คำแนะนำเกี่ยวกับการป้องกันด้านความปลอดภัยด้วย CDN: การจัดการการปลอมแปลง การโจมตี และเนื้อหา

หลังจากวิวัฒนาการทางเทคนิคและประสบการณ์การใช้งานจริงมานานกว่าทศวรรษ เครือข่ายการจัดส่งเนื้อหา (CDN) ของอาลีบาบาคลาวด์ก็ได้ย้ายออกจากการเร่งความเร็วแบบเดิม เพื่อค่อย ๆ สร้างระบบการป้องกันสามมิติโดยใช้เครือข่ายความปลอดภัยแบบ Edge-Cloud ระบบนี้ครอบคลุมการส่งผ่านที่ปลอดภัยแบบ End-to-End, ป้องกันการโจมตีทั่วไปบนโหนด, การปรับใช้ทรัพยากรเฉพาะระดับองค์กร, O&M และการป้องกันความปลอดภัยของเนื้อหา CDN จะช่วยสร้างช่องทางที่ปลอดภัยและเชื่อถือได้ระหว่างองค์กรและอินเทอร์เน็ต

ความสามารถด้านความปลอดภัยขั้นพื้นฐานช่วยให้มั่นใจได้ถึงความปลอดภัยในการรับส่งข้อมูลแบEnd-to-End

การป้องกันเซิร์ฟเวอร์ต้นทาง

เนื่องจากสถาปัตยกรรมแบบกระจายของ CDN ผู้ใช้สามารถรับเนื้อหาได้จากการเข้าถึงโหนดใกล้เคียงซึ่งสามารถซ่อนที่อยู่ IP ต้นทางได้อย่างมีประสิทธิภาพและลดแรงกดดันของการเข้าถึงเซิร์ฟเวอร์ต้นทาง ในกรณีที่มีการโจมตีทางไซเบอร์ขนาดใหญ่โหนดที่ใกล้เคียงจะทำหน้าที่เป็นแนวป้องกันแรกและกระจายความรุนแรงของการโจมตีออกไปอย่างมีนัยสำคัญ แม้ในกรณีของการส่งคำขอ (Request) ที่เป็นอันตรายต่อเนื้อหาแบบไดนามิก ระบบการจัดตารางเวลาอัจฉริยะของ CDN จะช่วยลดแรงกดดันบนเซิร์ฟเวอร์ต้นทางเพื่อให้แน่ใจว่าระบบจะให้การทำงานได้อย่างมีเสถียรภาพ

ความสามารถในการป้องกันการปลอมแปลง

CDN มีความสามารถในการป้องกันการปลอมแปลงระดับองค์กรในรูปแบบ End-to-End สำหรับลิงค์ HTTPS และโหนดข้อมูลเพื่อให้แน่ใจถึงความปลอดภัยในการส่งข้อมูลระหว่างเซิร์ฟเวอร์ต้นทางกับไคลเอนต์ HTTPS มีการใช้งานเพื่อป้องกันการถูกแฮคจากแหล่งข้อมูลระดับกลางในขณะที่โหนดจะตรวจสอบความสอดคล้องของไฟล์ต้นทาง หากพบว่าเนื้อหาของไฟล์ต้นฉบับไม่สอดคล้องกันไฟล์จะถูกลบและสำเนาต้นฉบับจะถูกดึงออกจากแหล่งที่มาอีกครั้งก่อนที่จะถูกเผยแพร่ โซลูชันที่สมบูรณ์แบบนี้จะให้ความปลอดภัยในการส่งข้อมูลที่สูงขึ้นและรับประกันความปลอดภัยของเนื้อหาบนเซิร์ฟเวอร์ต้นทาง, ลิงค์, โหนด CDN และไคลเอนต์

การรักษาความปลอดภัยของการเข้าถึงและการตรวจสอบความถูกต้อง

CDN สามารถระบุและคัดกรองผู้เข้าใช้งานได้จากการกำหนดค่า ผู้แนะนำ, ผู้ใช้งาน-เอเจนต์ และบัญชีดำที่อยู่ IP หรือรายชื่อผู้ใช้งานที่ได้รับอนุญาต ซึ่งจะช่วยให้สามารถเข้าถึงทรัพยากรได้อย่างปลอดภัย คุณยังสามารถตั้งค่าการใช้งานเข้ารหัสลับเพื่อการเข้าถึง URL เพื่อการป้องกันการใช้งานฮอตลิงค์ขั้นสูงและปกป้องทรัพยากรบนเซิร์ฟเวอร์ต้นทาง ในขณะเดียวกันฐานข้อมูล IP Reputation ถูกสร้างขึ้นเพื่อเสริมความแข็งแกร่งในการเข้าถึงที่อยู่ IP ที่อยู่ในบัญชีดำ

การรักษาความปลอดภัยระดับองค์กรช่วยป้องกันการโจมตีทั่วไป

ในปี 2019 Alibaba Cloud Security ตรวจพบการโจมตี Distributed Denial Of Service (DDos) บน off-premise เกือบล้านครั้ง การโจมตี DDoS ในชั้นแอปพลิเคชัน เช่น การถูกโจมตีในรูปแบบ HTTP Flood ได้กลายมาเป็นประเภทการโจมตีในรูปแบบทั่วไปเพียงแต่วิธีการโจมตีอาจมีความหลากหลายและมีความซับซ้อนมากยิ่งขึ้น ในขณะเดียวกันปัญหาที่เกี่ยวข้องกับความปลอดภัยของเว็บแอปพลิเคชันก็ยังคงมีการโจมตีอยู่เป็นจำนวนมาก ผ่านการรั่วไหลของข้อมูลซึ่งอำนวยความสะดวกให้กับนักล่าผลประโยชน์ หรือการโจมตีอื่น ๆ ความปลอดภัยของทุกอุตสาหกรรมและเว็บแอปพลิเคชันจะได้รับการทดสอบอยู่ตลอดเวลาเพื่อเพิ่มความปลอดภัยและความน่าเชื่อถือของแพลตฟอร์มเครือข่ายที่โฮสต์การรับส่งข้อมูล ดังนั้น CDN จึงทำงานอย่างต่อเนื่องเพื่อเพิ่มความสามารถด้านความปลอดภัยอย่างสูงสุด

DDoS Scrubbing

CDN มอบความสามารถในการป้องกัน DDoS ในชั้นแอปพลิเคชันให้กับองค์กร (ความสามารถในการป้องกันการโจมตีด้วย HTTP ในรูปแบบ Flood) บนโหนด ความสามารถนี้จะสามารถตรวจสอบที่อยู่ IP, เฮดเดอร์และพารามิเตอร์ URL, รวบรวมสถิติเกี่ยวกับเหตุการณ์ที่เกิดขึ้น, รหัสสถานะและวิธีการส่งคำขอ, และสกัดกั้นคำขอการเข้าถึงที่เป็นอันตราย ในที่นี้ CDN สามารถตรวจสอบได้อย่างมีประสิทธิภาพว่าการเข้าถึงสำหรับธุรกิจนั้นจะสามารถเข้าถึงได้ตามปกติและจะไม่ได้รับผลกระทบ เพื่อป้องกันการโจมตี DDoS ในชั้นเน็ตเวิร์ค CDN สามารถเชื่อมโยงกับผลิตภัณฑ์ Anti-DDoS ในสถานการณ์การกระจายสามารถใช้ CDN สำหรับการกระจายได้ และเมื่อเกิดการโจมตี DDoS  พื้นที่เป้าหมายที่ถูกโจมตีจะถูกตรวจพบและจะทำการโจมตีต่อการเข้าถึงที่วิ่งเข้ามาใน Anti-DDoS Scrubbing Center เพื่อปกป้องเซิร์ฟเวอร์ต้นทางไว้อย่างมีประสิทธิภาพ

โซลูชันการเชื่อมโยงนี้สามารถขัดการจราจรDDoSปริมาณสูงได้อย่างมีประสิทธิภาพและป้องกันการโจมตีแบบน้ำท่วมเช่นSyn,ACK, ICMP, UDP, NTP, SSDP, DNSและHTTP ขึ้นอยู่กับความสามารถในการประมวลผลและอัลกอริทึมการเรียนรู้ลึกของแพลตฟอร์มalibaba Cloud apsaraการคาดการณ์การโจมตีDDoSอัจฉริยะถูกนำมาใช้เพื่อสลับการจราจรไปยังโปรต่อต้านDDoSได้อย่างราบรื่นโดยไม่มีผลต่อเวิร์กโฟลว์ทางธุรกิจในชีวิตประจำวัน

โซลูชันการเชื่อมโยงนี้สามารถจัดการรับส่งข้อมูล DDoS ที่มีปริมาณมากได้อย่างมีประสิทธิภาพและป้องกันการโจมตีรูปแบบ Flood เช่น SYN, ACK, ICMP, UDP, NTP, SSDP, DNS และ HTTP  ด้วยความสามารถในการประมวลผลและอัลกอริธึมการเรียนรู้เชิงลึกของแพลตฟอร์ม Alibaba Cloud Apsara การทำนายการโจมตี DDoS อย่างอัจฉริยะ จะถูกนำมาใช้งานเพื่อเปลี่ยนทราฟฟิคการใช้งานไปเป็น anti-DDoS Pro ได้อย่างราบรื่นโดยไม่ส่งผลกระทบต่อแผนการทำงานของธุรกิจในแต่ละวัน

WAF

CDN รวมความสามารถของ Web Application Firewall (WAF) เอาไว้เพื่อปรับใช้ความสามารถในการป้องกันชั้นแอปพลิเคชันบนโหนด ซึ่งช่วยให้สามารถคัดกรองต่อคำขอที่เป็นอันตรายและดำเนินการเปลี่ยนเส้นทางในการส่งคำขอที่ปลอดภัยไปยังเซิร์ฟเวอร์ต้นทาง WAF ปกป้องเว็บเซิร์ฟเวอร์จากการบุกรุกต่างๆ, ช่วยปกป้องข้อมูลหลัก และป้องกันการเสื่อมประสิทธิภาพของเซิร์ฟเวอร์ได้รับผลกระทบจากการโจมตี CDN / WAF มีแพทช์เสมือนเพื่อช่วยให้แก้ไขช่องโหว่ที่เพิ่งค้นพบได้อย่างรวดเร็ว โดยอาศัยความปลอดภัยของระบบคลาวด์เพื่อตอบสนองต่อช่องโหว่ได้อย่างทันที

การป้องกัน Farming and Crawling

เพื่อจัดการกับการรวบรวมข้อมูลที่เป็นอันตรายจากเว็บครอเลอร์ CDN ใช้ไลบรารีของที่อยู่ IP ที่เป็นอันตรายและฐานข้อมูลลายนิ้วมือที่พัฒนาโดย Alibaba Group ใช้ความสามารถจากการเรียนรู้ของเครื่องที่ปรับให้เหมาะกับความเสี่ยงทางธุรกิจและปรับแต่งโมเดลในการรวบรวมข้อมูลเพื่อลดผลกระทบจากเว็บครอเลอร์และเครื่องมืออัตโนมัติสำหรับเว็บไซต์ธุรกิจ สิ่งนี้ช่วยให้มั่นใจในความปลอดภัยของข้อมูลและการปกป้องมูลค่าทางธุรกิจหลักขององค์กร

การใช้ทรัพยากร CDN เพื่อเพิ่มความปลอดภัยต่อองค์กร

CDN ยังมีกลุ่มทรัพยากรพิเศษสำหรับสถานการณ์ที่ต้องการความปลอดภัย เช่น บริการดิจิทัลของรัฐบาลและองค์กรขนาดใหญ่ ในประการแรก CDN จะช่วยให้คุณสามารถแยกโหนดการเร่งความเร็วที่ปลอดภัยออก และสร้างขึ้นมาโดยอิสระรวมฟังก์ชันการรักษาความปลอดภัยไว้เป็นอย่างดีและมีหนึ่งโหนดสำหรับป้องกัน DDoS ขั้นสูงโดยเฉพาะ ประการที่ 2 CDN มีทรัพยากร IP เฉพาะสำหรับปกป้องธุรกิจของคุณจากความเสี่ยงด้านความปลอดภัยและป้องกันการโจมตีต่อผู้ใช้รายหนึ่งไม่ให้ส่งผลกระทบต่อธุรกิจและผู้ใช้รายอื่น ประการที่ 3 CDN สนับสนุนการตั้งเวลาโดเมนอิสระโดยผู้ใช้คนเดียว ซึ่งหมายความว่าการโจมตี DNS กับผู้ใช้รายหนึ่งจะไม่ส่งผลกระทบต่อผู้ใช้รายอื่น สิ่งนี้ช่วยให้ CDN สามารถป้องกันการโจมตี DNS รูปแบบ Flood ได้ด้วย QPS นับล้าน

 

ความปลอดภัยสำหรับเนื้อหาและแพลตฟอร์มในระดับการผลิต

การปฏิบัติตามเนื้อหาของแพลตฟอร์ม

อ้างอิงจากปัญญาประดิษฐ์ (AI) และจากตัวอย่างจำนวนมาก Alibaba Cloud ใช้การเรียนรู้เชิงลึกเพื่อฝึกฝนต่อรูปแบบการจดจำที่สามารถระบุเนื้อหาลามกอนาจารในรูปภาพผ่าน CDN ได้อย่างแม่นยำ สิ่งนี้ช่วยให้สามารถระบุตัวตนได้อย่างหลายชั้นและให้การจัดการที่ยืดหยุ่นพร้อมการควบคุมได้ตามความต้องการ ความแม่นยำโดยรวมในการตรวจจับภาพลามกอนาจารของ CDN ให้ค่าสูงสุดเกิน 99% ซึ่งจะช่วยให้สามารถแทนที่การตรวจจับด้วยตนเองที่ให้ความแม่นยำเพียง 90% และลดความเสี่ยงต่อการละเมิดได้มาก

ความสะดวกสบายและการรักษาความปลอดภัย

สถาปัตยกรรมการเร่งความเร็วการรักษาความปลอดภัย CDN ช่วยให้บุคลากร O&M ดำเนินการรูปแบบครบวงจร การกำหนดค่าการบริการด้วยตนเอง และการควบคุม API ได้อย่างง่ายยิ่งขึ้น สิ่งนี้จะช่วยให้สามารถใช้งานการตรวจสอบและแจ้งเตือนการโจมตีได้ตามปกติ รวมถึงการแก้ไขปัญหาจากต้นทางถึงปลายทาง, การป้องกันในรูปแบบอัตโนมัติ และการแสดงบันทึกข้อมูลในรูปแบบเรียลไทม์ ในขณะเดียวกันระบบคุ้มกันและระบบตอบรับกับเหตุการณ์สำคัญที่ออกแบบมาเพื่อสำหรับกิจกรรมส่งเสริมการขายขนาดใหญ่ สามารถช่วยองค์กรให้สามารถปกป้องแอปพลิเคชันของตนเองได้จากความเสี่ยงด้านความปลอดภัยและช่วยทำให้ระบบมีเสถียรภาพมากยิ่งขึ้น

นอกเหนือจากเทคโนโลยีดังที่กล่าวมาข้างต้นแล้ว CDN ยังได้รับการรับรองระดับการป้องกัน 2.0 ระดับ -3, ISO 9001, PCI-DSS และการรับรองอื่น ๆ รวมถึงได้รับการยอมรับจากหน่วยงานชั้นนำระดับโลก ในด้านความปลอดภัยของเครือข่าย, ความปลอดภัยของข้อมูล, และความสามารถในการรักษาความปลอดภัยต่อการบริการ

การประยุกต์การใช้งานในอุตสาหกรรม

อีคอมเมิร์ซ: เทศกาลช้อปปิ้งดับเบิ้ล11 (11/11)

ในระหว่างเทศกาล ดับเบิ้ล11 ปี2019 อาลีบาบาคลาวด์ CDN ได้มีการสกัดกั้นกว่า 51ล้าน ซอฟต์แวร์ครอเลอร์ที่เป็นอันตรายโดยมีเป้าหมายไปยัง Taobao, บล็อก 850ล้าน คำขอที่เป็นอันตราย และลดการใช้งานแบนด์วิดท์อย่างสูงสุดมากกว่า 65%

เว็บไซต์องค์กร: โปรโมชั่นแอร์เอเชียที่โด่งดัง

แอร์เอเชีย เป็นสายการบินต้นทุนต่ำที่ใหญ่ที่สุดในเอเชีย ได้รับการตั้งชื่อว่าเป็นสายการบินต้นทุนต่ำที่ดีที่สุดในโลกเป็นเวลา 11ปีติดต่อกัน แอร์เอเชียจัดโปรโมชั่นการขายตั๋วเครื่องบินอย่างใหญ่โตในแต่ละไตรมาส และด้วยความช่วยเหลือของสถาปัตยกรรม CDN/WAF (Anti-Bot) จากอาลีบาบาคลาวด์ทำให้แอร์เอเชียสามารถบล็อกคำขอซื้อตั๋วเครื่องบินที่เป็นภัยได้อย่างรวดเร็ว ผ่านการวิเคราะห์อย่างถี่ถ้วนและต่อเนื่องสำหรับการจองที่นั่งในช่วงโปรโมชั่น ความกดดันของอัตราการยึดครองที่นั่งลดลงเป็นระดับค่อนข้างต่ำเพื่อให้แน่ใจว่าแอร์เอเชียจะได้รับรายได้อย่างมั่นคง

เพื่อตอบสนองความต้องการด้านความปลอดภัยและความมั่นคงทางธุรกิจขององค์กร Alibaba Cloud ได้เปิดตัว โซลูชันการเร่งความเร็วด้านความปลอดภัยสำหรับรัฐบาลและรัฐวิสาหกิจ ซึ่งมุ่งเน้นไปที่รัฐบาล การเงิน สื่อ และลูกค้าองค์กรแบบดั้งเดิม โซลูชันนี้จะให้บริการด้วยโหนด CDN กว่า 2,800 โหนดที่กระจายอยู่ทั่วโลก และเทคโนโลยีการรักษาความปลอดภัยบนระบบคลาวด์ชั้นนำของโลก สามารถบรรลุทั้งการเร่งความเร็วและการรักษาความปลอดภัยเพื่อช่วยให้องค์กรสามารถใช้งานอินเทอร์เน็ตได้อย่างคงที่และปลอดภัยมากขึ้น และยังให้ความสามารถในการโต้ตอบกับผู้ใช้ได้ดียิ่งขึ้นอีกทั้งอำนวยประโยชน์ด้วยรูปแบบดิจิทัลและรูปแบบธุรกิจออนไลน์

เรียนรู้เพิ่มเติมเกี่ยวกับ Alibaba Cloud Content Delivery Network (CDN) โดยเข้าไปที่หน้าผลิตภัณฑ์อย่างเป็นทางการ

สำหรับผู้ที่สนใจสามารถเข้าดูข้อมูลเพิ่มเติมและโปรโมชันต่าง ๆ พร้อมกรอกข้อมูลเพื่อการติดต่อกลับได้จากลิงค์นี้

https://int.alibabacloud.com/m/1000190403/