边缘安全 | 正确使用 CDN 让你更好规避安全风险
为了帮助用户更好地了解和使用 CDN 产品,CDN 应用实践进阶系统课程开课了。12 月 17 日,阿里云 CDN 产品专家彭飞在线分享了《正确使用 CDN,让你更好规避安全风险》议题,内容主要包括以下几个方面:
使用 CDN 的常见误区和问题有哪些?
DDoS 攻击是如何一步步演进的?
CDN 场景中更有效的防护方式是什么?
阿里云 CDN 边缘安全体系如何帮助客户抵御攻击?
针对近期潜在安全风险,你可以怎么做?
客户体验和安全稳定是企业的两大核心诉求
阿里云 CDN 正式商业化至今,已经服务了 30 万+的全球客户,其中最核心的两类场景就是网站和 APP 的业务。在这个业务中,客户的核心诉求还是相对集中的,一方面,希望能够给他们的用户提供更优质的体验,需要解决分布于不同运营商网络下的终端用户的跨网访问效率、广泛分布用户的一致性访问体验、中心部署源站成本高昂、突发流量下的弹性扩展以及弱网环境下传输性能等等方面的问题;另一方面,客户希望业务是安全稳定运行,这种稳定就包括了提供 SLA 可靠性、解决网络 DDoS 和 CC 攻击、保护内容不被恶意爬取、劫持、篡改等等。综上所述,用户体验和安全稳定是企业的两大核心诉求。
CDN 是企业常用的互联网服务之一,主要提供内容分发服务。CDN 能帮助用户缓解互联网网络拥塞、提高互联网业务响应速度、是改善用户业务体验的重要手段。同时,CDN 使用反向代理技术,能有效的保护用户源站,避免源站暴露进而遭到黑客的攻击。CDN 海量的服务节点天然给用户提供了一定的防护能力,继而获得相应的稳定性提升。默认情况下会用整个 CDN 大网的网络能力和计算能力,有效的对抗攻击者的攻击。
关注阿里云 Edge Plus 微信公众号,看 5G、边缘计算、CDN 和通信干货分享
关于 CDN 安全的那些误区和问题
前文提到了 CDN 节点可以为用户提供一定的防护能力,其实在使用 CDN 过程中会有一些常见的误区,比如:第一个误区是有些用户认为用了 CDN 之后有效保护源站就不需要额外购买安全服务了,甚至可以使用 CDN 平台来抵抗攻击;第二个误区是用户认为其用了 CDN 后无需进行任何额外配置,有攻击 CDN 自动来抵抗,和其没什么关系,对其没什么影响。
伴随这两种误区就会产生一些问题,比如:第一个问题是当用户遭到 DDoS 攻击,CDN 为保证整体服务质量,会将用户业务切入沙箱,网站业务质量受到较大影响,且影响该域名后续的 CDN 加速服务质量。第二个问题是当用户遭到刷量型 CC 攻击,由于请求非常分散,CDN 认为是客户正常业务的流量增长,因此尽力提供服务,造成短时间大量带宽突增,客户要为此付出大额账单,造成较大的经济损失。
正确地认识网络攻击
客户业务线上运行过程中,不可避免会遇到网络安全威胁,DDoS 攻击是最典型的。DDoS 的核心原理是什么?是如何发展演进的? 我们有必要进行详细的了解,以便于更好的在 CDN 上给与其防护。
DDoS 的核心目标是造成业务损失,受害目标无法对外进行服务,进而造成业务损失。其本质是消耗目标系统的资源,具体有 2 种实现方式:一种叫做拥塞有限的带宽,第二种叫耗尽有限的计算资源。本质上 CDN 给用户提供的就是这两种资源。一个是分发的带宽资源,第二个是在节点上提供相应的算力,所以攻击本身就是在消耗这个。
其中三类攻击包括:
一、网络流量型攻击
这种攻击会利用到一些协议漏洞,比如 UDP、SMP 协议,很轻易地构造出过载大报文来堵塞网络入口,这就导致正常请求很难进入。
二、耗尽计算资源型攻击——连接耗尽
最典型的就是网络层 CC,利用 HTTP 协议的三次握手,给服务器发一半的三次握手请求,后续的一些请求不再发了,所以服务器端就会等待,进而占用大量的资源,导致服务器连接资源直接被耗尽,服务不可持续。
三、耗尽计算资源型攻击——应用耗尽
典型是是 7 层的应用层 CC 攻击。这种攻击发出的攻击请求,从报文来看,看不出他有非常明显的畸形或有害性,很难去做相应的判断。由于七层 CC 都是正常的业务请求,同时 CDN 只是缓存内容,并不了解业务逻辑,同时业务也经常会遇到客户业务突发,当 CC 攻击时,如果无特殊的错误码异常,从 CDN 角度来看会和正常的业务上量是一样的,因此也会尽力服务。进而 CC 攻击会形成突发带宽峰值,进而产生高额账单,因此给客户造成了较大的经济损失。
DDoS 攻击的演进
了解到攻击实质之后,再看看整个攻击的演进过程,便于大家更好地了解攻击原理。整个的演进大概分为四个阶段:
第一个阶段:DoS 攻击
基于一个单点的服务器进行攻击流量的发送。这时流量规模在 500Mbps 到 10Gbps 之间,由于传统服务器的硬件、服务性能、带宽水平都有限,在这样的流量规模之下,就可以造成服务器的全面瘫痪,甚至终止。通过对传统硬件设备直接进行流量清洗的单点防护,再回到服务器,就可以达到防御目的。同时,也可以对相应的原 IP 进行封禁。
第二阶段:DDoS 攻击
也就是分布式的 DoS 攻击,它的攻击源就不是单点的服务器,而是一群僵尸网络,黑客通过系统漏洞在网络上抓取大量肉鸡,运用这些肉鸡在不同的网络里去同时发起攻击,造成的带宽规模可能从 10Gbps 到 100Gbps。对这种分布式的僵尸网络攻击形式,通常防御手段就是用多点的大流量清洗中心去做近源的流量压制,之后再把清洁流量注回到服务器。
第三阶段:DRDoS,分布式反射型拒绝服务攻击。
互联网上的肉鸡抓取可能存在困难,但一旦被发现,很快这个周期就会丢失掉。所以这些僵尸网络在控制一定的这个周期数量后,会通过反射的机制向目标主体进行攻击。反射的主要机制是互联网上公共的真实存在的设备,在处理协议的过程中可能会形成一个攻击流量成本的放大,比如请求 NTP 10K 返回 50K,请求的原地址改成目标服务器,所有终端都以为受害主机在请求,所有请求都会回到受害主机。整个流量可能会从 100Gbps 到 2Tbps 之间,所以对于这种攻击一个是要在很多的协议源头去做流量的阻断,另一个就是还要通过全球化分布式的 DDoS 进行相应防御。
第四阶段:未来发展
未来,5g、IPv6 和 IoT 技术发展,会导致单位攻击能力翻 10 倍、公网 IP 数量指数增长以及潜在肉鸡无处不在,都是我们将要面临的一些风险。所以未来的攻击规模可能会超过 2Tbps 甚至更高。
CDN 场景中应该怎么去更加有效的防护?
沿着以上两个核心场景来看,一个是拥塞带宽,一个是耗尽资源。
对于拥塞有限带宽入口这类攻击,本质上要在流量上 Hold 住。CDN 天然具有丰富的节点资源,使用分布式的网络将攻击分散到不同的边缘节点,同时在近源清洗后返回服务端。
对于耗尽有限资源资源这类攻击,本质上要做到攻击的快速可见,并且能够把相应特征进行阻断。单纯依靠 CDN 不能特别有效的解决问题,需要通过 CDN 节点上的配置,完成智能精准检测 DDoS 攻击,并自动化调度攻击到 DDoS 高防进行流量清洗。这时候需要用户购买高防抗 DDoS 的产品。
本质上标准的 CDN 仍然是一个内容分发产品,不是安全产品,也没有承诺安全方面的 SLA,因此,如果用户需要更加专业的安全服务,还是需要选择云安全的 DDoS 等产品,形成多级的安全防护体系,来更加有效的进行风险防御。
那么,具体阿里云 CDN 结合云安全的产品之后,能够提供怎样的安全防护体系呢?
政企安全加速解决方案 是一套基于基于阿里云 CDN 构建的边缘安全体系,核心能力是加速,但又不止于加速。加速是整体方案的基础,依托于阿里云全站加速平台,通过自动化动静分离,智能路由选路,私有协议传输等核心技术,提升静动态混合站点的全站加速效果。在加速基础之上,为客户提供 WAF 应用层安全、DDoS 网络层安全、内容防篡改、全链路 HTTPS 传输,高可用安全,安全合规 6 大方面安全能力,从客户业务流量进入 CDN 产品体系,一直到回到客户源站,全链路提供安全保障,保障企业互联网业务的安全加速。
CDN 边缘安全——网络层与应用层双重安全
一、网络层
银行,证券,保险等金融行业的业务线上化已经成为常见的业务办理模式,客户的 金融网银,网上业务办理业务,一般情况下 Web 攻击较多,遭遇 DDoS 网络攻击的场景并不常见,但一旦发生 DDoS 攻击,企业核心互联网业务就面临瘫痪风险,将会严重影响企业品牌,产生重大资损。因此一般情况银行客户都在源站侧部署 DDoS 防护能力,同时在 CDN 边缘分发侧,也希望 CDN 能利用大量分布式的节点优势,提供边缘 DDoS 防护能力,在边缘检测 DDoS 攻击并实现攻击阻断,保护源站不受到攻击冲击。最终实现,无攻击 CDN 分发,有攻击 DDoS 防护。
在 CDN 的边缘节点具备基础的抗 D 的防护能力。如果用户当前的攻击流量比较高,达到了用户设置的阈值之后,就可以自动化的检测到当前的攻击的流量,并且通过智能调度的方式,将当前恶意的请求全部解析到高防的 IP。高防 IP 的产品去做流量的攻击检测,以及攻击的清洗防护,整个过程是自动化实现。
整个业务流程是:
•客户需要分别开通 CDN 和 DDoS 高防产品,并将域名配置在两个产品中,其次,将高防侧生成的调度 CNAME 在 CDN 侧进行联动配置。配置后即可实现无攻击 CDN 分发,有攻击 DDoS 防护的效果
•在遇到攻击时,首先,自动化丢弃非 80|443 端口非正常流量,第二,CDN 会智能识别网络层攻击行为,精准,实时将 DDoS 攻击区域流量切换到高防服务,整个过程完全自动化,无需用户介入;第三,在高防侧用户可以享受最高超过 1T 的 DDoS 防护和清理能力,以及超过 250W QPS 的防护能力
•当攻击结束后,CDN 将自动将流量重新调度回 CDN 网络,实现正常业务分发
如上就能够完整平滑的实现 CDN 与高防的联动,实现无攻击 CDN 分发,有攻击 DDoS 防护。
二、应用层
零售客户通过线上电商进行产品宣传和售卖已经成为一种常见的销售模式,无论是企业官网,电商平台,运营活动页面,只要是面向互联网业务无可避免的,经常经常遭遇 Web,CC,刷量攻击,对客户体验,稳定性产生较大影响。客户在源站部署 WAF 能力,保护源站。同样,在 CDN 分发侧,希望在云端进行 Web 安全防护。客户会优先开启观察模式,在云端感知到网络攻击风险,然后,逐步灰度源站策略,实现多级防护结构,保证源站安全。
阿里云 CDN 团队与云安全团队合作,将沉淀多年的云 WAF 能力,注入到 CDN 边缘节点,实现 WEB 攻击的边缘安全防护。
大家都知道,CDN 产品一般由 2 层节点构成多级分发体系,边缘节点更靠近客户,回源上层节点与源站交互获取源站内容,回源节点和边缘节点之间形成多级缓存,提升命中率。当前,云 WAF 能力已经注入到 CDN 回源节点,针对动态回源请求,防护 OWASP Top10 威胁,例如:SQL 注入,XSS 跨站等常见 Web 攻击;同时客户还能享受到 0 DAY 漏洞更新能力,24 小时内提供高危漏洞虚拟补订防护。
然而仅能解决回源防护就足够了吗?如果出现恶意刷量,恶意爬取,大文件 CC 攻击场景,仅会对 CDN 边缘节点产生影响,请求不经过 L2,会产生大量下行带宽,极大提升客户的带宽成本。所以,CDN 在边缘节点提供频次控制,机器流量管理能力。通过频次控制能力,用户可以自定义防护规则,有效识别异常的高频访问,边缘抵御 CC 攻击。通过机器流量管理能力,识别恶意爬虫,刷单软件等机器流量,有效降低下行带宽,节约成本。
通过以上两层能力,CDN 可以为用户提供较为立体的应用层防护能力。
关注阿里云 Edge Plus 微信公众号,看 5G、边缘计算、CDN 和通信干货分享
分享CDN、边缘计算、视频云相关知识 2020.05.11 加入
还未添加个人简介
评论