對話｜ESA如何助力企業(yè)高效安全開展在線業(yè)務(wù)？

摘要： 圍繞加速、安全，阿里云在邊緣云深度集成安全

年節(jié)將至，大眾的購物需求旺盛，各大電商平臺也紛紛推出了年貨促銷活動。但由于用戶數(shù)量龐大，電商平臺往往會出現(xiàn)網(wǎng)站延遲、商品圖片加載緩慢等問題，這不僅會影響用戶的使用體驗，還會進(jìn)一步影響電商平臺的口碑和效益。實際上，因流量激增致使訪問慢的問題在各個行業(yè)均有發(fā)生，如何應(yīng)對激增流量及DDoS、Web應(yīng)用攻擊及惡意爬蟲成為很多企業(yè)發(fā)展在線業(yè)務(wù)的焦點。
 
在此背景下，阿里云開展了一場關(guān)于云上安全的深度訪談欄目，匯聚阿里云內(nèi)部眾多產(chǎn)品技術(shù)專家，攜手安全領(lǐng)域從業(yè)者，旨在通過全方位、多角度交流碰撞，討論激增流量的本質(zhì)以及應(yīng)對策略，幫助企業(yè)和云服務(wù)使用者進(jìn)一步實現(xiàn)安全目標(biāo)。
 
本期節(jié)目邀請到的是阿里云邊緣安全加速（ESA）產(chǎn)品專家陳章煒、阿里云安全產(chǎn)品經(jīng)理譚冠群，圍繞在線業(yè)務(wù)安全、阿里云邊緣安全加速ESA的價值以及針對邊緣云的展望和思考等維度展開討論。
 
 
 

 在線業(yè)務(wù)如何保障平穩(wěn)運行？

隨著數(shù)字化的遞進(jìn)，企業(yè)業(yè)務(wù)由線下向線上轉(zhuǎn)移，保障在線業(yè)務(wù)平穩(wěn)運行是企業(yè)發(fā)展的目標(biāo)之一。然而，部分企業(yè)現(xiàn)如今依然采用簡單的CS架構(gòu)來提供訪問，訪問流量激增、用戶從全球不同區(qū)域訪問時都很可能無法快速、穩(wěn)定地訪問在線業(yè)務(wù)，從而導(dǎo)致企業(yè)業(yè)務(wù)難以開展。
 
//Q1：在線業(yè)務(wù)、服務(wù)卡頓和延遲的主要原因是什么？
 
陳章煒：

每逢一些特殊的節(jié)日，電商平臺會發(fā)現(xiàn)網(wǎng)站的訪問延遲。出國旅游時，原本日常常用的APP也會出現(xiàn)加載速度慢的問題。

購物網(wǎng)站訂單提交速度慢或商品信息無法顯示往往是服務(wù)端的服務(wù)器或數(shù)據(jù)庫資源不夠且缺少彈性，突增的請求無法快速處理。

國外使用APP訪問慢是因為在線業(yè)務(wù)的源站往往在特定區(qū)域，如中國企業(yè)服務(wù)器往往部署在中國本地，當(dāng)全球范圍內(nèi)的用戶發(fā)起請求時，距離源站遠(yuǎn)的客戶端常出現(xiàn)擁塞等問題。

這兩個場景都會導(dǎo)致用戶很難快速、穩(wěn)定地訪問在線業(yè)務(wù)。導(dǎo)致這類問題的本質(zhì)原因是，部分企業(yè)通常會采用基于現(xiàn)有互聯(lián)網(wǎng)的CS架構(gòu)，由客戶端直接去訪問服務(wù)端。這種簡單架構(gòu)不足以提供快速、穩(wěn)定、高效的訪問體驗，需要加速服務(wù)來進(jìn)一步提升用戶體驗。
 
//Q2：在線業(yè)務(wù)的安全挑戰(zhàn)有哪些？
 
譚冠群：

上述提到的是正常用戶的訪問行為，非正常用戶訪問則會帶來安全問題。

非正常用戶指的是攻擊者或黑灰產(chǎn)，例如爬蟲及薅羊毛大軍等。這些團伙產(chǎn)生的流量會對源站的性能和資源帶來很大消耗，從而影響正常用戶的訪問效率。此外，因非正常用戶導(dǎo)致業(yè)務(wù)不可訪問會對業(yè)務(wù)可用性帶來威脅，如DDoS攻擊等。

此外，在監(jiān)管合規(guī)趨嚴(yán)的背景下，受監(jiān)管要求的在線業(yè)務(wù)調(diào)整也可能會影響用戶訪問效率。
 
//Q3：阿里云如何看待在線業(yè)務(wù)安全？
 
陳章煒：

阿里云認(rèn)為，在線業(yè)務(wù)安全可通過邊緣云來解決。邊緣云擁有巨大的全球網(wǎng)絡(luò)，它的優(yōu)點是更靠近客戶端，龐大數(shù)量的節(jié)點所組成的網(wǎng)絡(luò)可以實時地選路、探測，去找到最優(yōu)路徑避開擁塞，提高訪問效率和速度。

在此基礎(chǔ)上，可通過在邊緣云上集成安全來提高在線業(yè)務(wù)的安全性。阿里云圍繞加速、安全等用戶需求，對邊緣云深度集成安全進(jìn)行了實踐探索。
 

 邊緣云的下一階段 

 
邊緣云將數(shù)據(jù)處理、存儲和計算功能部署在網(wǎng)絡(luò)邊緣，減少了數(shù)據(jù)傳輸?shù)难舆t，使得數(shù)據(jù)處理和響應(yīng)更加快速和可靠‌。然而，由于邊緣云涉及多個邊緣節(jié)點，導(dǎo)致管理和維護變得更加復(fù)雜，需要更高的技術(shù)水平和更多的資源投入。‌
 
//Q4：邊緣云如何集成安全？
 
陳章煒：

底層融合。阿里云嘗試從底層資源融合安全，通過智能CC（擁塞控制）算法，賦予了幾乎每一個邊緣節(jié)點的原生DDoS防護和WAF防護能力。
 
譚冠群：

在今年云棲大會上，阿里云安全負(fù)責(zé)人提出三個一體化戰(zhàn)略。
提出三個一體化戰(zhàn)略的背景是：
 
一是強調(diào)阿里云自身擁有足夠的安全能力。
 
二是能夠?qū)踩芰εc云產(chǎn)品集成。
 
三是使用戶無感地使用安全產(chǎn)品。
使邊緣云集成安全要比傳統(tǒng)從中心云和邊緣云嵌套的方式，無論從用戶體驗上、成本上還是時效上都更具優(yōu)勢。
 
//Q5：阿里云在邊緣云方面的實踐？
 
陳章煒：

阿里云早在2013年就在嘗試邊緣云的商業(yè)化。最早推出的是阿里云CDN，在17、18年推出了DCDN，初步集成了智能選路，主打整站加速及安全產(chǎn)品層面聯(lián)動等能力。
三個月前，阿里云發(fā)布了最新的邊緣安全加速ESA，它是迄今為止流量管理最強大、安全邊緣集成度最高、速度最快的邊緣云安全加速產(chǎn)品。
 

 ESA的價值和功能 

 
邊緣安全加速（ESA）通過提供邊緣加速、邊緣安全、邊緣計算等能力以及全球3000余節(jié)點，可在東南亞、中東、歐美等地為幾乎所有在線業(yè)務(wù)類型提供加速服務(wù)。目前，已經(jīng)有很多知名企業(yè)接入或正在接入ESA，并獲得了ESA的安全保障。
 
//Q6：ESA的價值及實踐反饋
 
陳章煒：

ESA是集合了加速、安全、計算三位一體的產(chǎn)品，可以加速幾乎所有業(yè)務(wù)類型的在線業(yè)務(wù)。在過去十幾年間，CDN和DCDN已經(jīng)打造了一張全球的網(wǎng)絡(luò)，有3000多個邊緣節(jié)點分布在全球各地。ESA在此基礎(chǔ)上做了節(jié)點優(yōu)選，并以多線路節(jié)點替換了單線路。目前其可以在東南亞、中東、歐美等全球區(qū)域提供最快數(shù)十毫秒級別的安全加速。

雖然ESA只上線了3個多月，但是已經(jīng)有很多客戶接入，并得到了很多來自開發(fā)者和客戶的真實反饋。

以某知名的高檔酒店為例，該公司的服務(wù)端在海外，其用戶分布在全球各地，因此需要全球范圍內(nèi)優(yōu)質(zhì)的加速訪問體驗，經(jīng)過數(shù)輪PK測試，其最終選擇接入ESA，ESA為其酒店預(yù)訂官網(wǎng)及內(nèi)部IM系統(tǒng)提供了全球的穩(wěn)定加速。在接入一個月后，ESA助其成功抵御了一次數(shù)百Gbps級別的DDoS攻擊，很好地保護了用戶的業(yè)務(wù)。

開發(fā)者對于ESA的反饋各不相同，例如：

“CDN威力加強版”。ESA在CDN緩存加速的基礎(chǔ)上，又額外增加了很多安全和計算的能力。如每個站點都提供了DDoS基礎(chǔ)的防御能力，結(jié)合Web應(yīng)用防火墻可自定義ACL（訪問控制）策略等。

“網(wǎng)關(guān)工具箱”。ESA可配置ACL的策略，不再需要源站實現(xiàn)對應(yīng)代碼的邏輯。同時，ESA自帶了Java Script Runtime，可以直接部署Java Script代碼并在邊緣云上運行。

“省錢寶”。9塊9就能體驗ESA，同時前3個月免費，因此非常便宜。此外，回源到阿里云OSS時，還可以減免OSS的流量費用，還節(jié)省了AWS Route53產(chǎn)品1美元/月的產(chǎn)品費用。
 
//Q7：阿里在ESA安全方面的探索
 
譚冠群：

WAAP。Gartner多年前提出WAAP，其中包含WAF、API安全、Bot管理等核心能力，這些都與邊緣安全非常契合。目前，阿里云中心云擁有WAPP的各項能力，正在將其與ESA相結(jié)合。

抗DDoS。阿里云將高防的核心能力，如AI智能防護及非Web類應(yīng)用層攻擊防護能力與ESA集成，希望通過ESA提供原生的抗D能力。

證書。阿里云云安全也與ESA相集成。ESA目前能給用戶簽發(fā)免費證書。

 

此外，包括中心云的經(jīng)驗、威脅情報、最佳實踐等都在通過產(chǎn)品集成的方式，無縫銜接到ESA。

大部分用戶認(rèn)為，引入安全勢必要付出代價，例如延遲、成本、穩(wěn)定性等。但在ESA上，這幾點相比于傳統(tǒng)的安全模式更具優(yōu)勢。ESA無需考慮串聯(lián)以及延遲，并在控制臺、報表、計費、賬單、數(shù)據(jù)各個方面都有一致性的體驗。
 
//Q8：阿里云為什么格外注重邊緣云及ESA的安全性？
 
譚冠群：

創(chuàng)業(yè)階段的中小企業(yè)，其第一優(yōu)先級是業(yè)務(wù)，以服務(wù)客戶。安全威脅往往在事后被考慮。然而，阿里云認(rèn)為安全在業(yè)務(wù)的各個階段都非常重要。

從云廠商的視角來說，安全能力水位決定了云廠商的上限。在安全碎片化、攻防不對等的態(tài)勢下，普通企業(yè)很難專注于安全。因此，對于云廠商來說可通過兩個方向服務(wù)用戶：

一是要基于云的特性，將安全原子化能力做到最強。

二是通過被集成的方式，無論是中心云還是邊緣云，都能集成安全組件和原子能力，以此來為用戶提供更靈活的選擇。

在ESA上，無論用戶需要DDoS、Bot還是API安全，都可以按需開啟、按量付費。因此，在實際的使用的成本上以及IT的支出成本上，用戶都能獲得較低成本，且在運維上獲得高效的體驗。

 

 擁抱AI，ESA的未來目標(biāo) 

在用戶體驗上，AI對ESA來說是極大的加持，通過引入智能化模塊，能夠進(jìn)一步提高效率，并幫助用戶完成分析。此外，如何優(yōu)化復(fù)雜結(jié)構(gòu)，如何在大分布式架構(gòu)中強化安全是ESA的下個目標(biāo)。
 
//Q9：從業(yè)務(wù)和安全未來發(fā)展的兩個方面，后續(xù)ESA還會有哪些方面的思考？
 
陳章煒：

加速。加速業(yè)務(wù)后續(xù)會鋪設(shè)更多的邊緣節(jié)點，把國內(nèi)領(lǐng)先的加速優(yōu)勢推廣到全球。

邊緣計算。后續(xù)會為具有AI業(yè)務(wù)的用戶提供計算資源。通過GPU資源幫助用戶在邊緣云上更多地部署更多的如邊緣推理等AI應(yīng)用。

智能化以及更多模板。為提高效率，ESA加入了智能限頻和簡易版Bot能力。智能限頻會根據(jù)用戶線上站點的訪問數(shù)據(jù)，自動、智能地設(shè)置限頻規(guī)則。簡易版Bot可幫助用戶可以直接設(shè)定攔截規(guī)則，無需用戶分析日志。

 
譚冠群：

目前進(jìn)行的迭代是將中心云中相對成熟的能力移植到ESA中，API安全就是近期迭代的版本。阿里云希望將現(xiàn)有的一些積累移植到ESA上，使用戶能夠一鍵開啟。此外，阿里云還在關(guān)注新的用戶場景，如供應(yīng)鏈安全、Web安全等等。

更長遠(yuǎn)的未來規(guī)劃是，ESA將在全球范圍內(nèi)提供加速能力，以及與SASE結(jié)合或與業(yè)務(wù)安全更緊密地結(jié)合。
 
//Q10：邊緣云發(fā)展至今還有哪些需要改進(jìn)？
 
陳章煒：

邊緣云由于覆蓋面積廣、與客戶端距離近等特點，其安全將迎來更多的挑戰(zhàn)。例如龐大數(shù)據(jù)及節(jié)點的調(diào)度、大分布式架構(gòu)的安全設(shè)計和融合以及用戶體驗等等。

阿里云希望擺脫單一化的加速服務(wù)和內(nèi)卷。以在線業(yè)務(wù)的視角分析用戶的核心需求，如訪問速度、穩(wěn)定性及業(yè)務(wù)安全等，并提供相應(yīng)的產(chǎn)品和服務(wù)，以便讓邊緣云更好地去補充中心云覆蓋不到的場景和業(yè)務(wù)。作為供應(yīng)商，阿里云希望圍繞用戶需求更好地提供相關(guān)能力，給用戶一攬子的邊緣云安全防護手段。
 

 結(jié)語：以原子能力集成，阿里云提供了更為安全的邊緣云 

 
在線業(yè)務(wù)穩(wěn)定、安全不僅是企業(yè)的訴求，也是用戶最為關(guān)注的。因此，邊緣云作為目前最為合適的解決方案，在保障在線業(yè)務(wù)穩(wěn)定方面起到了至關(guān)重要的作用。然而，由于其節(jié)點復(fù)雜、架構(gòu)龐大，其面對的安全挑戰(zhàn)也是非常嚴(yán)峻的。
 
阿里云圍繞其中心云積累的安全能力，通過原子化的方式將其集成到邊緣云上，從而推出了ESA。這極大地解決了邊緣云所面對的安全問題，也進(jìn)一步保障了用戶在線業(yè)務(wù)的安全和穩(wěn)定。期待ESA繼續(xù)圍繞用戶需求，為在線業(yè)務(wù)提供更為豐富、安全的邊緣云服務(wù)。