年節將至，大眾的購物需求旺盛，各大電商平臺也紛紛推出了年貨促銷活動。但由于用戶數量龐大，電商平臺往往會出現網站延遲、商品圖片加載緩慢等問題，這不僅會影響用戶的使用體驗，還會進一步影響電商平臺的口碑和效益。實際上，因流量激增致使訪問慢的問題在各個行業均有發生，如何應對激增流量及DDoS、Web應用攻擊及惡意爬蟲成為很多企業發展在線業務的焦點。

在此背景下，阿里云開展了一場關于云上安全的深度訪談欄目，匯聚阿里云內部眾多產品技術專家，攜手安全領域從業者，旨在通過全方位、多角度交流碰撞，討論激增流量的本質以及應對策略，幫助企業和云服務使用者進一步實現安全目標。

本期節目邀請到的是阿里云邊緣安全加速（ESA）產品專家陳章煒、阿里云安全產品經理譚冠群，圍繞在線業務安全、阿里云邊緣安全加速ESA的價值以及針對邊緣云的展望和思考等維度展開討論。

在線業務如何保障平穩運行？

隨著數字化的遞進，企業業務由線下向線上轉移，保障在線業務平穩運行是企業發展的目標之一。然而，部分企業現如今依然采用簡單的CS架構來提供訪問，訪問流量激增、用戶從全球不同區域訪問時都很可能無法快速、穩定地訪問在線業務，從而導致企業業務難以開展。

//Q1：在線業務、服務卡頓和延遲的主要原因是什么？

陳章煒：

每逢一些特殊的節日，電商平臺會發現網站的訪問延遲。出國旅游時，原本日常常用的APP也會出現加載速度慢的問題。

購物網站訂單提交速度慢或商品信息無法顯示往往是服務端的服務器或數據庫資源不夠且缺少彈性，突增的請求無法快速處理。

國外使用APP訪問慢是因為在線業務的源站往往在特定區域，如中國企業服務器往往部署在中國本地，當全球范圍內的用戶發起請求時，距離源站遠的客戶端常出現擁塞等問題。

這兩個場景都會導致用戶很難快速、穩定地訪問在線業務。導致這類問題的本質原因是，部分企業通常會采用基于現有互聯網的CS架構，由客戶端直接去訪問服務端。這種簡單架構不足以提供快速、穩定、高效的訪問體驗，需要加速服務來進一步提升用戶體驗。

//Q2：在線業務的安全挑戰有哪些？

譚冠群：

上述提到的是正常用戶的訪問行為，非正常用戶訪問則會帶來安全問題。

非正常用戶指的是攻擊者或黑灰產，例如爬蟲及薅羊毛大軍等。這些團伙產生的流量會對源站的性能和資源帶來很大消耗，從而影響正常用戶的訪問效率。此外，因非正常用戶導致業務不可訪問會對業務可用性帶來威脅，如DDoS攻擊等。

此外，在監管合規趨嚴的背景下，受監管要求的在線業務調整也可能會影響用戶訪問效率。

//Q3：阿里云如何看待在線業務安全？

陳章煒：

阿里云認為，在線業務安全可通過邊緣云來解決。邊緣云擁有巨大的全球網絡，它的優點是更靠近客戶端，龐大數量的節點所組成的網絡可以實時地選路、探測，去找到最優路徑避開擁塞，提高訪問效率和速度。

在此基礎上，可通過在邊緣云上集成安全來提高在線業務的安全性。阿里云圍繞加速、安全等用戶需求，對邊緣云深度集成安全進行了實踐探索。

邊緣云的下一階段

邊緣云將數據處理、存儲和計算功能部署在網絡邊緣，減少了數據傳輸的延遲，使得數據處理和響應更加快速和可靠?。然而，由于邊緣云涉及多個邊緣節點，導致管理和維護變得更加復雜，需要更高的技術水平和更多的資源投入。?

//Q4：邊緣云如何集成安全？

陳章煒：

底層融合。阿里云嘗試從底層資源融合安全，通過智能CC（擁塞控制）算法，賦予了幾乎每一個邊緣節點的原生DDoS防護和WAF防護能力。

譚冠群：

在今年云棲大會上，阿里云安全負責人提出三個一體化戰略。

提出三個一體化戰略的背景是：

一是強調阿里云自身擁有足夠的安全能力。

二是能夠將安全能力與云產品集成。

三是使用戶無感地使用安全產品。

使邊緣云集成安全要比傳統從中心云和邊緣云嵌套的方式，無論從用戶體驗上、成本上還是時效上都更具優勢。

//Q5：阿里云在邊緣云方面的實踐？

陳章煒：

阿里云早在2013年就在嘗試邊緣云的商業化。最早推出的是阿里云CDN，在17、18年推出了DCDN，初步集成了智能選路，主打整站加速及安全產品層面聯動等能力。

三個月前，阿里云發布了最新的邊緣安全加速ESA，它是迄今為止流量管理最強大、安全邊緣集成度最高、速度最快的邊緣云安全加速產品。

ESA的價值和功能

邊緣安全加速（ESA）通過提供邊緣加速、邊緣安全、邊緣計算等能力以及全球3000余節點，可在東南亞、中東、歐美等地為幾乎所有在線業務類型提供加速服務。目前，已經有很多知名企業接入或正在接入ESA，并獲得了ESA的安全保障。

//Q6：ESA的價值及實踐反饋

陳章煒：

ESA是集合了加速、安全、計算三位一體的產品，可以加速幾乎所有業務類型的在線業務。在過去十幾年間，CDN和DCDN已經打造了一張全球的網絡，有3000多個邊緣節點分布在全球各地。ESA在此基礎上做了節點優選，并以多線路節點替換了單線路。目前其可以在東南亞、中東、歐美等全球區域提供最快數十毫秒級別的安全加速。

雖然ESA只上線了3個多月，但是已經有很多客戶接入，并得到了很多來自開發者和客戶的真實反饋。

以某知名的高檔酒店為例，該公司的服務端在海外，其用戶分布在全球各地，因此需要全球范圍內優質的加速訪問體驗，經過數輪PK測試，其最終選擇接入ESA，ESA為其酒店預訂官網及內部IM系統提供了全球的穩定加速。在接入一個月后，ESA助其成功抵御了一次數百Gbps級別的DDoS攻擊，很好地保護了用戶的業務。

開發者對于ESA的反饋各不相同，例如：

“CDN威力加強版”。ESA在CDN緩存加速的基礎上，又額外增加了很多安全和計算的能力。如每個站點都提供了DDoS基礎的防御能力，結合Web應用防火墻可自定義ACL（訪問控制）策略等。

“網關工具箱”。ESA可配置ACL的策略，不再需要源站實現對應代碼的邏輯。同時，ESA自帶了Java Script Runtime，可以直接部署Java Script代碼并在邊緣云上運行。

“省錢寶”。9塊9就能體驗ESA，同時前3個月免費，因此非常便宜。此外，回源到阿里云OSS時，還可以減免OSS的流量費用，還節省了AWS Route53產品1美元/月的產品費用。

//Q7：阿里在ESA安全方面的探索

譚冠群：

WAAP。Gartner多年前提出WAAP，其中包含WAF、API安全、Bot管理等核心能力，這些都與邊緣安全非常契合。目前，阿里云中心云擁有WAPP的各項能力，正在將其與ESA相結合。

抗DDoS。阿里云將高防的核心能力，如AI智能防護及非Web類應用層攻擊防護能力與ESA集成，希望通過ESA提供原生的抗D能力。

證書。阿里云云安全也與ESA相集成。ESA目前能給用戶簽發免費證書。

此外，包括中心云的經驗、威脅情報、最佳實踐等都在通過產品集成的方式，無縫銜接到ESA。

大部分用戶認為，引入安全勢必要付出代價，例如延遲、成本、穩定性等。但在ESA上，這幾點相比于傳統的安全模式更具優勢。ESA無需考慮串聯以及延遲，并在控制臺、報表、計費、賬單、數據各個方面都有一致性的體驗。

//Q8：阿里云為什么格外注重邊緣云及ESA的安全性？

譚冠群：

創業階段的中小企業，其第一優先級是業務，以服務客戶。安全威脅往往在事后被考慮。然而，阿里云認為安全在業務的各個階段都非常重要。

從云廠商的視角來說，安全能力水位決定了云廠商的上限。在安全碎片化、攻防不對等的態勢下，普通企業很難專注于安全。因此，對于云廠商來說可通過兩個方向服務用戶：

一是要基于云的特性，將安全原子化能力做到最強。

二是通過被集成的方式，無論是中心云還是邊緣云，都能集成安全組件和原子能力，以此來為用戶提供更靈活的選擇。

在ESA上，無論用戶需要DDoS、Bot還是API安全，都可以按需開啟、按量付費。因此，在實際的使用的成本上以及IT的支出成本上，用戶都能獲得較低成本，且在運維上獲得高效的體驗。

擁抱AI，ESA的未來目標

在用戶體驗上，AI對ESA來說是極大的加持，通過引入智能化模塊，能夠進一步提高效率，并幫助用戶完成分析。此外，如何優化復雜結構，如何在大分布式架構中強化安全是ESA的下個目標。

//Q9：從業務和安全未來發展的兩個方面，后續ESA還會有哪些方面的思考？

陳章煒：

加速。加速業務后續會鋪設更多的邊緣節點，把國內領先的加速優勢推廣到全球。

邊緣計算。后續會為具有AI業務的用戶提供計算資源。通過GPU資源幫助用戶在邊緣云上更多地部署更多的如邊緣推理等AI應用。

智能化以及更多模板。為提高效率，ESA加入了智能限頻和簡易版Bot能力。智能限頻會根據用戶線上站點的訪問數據，自動、智能地設置限頻規則。簡易版Bot可幫助用戶可以直接設定攔截規則，無需用戶分析日志。

譚冠群：

目前進行的迭代是將中心云中相對成熟的能力移植到ESA中，API安全就是近期迭代的版本。阿里云希望將現有的一些積累移植到ESA上，使用戶能夠一鍵開啟。此外，阿里云還在關注新的用戶場景，如供應鏈安全、Web安全等等。

更長遠的未來規劃是，ESA將在全球范圍內提供加速能力，以及與SASE結合或與業務安全更緊密地結合。

//Q10：邊緣云發展至今還有哪些需要改進？

陳章煒：

邊緣云由于覆蓋面積廣、與客戶端距離近等特點，其安全將迎來更多的挑戰。例如龐大數據及節點的調度、大分布式架構的安全設計和融合以及用戶體驗等等。

阿里云希望擺脫單一化的加速服務和內卷。以在線業務的視角分析用戶的核心需求，如訪問速度、穩定性及業務安全等，并提供相應的產品和服務，以便讓邊緣云更好地去補充中心云覆蓋不到的場景和業務。作為供應商，阿里云希望圍繞用戶需求更好地提供相關能力，給用戶一攬子的邊緣云安全防護手段。

結語：以原子能力集成，

阿里云提供了更為安全的邊緣云

在線業務穩定、安全不僅是企業的訴求，也是用戶最為關注的。因此，邊緣云作為目前最為合適的解決方案，在保障在線業務穩定方面起到了至關重要的作用。然而，由于其節點復雜、架構龐大，其面對的安全挑戰也是非常嚴峻的。

阿里云圍繞其中心云積累的安全能力，通過原子化的方式將其集成到邊緣云上，從而推出了ESA。這極大地解決了邊緣云所面對的安全問題，也進一步保障了用戶在線業務的安全和穩定。期待ESA繼續圍繞用戶需求，為在線業務提供更為豐富、安全的邊緣云服務。