云原生安全实战 | 银行如何基于 IPv6 完成 CDN 内置安全能力建设
Posted 阿里云安全
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了云原生安全实战 | 银行如何基于 IPv6 完成 CDN 内置安全能力建设相关的知识,希望对你有一定的参考价值。
客户关键词:
财富世界500强
总资产居全球银行业TOP50
无论出自监管要求或行业自驱,银行业IT基础设施在分阶段改造中,基于云和云原生的创新安全实践也在不断涌现。
我国某大型银行首先落地了基于IPv6的安全加速,因网点多、业务复杂,引入CDN边缘计算节点建设同时,内置应用层攻击拦截和DDoS防御能力,一份带宽实现原生安全的无感智能调度,阿里云安全帮助客户完成了答卷。
该大型银行“安全加速”服务架构
银行业数字化转型,最核心的需求是业务架构改造。
该银行作为我国最早成立的大型银行之一,IT基础设施存在历史悠久、结构复杂、支撑业务庞大的现状。随着云平台和公共功能组件的进一步开放,对IT架构的云端数字化转型建设提出高要求:
· 上云业务应用项目超200+个,云化算力达到90%;
· 2万多个云上管理节点,通过庞大数量的API接口对各地分行实现统一管控;
· 业务提速同时需保证安全、高可用,低时延;
· 业务存在波峰波谷,安全保护需随之实现统一调度;
· 存在真实的攻防强对抗场景;
· 金融行业基础设施受国内最高等级的安全监管。
安全能力服务化助力业务加速
客户云服务能力在大型银行中领先,以电子商城、住房租赁、智慧政务、智慧社区等为代表的大流量应用,对用户访问带宽和时延高度敏感,更加依赖CDN加速,同时强调产品安全性能,以期实现即时、流畅、可靠、安全的用户在线体验。
基础安全、流量安全、安全策略管理等能力服务化,可以助力安全策略轻松链接到任何CDN节点,在加速的同时无感部署新的防护规则,快速响应不断变化的威胁模式。
CDN 的 IPv6 化改造是该大型银行IT系统转型的目标之一,直接影响大流量业务应用服务部署,CDN 内置网络层/应用层安全能力,有效支持 IPv6 访问及回源异常流量过滤。
更重要的是,云原生形态的应用层/网络层防护能力,拥有资源集中调用、实时安全日志分析、情报信息分钟级协同、安全防护一键生效的服务优势,使得各地分支机构云上流量统一安全管控,一键协同防护成为可能。
阿里云原生安全力落地大型银行
CDN安全加速整体技术逻辑(简)
云原生WAF实时攻击拦截
CDN侧WAF安全能力服务化,实现全链路IPv6的访问及回源、封禁能力,运维人员可远程对恶意访问和异常访问的IP进行实时封禁。
高质量的云原生威胁情报分钟级全网防护协同,尤其适配金融行业强对抗攻防演练需求,配合黑白名单实现精准拦截。
自定义WAF规则库,支持区域封禁、频次控制、机器流量管理等多维恶意及攻击请求拦截,避免透传源站。
高防智能调度,T级DDoS攻击无感防御
无攻击时
就近使用CDN节进行动静态加速和缓存;
CC攻击和流量DDoS攻击时
智能判断,无感调用CDN中的CC防御/DDoS防御服务模块,切换CDN防御;
域名在CDN上被攻击时
攻击流量智能调度自动判断,一旦遭遇T级攻击,触发切换条件,开始切换解析到高防IP;
高防IP清洗
干净流量回源到WAF并访问源站。
智能调度 统一管控
· 总行安全部通过区分账号业务,实现对公业务与行内业务流量透明可见;
· 各地分行接入架构与总行相同,总行安全部通过API接口实现日志转发、攻击检测、状态监控、一键封禁的统一安全管控;
· 攻防强对抗、重大活动安全承压时无需额外协调,实现智能安全资源调度。
银行行业级攻击应急标准
协助进行CDN加速后的网络环境分析和《DDoS攻击应急操作手册》制定,规范设备、人员和应急操作处置流程。
基于应急标准规范,配合银行安全部门进行定期演练,模拟实战,保障云上应用遭受攻击时,双方可以快速有序地进行抵御攻击操作。
客 户 价 值
CDN WAF原生攻击行为拦截能力,IP封禁时效控制在1分钟以内,实现低时延高敏感金融业务的无感防护;
云原生高防能力,根据攻击流量智能调度,快速清洗响应,适配金融业强对抗场景及周期性业务波动,保障银行客户的正常访问;
协助构建基于云端统一管理能力的金融业纵深防御体系,实现网络层、传输层、应用层多层次防护,满足不同应用场景的安全需求;
银行行业高等级攻击应急标准制定和攻防实战演练支撑,提升银行业安全应急水位;
CDN侧实现全链路IPv6的访问及回源,分钟级安全响应,满足监管部门对于银行业全面部署IPv6防护的要求。
阿里云安全
国际领先的云安全解决方案提供方,保护全国 40% 的网站,每天抵御 60 亿次攻击。
2020 年,国内唯一云厂商整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可,以安全能力和市场份额的绝对优势占据领导者地位。
阿里云最早提出并定义云原生安全,持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力,和基础设施深度融合推动安全服务化,支持弹性、动态、复杂的行业场景,获得包括政府、金融、互联网等各行业用户认可。
作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者,阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境,为用户提供全球最高等级的安全可信云。
以上是关于云原生安全实战 | 银行如何基于 IPv6 完成 CDN 内置安全能力建设的主要内容,如果未能解决你的问题,请参考以下文章
10.Kong入门与实战 基于Nginx和OpenResty的云原生微服务网关 --- 内置插件