CDN云安全，如何保障数据在传输过程中的安全性？

CDN（内容分发网络）是业界公认的加速网站访问效率、提升用户体验的重要手段之一，在当前互联网安全态势日益严峻的背景下，安全问题频发且复杂，使得CDN的安全防护能力成为新一代CDN的标配，阿里云CDN通过多年的技术沉淀和实践，逐步构筑了一个边缘+云的安全网络立体防护体系，为企业提供安全可靠的网络桥梁。

CDN 云安全基础安全能力

1、源站保护：由于CDN的分布式架构，用户通过访问就近边缘节点获取内容，从而有效隐藏源站IP，分解源站的访问压力，当大规模恶意攻击来袭时，边缘节点可以作为第一道防线进行防护，大大分散攻击强度，即使是针对动态内容的恶意请求，阿里云CDN的智能调度系统也可以卸载源站压力，维护系统平稳。

2、防篡改能力：阿里云CDN提供企业级全链路HTTPS+节点内容防篡改能力，保证客户从源站到客户端全链路的传输安全，在链路传输层面，通过HTTPS协议保证链接不可被中间源劫持，在节点上可以对源站文件进行一致性验证，如果发现内容不一致会将内容删除，重新回源拉取，如果内容一致才会进行分发，整套解决方案能够在源站、链路端、CDN节点、客户端全链路保证内容的安全性，提供更高的安全传输保障。

3、访问和认证安全：阿里云CDN可以通过配置访问的referer、User-Agent以及IP黑白名单等多种方式，来对访问者身份进行识别和过滤，从而限制资源被访问的情况，并且设置鉴权Key对URL进行加密实现高级防盗链，保护源站资源，同时通过构建IP信誉库，加强对黑名单IP的访问限制。

4、DDoS清洗：面对网络层DDoS攻击，CDN产品与DDoS产品可以实现联动，在分发场景中可以通过CDN进行分发，在DDoS攻击发生时，可以探测攻击的区域，并有效的将攻击调度到DDoS进行防护清洗，有效保护源站，通过联动方案可以有效利用海量DDoS清洗，完美防御SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS 、HTTP 等Flood。

5、WAF防护：CDN结合WAF能力，形成边缘的应用层防护能力，将业务流量进行恶意特征识别及防护，将正常、安全的流量回源到服务器，避免网站服务器被恶意入侵，保障企业业务的核心数据安全，解决因恶意攻击导致的服务器性能异常问题，CDN WAF提供虚拟补丁，针对网站被曝光的最新漏洞，最大可能地提供快速修复规则。

6、防刷防爬：面对网络爬虫的恶意爬取，CDN平台基于阿里巴巴集团业务沉淀的恶意IP库、恶意指纹库等，通过贴近业务的机器学习模型和定制化爬虫对抗模型，进行精准对抗，降低爬虫、自动化工具对网站业务的影响，保障企业的数据安全，维护企业的核心商业价值。

常见攻击类型及其防护措施

1、DDoS攻击：DDoS攻击类型已有20多年历史，它攻击方式简单直接，通过伪造报文直接拥塞企业上联带宽，随着IoT等终端设备增多，网络攻击量也愈发凶猛，根据阿里云安全中心报告显示，在2019年，超过100G的攻击已经比较常见，而且超过 500G 的攻击也已经成为常态，一旦企业服务面临这种情况，上联带宽被打满，正常请求无法承接，就会导致企业服务无法正常提供线上服务，防御DDoS 攻击依然是企业首先要投入去应对的问题。

2、CC攻击：相比于四层DDoS攻击伪造报文，CC攻击通过向受害的服务器发送大量请求来耗尽服务器的资源宝库CPU、内存等，常见的方式是访问需要服务器进行数据库查询的相关请求，这种情况想服务器负载以及资源消耗会很快飙升，导致服务器响应变慢甚至不可用。

3、Web攻击：常见的 Web 攻击包括SQL 注入、跨站脚本攻击XSS、跨站请求伪造CSRF 等，与DDoS和CC以大量报文发起的攻击相比，Web 攻击主要是利用 Web 设计的漏洞达到攻击的目标，一旦攻击行为实施成功，要么网站的数据库内容泄露，或者网页被挂马，数据库内容泄露严重影响企业的数据安全，网页被挂马会影响企业网站的安全形象以及被搜索引擎降权等。

4、恶意爬虫：根据阿里云安全中心的报告数据显示，2019年，恶意爬虫在房产、交通、游戏、电商、资讯论坛等几个行业中的占比都超过50%，恶意爬虫通过去爬取网站核心的内容，比如电商的价格信息等，对信息进行窃取，同时也加重服务器的负担。

5、劫持篡改：劫持和篡改比较常见，当网站被第三方劫持后，流量会被引流到其他网站上，导致网站的用户访问流量减少，用户流失，对于传媒、政务网站来说，内容被篡改会引发极大的政策风险。

纵深防护体系建设

除了上述基础防护外，企业还需要构建多层次的纵深防护体系，以应对更加复杂的网络攻击，这包括在网络层、传输层、应用层等多个层次进行防护能力的建设，在网络层需要进行DDoS攻击的清洗和处理；在传输层通过https的支持去进行传输层面加密；在应用层则需要进行CC防护、防爬、业务防刷的能力部署。

CDN与云安全能力的结合为企业提供了更加全面和高效的安全防护解决方案，通过简单的额外配置即可更好地抵御外界攻击保障业务安全平稳运行，未来随着技术的不断进步和网络环境的不断变化企业还需持续关注网络安全动态及时调整和完善自身的安全防护策略以应对新的挑战和风险。