對(duì)話｜ESA如何助力企業(yè)高效安全開展在線業(yè)務(wù)？

摘要： 圍繞加速、安全，阿里云在邊緣云深度集成安全

年節(jié)將至，大眾的購(gòu)物需求旺盛，各大電商平臺(tái)也紛紛推出了年貨促銷活動(dòng)。但由于用戶數(shù)量龐大，電商平臺(tái)往往會(huì)出現(xiàn)網(wǎng)站延遲、商品圖片加載緩慢等問題，這不僅會(huì)影響用戶的使用體驗(yàn)，還會(huì)進(jìn)一步影響電商平臺(tái)的口碑和效益。實(shí)際上，因流量激增致使訪問慢的問題在各個(gè)行業(yè)均有發(fā)生，如何應(yīng)對(duì)激增流量及DDoS、Web應(yīng)用攻擊及惡意爬蟲成為很多企業(yè)發(fā)展在線業(yè)務(wù)的焦點(diǎn)。
 
在此背景下，阿里云開展了一場(chǎng)關(guān)于云上安全的深度訪談欄目，匯聚阿里云內(nèi)部眾多產(chǎn)品技術(shù)專家，攜手安全領(lǐng)域從業(yè)者，旨在通過全方位、多角度交流碰撞，討論激增流量的本質(zhì)以及應(yīng)對(duì)策略，幫助企業(yè)和云服務(wù)使用者進(jìn)一步實(shí)現(xiàn)安全目標(biāo)。
 
本期節(jié)目邀請(qǐng)到的是阿里云邊緣安全加速（ESA）產(chǎn)品專家陳章煒、阿里云安全產(chǎn)品經(jīng)理譚冠群，圍繞在線業(yè)務(wù)安全、阿里云邊緣安全加速ESA的價(jià)值以及針對(duì)邊緣云的展望和思考等維度展開討論。
 
 
 

 在線業(yè)務(wù)如何保障平穩(wěn)運(yùn)行？

隨著數(shù)字化的遞進(jìn)，企業(yè)業(yè)務(wù)由線下向線上轉(zhuǎn)移，保障在線業(yè)務(wù)平穩(wěn)運(yùn)行是企業(yè)發(fā)展的目標(biāo)之一。然而，部分企業(yè)現(xiàn)如今依然采用簡(jiǎn)單的CS架構(gòu)來提供訪問，訪問流量激增、用戶從全球不同區(qū)域訪問時(shí)都很可能無法快速、穩(wěn)定地訪問在線業(yè)務(wù)，從而導(dǎo)致企業(yè)業(yè)務(wù)難以開展。
 
//Q1：在線業(yè)務(wù)、服務(wù)卡頓和延遲的主要原因是什么？
 
陳章煒：

每逢一些特殊的節(jié)日，電商平臺(tái)會(huì)發(fā)現(xiàn)網(wǎng)站的訪問延遲。出國(guó)旅游時(shí)，原本日常常用的APP也會(huì)出現(xiàn)加載速度慢的問題。

購(gòu)物網(wǎng)站訂單提交速度慢或商品信息無法顯示往往是服務(wù)端的服務(wù)器或數(shù)據(jù)庫(kù)資源不夠且缺少?gòu)椥?，突增的?qǐng)求無法快速處理。

國(guó)外使用APP訪問慢是因?yàn)樵诰€業(yè)務(wù)的源站往往在特定區(qū)域，如中國(guó)企業(yè)服務(wù)器往往部署在中國(guó)本地，當(dāng)全球范圍內(nèi)的用戶發(fā)起請(qǐng)求時(shí)，距離源站遠(yuǎn)的客戶端常出現(xiàn)擁塞等問題。

這兩個(gè)場(chǎng)景都會(huì)導(dǎo)致用戶很難快速、穩(wěn)定地訪問在線業(yè)務(wù)。導(dǎo)致這類問題的本質(zhì)原因是，部分企業(yè)通常會(huì)采用基于現(xiàn)有互聯(lián)網(wǎng)的CS架構(gòu)，由客戶端直接去訪問服務(wù)端。這種簡(jiǎn)單架構(gòu)不足以提供快速、穩(wěn)定、高效的訪問體驗(yàn)，需要加速服務(wù)來進(jìn)一步提升用戶體驗(yàn)。
 
//Q2：在線業(yè)務(wù)的安全挑戰(zhàn)有哪些？
 
譚冠群：

上述提到的是正常用戶的訪問行為，非正常用戶訪問則會(huì)帶來安全問題。

非正常用戶指的是攻擊者或黑灰產(chǎn)，例如爬蟲及薅羊毛大軍等。這些團(tuán)伙產(chǎn)生的流量會(huì)對(duì)源站的性能和資源帶來很大消耗，從而影響正常用戶的訪問效率。此外，因非正常用戶導(dǎo)致業(yè)務(wù)不可訪問會(huì)對(duì)業(yè)務(wù)可用性帶來威脅，如DDoS攻擊等。

此外，在監(jiān)管合規(guī)趨嚴(yán)的背景下，受監(jiān)管要求的在線業(yè)務(wù)調(diào)整也可能會(huì)影響用戶訪問效率。
 
//Q3：阿里云如何看待在線業(yè)務(wù)安全？
 
陳章煒：

阿里云認(rèn)為，在線業(yè)務(wù)安全可通過邊緣云來解決。邊緣云擁有巨大的全球網(wǎng)絡(luò)，它的優(yōu)點(diǎn)是更靠近客戶端，龐大數(shù)量的節(jié)點(diǎn)所組成的網(wǎng)絡(luò)可以實(shí)時(shí)地選路、探測(cè)，去找到最優(yōu)路徑避開擁塞，提高訪問效率和速度。

在此基礎(chǔ)上，可通過在邊緣云上集成安全來提高在線業(yè)務(wù)的安全性。阿里云圍繞加速、安全等用戶需求，對(duì)邊緣云深度集成安全進(jìn)行了實(shí)踐探索。
 

 邊緣云的下一階段 

 
邊緣云將數(shù)據(jù)處理、存儲(chǔ)和計(jì)算功能部署在網(wǎng)絡(luò)邊緣，減少了數(shù)據(jù)傳輸?shù)难舆t，使得數(shù)據(jù)處理和響應(yīng)更加快速和可靠‌。然而，由于邊緣云涉及多個(gè)邊緣節(jié)點(diǎn)，導(dǎo)致管理和維護(hù)變得更加復(fù)雜，需要更高的技術(shù)水平和更多的資源投入。‌
 
//Q4：邊緣云如何集成安全？
 
陳章煒：

底層融合。阿里云嘗試從底層資源融合安全，通過智能CC（擁塞控制）算法，賦予了幾乎每一個(gè)邊緣節(jié)點(diǎn)的原生DDoS防護(hù)和WAF防護(hù)能力。
 
譚冠群：

在今年云棲大會(huì)上，阿里云安全負(fù)責(zé)人提出三個(gè)一體化戰(zhàn)略。
提出三個(gè)一體化戰(zhàn)略的背景是：
 
一是強(qiáng)調(diào)阿里云自身?yè)碛凶銐虻陌踩芰Α?br />  
二是能夠?qū)踩芰εc云產(chǎn)品集成。
 
三是使用戶無感地使用安全產(chǎn)品。
使邊緣云集成安全要比傳統(tǒng)從中心云和邊緣云嵌套的方式，無論從用戶體驗(yàn)上、成本上還是時(shí)效上都更具優(yōu)勢(shì)。
 
//Q5：阿里云在邊緣云方面的實(shí)踐？
 
陳章煒：

阿里云早在2013年就在嘗試邊緣云的商業(yè)化。最早推出的是阿里云CDN，在17、18年推出了DCDN，初步集成了智能選路，主打整站加速及安全產(chǎn)品層面聯(lián)動(dòng)等能力。
三個(gè)月前，阿里云發(fā)布了最新的邊緣安全加速ESA，它是迄今為止流量管理最強(qiáng)大、安全邊緣集成度最高、速度最快的邊緣云安全加速產(chǎn)品。
 

 ESA的價(jià)值和功能 

 
邊緣安全加速（ESA）通過提供邊緣加速、邊緣安全、邊緣計(jì)算等能力以及全球3000余節(jié)點(diǎn)，可在東南亞、中東、歐美等地為幾乎所有在線業(yè)務(wù)類型提供加速服務(wù)。目前，已經(jīng)有很多知名企業(yè)接入或正在接入ESA，并獲得了ESA的安全保障。
 
//Q6：ESA的價(jià)值及實(shí)踐反饋
 
陳章煒：

ESA是集合了加速、安全、計(jì)算三位一體的產(chǎn)品，可以加速幾乎所有業(yè)務(wù)類型的在線業(yè)務(wù)。在過去十幾年間，CDN和DCDN已經(jīng)打造了一張全球的網(wǎng)絡(luò)，有3000多個(gè)邊緣節(jié)點(diǎn)分布在全球各地。ESA在此基礎(chǔ)上做了節(jié)點(diǎn)優(yōu)選，并以多線路節(jié)點(diǎn)替換了單線路。目前其可以在東南亞、中東、歐美等全球區(qū)域提供最快數(shù)十毫秒級(jí)別的安全加速。

雖然ESA只上線了3個(gè)多月，但是已經(jīng)有很多客戶接入，并得到了很多來自開發(fā)者和客戶的真實(shí)反饋。

以某知名的高檔酒店為例，該公司的服務(wù)端在海外，其用戶分布在全球各地，因此需要全球范圍內(nèi)優(yōu)質(zhì)的加速訪問體驗(yàn)，經(jīng)過數(shù)輪PK測(cè)試，其最終選擇接入ESA，ESA為其酒店預(yù)訂官網(wǎng)及內(nèi)部IM系統(tǒng)提供了全球的穩(wěn)定加速。在接入一個(gè)月后，ESA助其成功抵御了一次數(shù)百Gbps級(jí)別的DDoS攻擊，很好地保護(hù)了用戶的業(yè)務(wù)。

開發(fā)者對(duì)于ESA的反饋各不相同，例如：

“CDN威力加強(qiáng)版”。ESA在CDN緩存加速的基礎(chǔ)上，又額外增加了很多安全和計(jì)算的能力。如每個(gè)站點(diǎn)都提供了DDoS基礎(chǔ)的防御能力，結(jié)合Web應(yīng)用防火墻可自定義ACL（訪問控制）策略等。

“網(wǎng)關(guān)工具箱”。ESA可配置ACL的策略，不再需要源站實(shí)現(xiàn)對(duì)應(yīng)代碼的邏輯。同時(shí)，ESA自帶了Java Script Runtime，可以直接部署Java Script代碼并在邊緣云上運(yùn)行。

“省錢寶”。9塊9就能體驗(yàn)ESA，同時(shí)前3個(gè)月免費(fèi)，因此非常便宜。此外，回源到阿里云OSS時(shí)，還可以減免OSS的流量費(fèi)用，還節(jié)省了AWS Route53產(chǎn)品1美元/月的產(chǎn)品費(fèi)用。
 
//Q7：阿里在ESA安全方面的探索
 
譚冠群：

WAAP。Gartner多年前提出WAAP，其中包含WAF、API安全、Bot管理等核心能力，這些都與邊緣安全非常契合。目前，阿里云中心云擁有WAPP的各項(xiàng)能力，正在將其與ESA相結(jié)合。

抗DDoS。阿里云將高防的核心能力，如AI智能防護(hù)及非Web類應(yīng)用層攻擊防護(hù)能力與ESA集成，希望通過ESA提供原生的抗D能力。

證書。阿里云云安全也與ESA相集成。ESA目前能給用戶簽發(fā)免費(fèi)證書。

 

此外，包括中心云的經(jīng)驗(yàn)、威脅情報(bào)、最佳實(shí)踐等都在通過產(chǎn)品集成的方式，無縫銜接到ESA。

大部分用戶認(rèn)為，引入安全勢(shì)必要付出代價(jià)，例如延遲、成本、穩(wěn)定性等。但在ESA上，這幾點(diǎn)相比于傳統(tǒng)的安全模式更具優(yōu)勢(shì)。ESA無需考慮串聯(lián)以及延遲，并在控制臺(tái)、報(bào)表、計(jì)費(fèi)、賬單、數(shù)據(jù)各個(gè)方面都有一致性的體驗(yàn)。
 
//Q8：阿里云為什么格外注重邊緣云及ESA的安全性？
 
譚冠群：

創(chuàng)業(yè)階段的中小企業(yè)，其第一優(yōu)先級(jí)是業(yè)務(wù)，以服務(wù)客戶。安全威脅往往在事后被考慮。然而，阿里云認(rèn)為安全在業(yè)務(wù)的各個(gè)階段都非常重要。

從云廠商的視角來說，安全能力水位決定了云廠商的上限。在安全碎片化、攻防不對(duì)等的態(tài)勢(shì)下，普通企業(yè)很難專注于安全。因此，對(duì)于云廠商來說可通過兩個(gè)方向服務(wù)用戶：

一是要基于云的特性，將安全原子化能力做到最強(qiáng)。

二是通過被集成的方式，無論是中心云還是邊緣云，都能集成安全組件和原子能力，以此來為用戶提供更靈活的選擇。

在ESA上，無論用戶需要DDoS、Bot還是API安全，都可以按需開啟、按量付費(fèi)。因此，在實(shí)際的使用的成本上以及IT的支出成本上，用戶都能獲得較低成本，且在運(yùn)維上獲得高效的體驗(yàn)。

 

 擁抱AI，ESA的未來目標(biāo) 

在用戶體驗(yàn)上，AI對(duì)ESA來說是極大的加持，通過引入智能化模塊，能夠進(jìn)一步提高效率，并幫助用戶完成分析。此外，如何優(yōu)化復(fù)雜結(jié)構(gòu)，如何在大分布式架構(gòu)中強(qiáng)化安全是ESA的下個(gè)目標(biāo)。
 
//Q9：從業(yè)務(wù)和安全未來發(fā)展的兩個(gè)方面，后續(xù)ESA還會(huì)有哪些方面的思考？
 
陳章煒：

加速。加速業(yè)務(wù)后續(xù)會(huì)鋪設(shè)更多的邊緣節(jié)點(diǎn)，把國(guó)內(nèi)領(lǐng)先的加速優(yōu)勢(shì)推廣到全球。

邊緣計(jì)算。后續(xù)會(huì)為具有AI業(yè)務(wù)的用戶提供計(jì)算資源。通過GPU資源幫助用戶在邊緣云上更多地部署更多的如邊緣推理等AI應(yīng)用。

智能化以及更多模板。為提高效率，ESA加入了智能限頻和簡(jiǎn)易版Bot能力。智能限頻會(huì)根據(jù)用戶線上站點(diǎn)的訪問數(shù)據(jù)，自動(dòng)、智能地設(shè)置限頻規(guī)則。簡(jiǎn)易版Bot可幫助用戶可以直接設(shè)定攔截規(guī)則，無需用戶分析日志。

 
譚冠群：

目前進(jìn)行的迭代是將中心云中相對(duì)成熟的能力移植到ESA中，API安全就是近期迭代的版本。阿里云希望將現(xiàn)有的一些積累移植到ESA上，使用戶能夠一鍵開啟。此外，阿里云還在關(guān)注新的用戶場(chǎng)景，如供應(yīng)鏈安全、Web安全等等。

更長(zhǎng)遠(yuǎn)的未來規(guī)劃是，ESA將在全球范圍內(nèi)提供加速能力，以及與SASE結(jié)合或與業(yè)務(wù)安全更緊密地結(jié)合。
 
//Q10：邊緣云發(fā)展至今還有哪些需要改進(jìn)？
 
陳章煒：

邊緣云由于覆蓋面積廣、與客戶端距離近等特點(diǎn)，其安全將迎來更多的挑戰(zhàn)。例如龐大數(shù)據(jù)及節(jié)點(diǎn)的調(diào)度、大分布式架構(gòu)的安全設(shè)計(jì)和融合以及用戶體驗(yàn)等等。

阿里云希望擺脫單一化的加速服務(wù)和內(nèi)卷。以在線業(yè)務(wù)的視角分析用戶的核心需求，如訪問速度、穩(wěn)定性及業(yè)務(wù)安全等，并提供相應(yīng)的產(chǎn)品和服務(wù)，以便讓邊緣云更好地去補(bǔ)充中心云覆蓋不到的場(chǎng)景和業(yè)務(wù)。作為供應(yīng)商，阿里云希望圍繞用戶需求更好地提供相關(guān)能力，給用戶一攬子的邊緣云安全防護(hù)手段。
 

 結(jié)語：以原子能力集成，阿里云提供了更為安全的邊緣云 

 
在線業(yè)務(wù)穩(wěn)定、安全不僅是企業(yè)的訴求，也是用戶最為關(guān)注的。因此，邊緣云作為目前最為合適的解決方案，在保障在線業(yè)務(wù)穩(wěn)定方面起到了至關(guān)重要的作用。然而，由于其節(jié)點(diǎn)復(fù)雜、架構(gòu)龐大，其面對(duì)的安全挑戰(zhàn)也是非常嚴(yán)峻的。
 
阿里云圍繞其中心云積累的安全能力，通過原子化的方式將其集成到邊緣云上，從而推出了ESA。這極大地解決了邊緣云所面對(duì)的安全問題，也進(jìn)一步保障了用戶在線業(yè)務(wù)的安全和穩(wěn)定。期待ESA繼續(xù)圍繞用戶需求，為在線業(yè)務(wù)提供更為豐富、安全的邊緣云服務(wù)。