通过阿里云安全,某大型银行率先落地了基于IPv6的安全加速。因网点多、业务复杂,该银行在引入CDN边缘计算节点建设的同时,内置了应用层攻击拦截和DDoS防御能力,无需扩容带宽即可原生安全的无感智能调度。

业务现状

该银行作为我国最早成立的大型银行之一,IT基础设施历史悠久、结构复杂、支撑的业务庞大,存在以下特征:
  • 上云业务应用项目超过200个,云化算力达到90%。
  • 2万多个云上管理节点,通过庞大数量的API接口对各地分行实现统一管控。
  • 业务提速同时需要兼顾安全、高可用、低时延。
  • 业务存在波峰波谷,安全保护需随之实现统一调度。
  • 存在真实的攻防强对抗场景。
  • 金融行业基础设施受国内最高等级的安全监管。

该银行的云服务能力在大型银行中领先,以电子商城、住房租赁、智慧政务、智慧社区等为代表的大流量应用,对用户访问带宽和时延高度敏感,更加依赖CDN加速,同时强调产品安全性能,以期实现即时、流畅、可靠、安全的用户在线体验。

云安全方案介绍

阿里云通过安全能力服务化的方案,帮助客户实现业务加速。

基础安全、流量安全、安全策略管理等能力服务化,助力安全策略快速下发到任何CDN节点,在加速的同时无感部署新的防护规则,快速响应不断变化的威胁形式。

CDN的IPv6化改造是该大型银行IT系统转型的目标之一,直接影响大流量业务应用服务部署。CDN内置网络层/应用层安全能力可以有效支持 IPv6访问及过滤回源异常流量。

以下是本案例中云安全方案的技术原理图。

技术原理

云原生形态的应用层、网络层防护能力,拥有资源集中调用、实时安全日志分析、情报信息分钟级协同、安全防护一键生效的服务优势,使得各地分支机构云上流量统一安全管控、一键协同防护成为可能。

  • 云原生WAF实时攻击拦截

    CDN侧WAF安全能力服务化,实现全链路IPv6的访问及回源、封禁能力,运维人员可远程对恶意访问和异常访问的IP进行实时封禁。

    高质量的云原生威胁情报分钟级全网防护协同,尤其适配金融行业强对抗攻防演练需求,配合黑白名单实现精准拦截。

    自定义WAF规则库,支持区域封禁、频次控制、机器流量管理等多维恶意及攻击请求拦截,避免攻击流量直接转发到源站。

  • 高防智能调度,T级DDoS攻击无感防御
    • 无攻击时:就近使用CDN节进行动静态加速和缓存。
    • 遭受CC攻击和流量DDoS攻击时:智能判断,无感调用CDN中的CC防御/DDoS防御服务模块,切换CDN防御。
    • 域名在CDN上被攻击时:攻击流量智能调度自动判断,一旦遭遇T级攻击,触发切换条件,开始切换解析到高防IP。
    • 高防IP清洗:干净流量回源到WAF后再访问源站。
  • 智能调度与统一管控
    • 总行安全部通过区分账号业务,实现对公业务与行内业务流量透明可见。
    • 各地分行接入架构与总行相同,总行安全部通过API接口实现日志转发、攻击检测、状态监控、一键封禁的统一安全管控。
    • 攻防强对抗、重大活动安全承压时无需额外协调,实现智能安全资源调度。
  • 银行行业级攻击应急标准

    阿里云协助该银行进行CDN加速后的网络环境分析和《DDoS攻击应急操作手册》的制定,规范设备、人员和应急操作处置流程。

    基于应急标准规范,配合银行安全部门进行定期演练和模拟实战,保障云上应用遭受真正的攻击时,可以快速有序地抵御攻击。

客户价值

  • 攻击拦截:

    CDN WAF原生攻击行为拦截能力,IP封禁时效控制在1分钟以内,实现低时延高敏感金融业务的无感防护。

  • 流量调度:

    云原生高防能力,根据攻击流量智能调度,快速清洗响应,适配金融业强对抗场景及周期性业务波动,保障银行客户的正常访问。

  • 安全防御体系:

    协助构建基于云端统一管理能力的金融业纵深防御体系,实现网络层、传输层、应用层多层次防护,满足不同应用场景的安全需求。

  • 安全应急水位:

    银行行业高等级攻击应急标准制定和攻防实战演练支撑,提升银行业安全应急水位。

  • 支持IPv6:

    CDN侧实现全链路IPv6的访问及回源,分钟级安全响应,满足监管部门对于银行业全面部署IPv6防护的要求。