云原生安全实战 | 银行如何基于 IPv6 完成 CDN 内置安全能力建设

admin 2021年2月5日09:46:33评论103 views字数 2084阅读6分56秒阅读模式

客户关键词:

财富世界500强

总资产居全球银行业TOP50


无论出自监管要求或行业自驱,银行业IT基础设施在分阶段改造中,基于云和云原生的创新安全实践也在不断涌现。

我国某大型银行首先落地了基于IPv6的安全加速,因网点多、业务复杂,引入CDN边缘计算节点建设同时,内置应用层攻击拦截和DDoS防御能力,一份带宽实现原生安全的无感智能调度,阿里云安全帮助客户完成了答卷。

云原生安全实战 | 银行如何基于 IPv6 完成 CDN 内置安全能力建设

该大型银行“安全加速”服务架构


银行业数字化转型,最核心的需求是业务架构改造。


该银行作为我国最早成立的大型银行之一,IT基础设施存在历史悠久、结构复杂、支撑业务庞大的现状。随着云平台和公共功能组件的进一步开放,对IT架构的云端数字化转型建设提出高要求:


· 上云业务应用项目超200+个,云化算力达到90%

· 2万多个云上管理节点,通过庞大数量的API接口对各地分行实现统一管控;

· 业务提速同时需保证安全、高可用,低时延;

· 业务存在波峰波谷,安全保护需随之实现统一调度;

· 存在真实的攻防强对抗场景;

· 金融行业基础设施受国内最高等级的安全监管。


安全能力服务化助力业务加速


客户云服务能力在大型银行中领先,以电子商城、住房租赁、智慧政务、智慧社区等为代表的大流量应用,对用户访问带宽和时延高度敏感,更加依赖CDN加速,同时强调产品安全性能,以期实现即时、流畅、可靠、安全的用户在线体验。


基础安全、流量安全、安全策略管理等能力服务化,可以助力安全策略轻松链接到任何CDN节点,在加速的同时无感部署新的防护规则,快速响应不断变化的威胁模式。


CDN 的 IPv6 化改造是该大型银行IT系统转型的目标之一,直接影响大流量业务应用服务部署,CDN 内置网络层/应用层安全能力,有效支持 IPv6 访问及回源异常流量过滤。


更重要的是,云原生形态的应用层/网络层防护能力,拥有资源集中调用、实时安全日志分析、情报信息分钟级协同、安全防护一键生效的服务优势,使得各地分支机构云上流量统一安全管控,一键协同防护成为可能。


阿里云原生安全力落地大型银行

云原生安全实战 | 银行如何基于 IPv6 完成 CDN 内置安全能力建设

CDN安全加速整体技术逻辑(简)


云原生WAF实时攻击拦截

CDN侧WAF安全能力服务化,实现全链路IPv6的访问及回源、封禁能力,运维人员可远程对恶意访问和异常访问的IP进行实时封禁。


高质量的云原生威胁情报分钟级全网防护协同,尤其适配金融行业强对抗攻防演练需求,配合黑白名单实现精准拦截。


自定义WAF规则库,支持区域封禁、频次控制、机器流量管理等多维恶意及攻击请求拦截,避免透传源站。


高防智能调度,T级DDoS攻击无感防御

无攻击时



就近使用CDN节进行动静态加速和缓存;

CC攻击和流量DDoS攻击时



智能判断,无感调用CDN中的CC防御/DDoS防御服务模块,切换CDN防御;

域名在CDN上被攻击时



攻击流量智能调度自动判断,一旦遭遇T级攻击,触发切换条件,开始切换解析到高防IP;

高防IP清洗



干净流量回源到WAF并访问源站。


智能调度 统一管控

云原生安全实战 | 银行如何基于 IPv6 完成 CDN 内置安全能力建设

· 总行安全部通过区分账号业务,实现对公业务与行内业务流量透明可见;


· 各地分行接入架构与总行相同,总行安全部通过API接口实现日志转发、攻击检测、状态监控、一键封禁的统一安全管控;


· 攻防强对抗、重大活动安全承压时无需额外协调,实现智能安全资源调度。


银行行业级攻击应急标准

协助进行CDN加速后的网络环境分析和《DDoS攻击应急操作手册》制定,规范设备、人员和应急操作处置流程。


基于应急标准规范,配合银行安全部门进行定期演练,模拟实战,保障云上应用遭受攻击时,双方可以快速有序地进行抵御攻击操作。


客 户 价 值


CDN WAF原生攻击行为拦截能力,IP封禁时效控制在1分钟以内,实现低时延高敏感金融业务的无感防护;


云原生高防能力,根据攻击流量智能调度,快速清洗响应,适配金融业强对抗场景及周期性业务波动,保障银行客户的正常访问;


协助构建基于云端统一管理能力的金融业纵深防御体系,实现网络层、传输层、应用层多层次防护,满足不同应用场景的安全需求;


银行行业高等级攻击应急标准制定和攻防实战演练支撑,提升银行业安全应急水位


CDN侧实现全链路IPv6的访问及回源,分钟级安全响应,满足监管部门对于银行业全面部署IPv6防护的要求。



云原生安全实战 | 银行如何基于 IPv6 完成 CDN 内置安全能力建设


云原生安全实战 | 银行如何基于 IPv6 完成 CDN 内置安全能力建设

  阿里云安全  

云原生安全实战 | 银行如何基于 IPv6 完成 CDN 内置安全能力建设

国际领先的云安全解决方案提供方,保护全国  40% 的网站,每天抵御 60 亿次攻击。


2020 年,国内唯一云厂商整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可,以安全能力和市场份额的绝对优势占据领导者地位。


阿里云最早提出并定义云原生安全,持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力,和基础设施深度融合推动安全服务化,支持弹性、动态、复杂的行业场景,获得包括政府、金融、互联网等各行业用户认可。


作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者,阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境,为用户提供全球最高等级的安全可信云。

本文始发于微信公众号(阿里云安全):云原生安全实战 | 银行如何基于 IPv6 完成 CDN 内置安全能力建设

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年2月5日09:46:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   云原生安全实战 | 银行如何基于 IPv6 完成 CDN 内置安全能力建设http://cn-sec.com/archives/262357.html

发表评论

匿名网友 填写信息