点覆盖六大洲、70多个国家，具备130Tbps带宽储备，每天为150余万域名加速。

在此基础之上，针对很多企业的动静内容混合的情况，阿里云全站加速面向用户提供更好的多维度增值能力，可以实现自定义动静分离，动态内容采用智能路由，进行传输协议优化，压缩传输，实时网络质量探测，而静态内容边缘多级缓存，同运营商回源，以此保障用户整体访问质量可以达到最优，分发效率提升30%，提速效果明显。

其次，基于全站加速，再去构建应用层安全防护，主要包括以下几个维度：

一、在边缘抵御WEB攻击

CDN节点集成了WAF（WEB应用防火墙）功能，可抵御常见OWASP威胁，抵御CC攻击，管理机器流量，降低源站负载，有效保护源站WEB应用系统安全。比如零售企业，现在都会用户去提供在线商城服务，一般也都会在源站去部署相应的WAF防护能力，而一旦内容越出了边界，在很多情况下，对于网络安全防护实际上就很不可控了。而CDN作为更贴近用户端的网络网络区间，如果能在CDN边缘把相应的攻击给阻断，就可以起到很好的保护效果。

CDN WAF几大特性包括：提供实时更新高危Web 0 Day漏洞，24小时内提供虚拟补订防护；可以有效防御SQL注入，XSS跨站等常见Web攻击；支持用户自定义防护规则，防护业务风险，抵御CC攻击；基于机器流量管理，降低爬虫、自动化工具对网站业务的影响，可以将爬虫流量下降40%。

二、DDoS攻击防护确保网站服务可靠性

在网络层，企业更多面临DDoS或者CC攻击，对业务稳定性带来很大的隐患。比如金融企业经常会要求CDN提供相应的CC防护服务，因为CDN本身就是一个反向代理的服务，在这种服务机制之下，用户的源站能够得到有效保护，边缘节点可以屏蔽掉攻击行为。

CDN节点目前已经能够较好地去识别网络攻击的特征，并且在第一时间对一些非服务端口，比如非80、443端口流量进行指定和阻断。同时，基于CDN节点智能精准检测，一旦发现流量攻击并超过基础防护阈值，就可以将攻击流量自动化调度到高防节点，实现流量清洗，当攻击停止，流量会自动调度回到CDN服务节点。整体可提供1Tbps以上DDoS防护，确保客户业务安全无虞。

三、多维度保障传输链路内容防篡改

广电传媒企业非常关注内容一致性，内容在源站还是在CDN、客户端，都一定不能被篡改。解决方案为该类需求提供多维度的全链路内容防篡改方案。首先，可为客户提供独享节点保障资源的隔离性，其次，在CDN内部、CDN与源站和客户端之间通过国密算法进行全链路安全传输，此外，基于国密算法的内容一致性校验，确保内容防篡改。

四、易于实施的IPv6转换服务，快速满足合规要求

目前，从监管、行业发展等各个角度来看，网站的IPv6兼容改造都势在必行。目前CDN已经能够完整支持从CDN边缘节点下行到CDN边缘节点上行这两端的IPv6访问，并且可以做到协议跟随，当客户端请求是IPv6，回源也会优先到IPv6。IPv4源站无需做任何改造即可实现IPv6地址转换，即可便捷去进行落地，迅速满足行业监管要求。同时，IPv6节点全面覆盖，满足各地各运营商用户访问需求，相比由单一节点构成的IPv6地址转换服务性能体验更优。

综上所述，阿里云政企安全加速解决方案是无缝集成了加速与安全双项能力，核心提供的安全能力包括：WAF应用层安全、DDoS网络层安全、内容防篡改、全链路HTTPS传输、高可用安全、安全合规六个方面。同时，不止于加速，在serverless边缘可编程能力，DevOps配置管理能力，CDN与阿里云体系产品整合（DATAV，SLS，OSS）能力等各方面形成更完整的企业级CDN加速体验。

案例解读

某官网在没有实施HTTPS和IPv6合规的改造之前，很多内容是不支持的，仅仅是支持IPv4和HTTP服务，这就意味着在合规性上可能会存在一些问题。同时，如果网站要进行改造的话，成本也比较高。而当这个官网使用了CDN加速服务之后，通过CDN便捷对接快速上线，避免源站技术改造，即可一站式支持IPv4 HTTP、IPv4 HTTPS、IPv6 HTTP、IPv6 HTTPS确保合规安全。

对该官网来说，它的用户访问体验上的提升也十分明显，下图左侧是未做CDN加速的源站使用单一节点服务全国访问请求，大多数地域访问体验不佳，同时很多处的最慢响应时间达15秒左右，接近触发“站点不可用”的单项否决指标；下图右侧同一源站使用CDN加速后在同一时刻全国各地访问体验显著改善，最慢响应时间、平均响应时间明显缩短，服务可用性得到提升。