产品文档

云安全白皮书

3. 存储与 CDN 服务

3.1 对象存储服务OSS

京东云对象存储(Object Storage Service,简称 OSS)是利用京东在分布式存储领域多年的深厚技术积累,为用户提供安全、稳定、海量、便捷的对象存储服务。提供简单方便的 RESTful 接口与方便易用的 SDK。提供包括文件上传、存储、下载、分发、在线处理在内的全系列产品,从几字节到数 TB 的数据,提供完整的存储方案。

· 访问控制

OSS提供权限控制 Bucket Policy,在创建存储空间的时候选择相应的权限控制,也可以在创建之后,在权限设置中修改 Bucket Policy。

· 防盗链机制

OSS 针对 Bucket 提供防盗链配置功能,为了减少用户存储于 OSS 的数据被其他人盗链而产生额外费用,OSS 支持设置基于 HTTP header 中表头字段 Referer 的防盗链方法。可通过控制台设置 Referer 字段的白名单,以约束访问来源。

· 跨域访问

跨源资源共享 CORS(Cross-Origin Resource Sharing )定义了在一个域中加载的用户端 Web 应用程序与另一个域中的资源交互的方式。这种机制让 Web 应用服务器能支持跨站访问控制,使跨站数据传输更加安全,减轻跨域 HTTP 请求的风险。OSS 提供 HTML5 协议中的跨域资源共享 CORS 设置,帮助用户实现跨域访问。

3.2 内容分发网络 CDN

京东云 CDN(Content Delivery Network),基于京东优质网络基础设施和智能云计算技术,向用户提供低成本、高性能、可扩展的互联网内容分发服务。利用广泛的节点覆盖和先进的云调度、云存储技术,将海量内容更快、更可靠地投递给互联网终端用户,降低网站运营成本,提升用户互联网应用体验。京东云 CDN 的前身是服务于京东商城的自建 CDN 平台,历经多年 618 和 11.11等大促业务活动考验,京东云 600+ 节点广泛覆盖于全国各区域和运营商,精选全网优质基础设施,边缘节点覆盖全网、全地域,真正实现就近接流、就近推流。

图 7 京东云内容分发网络节点示意图

CDN 在访问控制、安全协议与网络攻击防护方面实现了以下功能:

· Referer 防盗链

防盗链功能基于 HTTP 协议支持的 Referer 机制,通过 Referer 跟踪来源,对来源进行识别和判断,用户可以通过配置访问的 Referer 黑白名单来对访问者身份进行识别和过滤,从而限制 CDN 资源被访问的情况。

· URL 鉴权

URL 鉴权功能是通过京东云 CDN 加速节点与用户资源站点配合实现的一种更为安全可靠的源站资源防盗方法。由 CDN 用户站点提供给用户加密 URL(包含权限验证信息),用户使用加密后的 URL 向加速节点发起请求,加速节点对加密 URL 中的权限信息进行验证以判断请求的合法性,对合法请求给予正常响应,拒绝非法请求,从而有效保护 CDN 用户站点资源。

· IP 黑名单

当用户域名受到攻击或暴力访问时, IP 黑名单可以对来源 IP 做访问限制,拒绝其访问。

· 安全防护

提供 HTTPS 加密内容分发,及强大的抗 DDoS 攻击、CC 防护等安全防护能力。

· 安全审计

日志下载:支持对过去 30 天指定域名或全部域名访问日志的查询和下载,日志打包的时间周期可以是小时粒度或是天粒度。

访客分析:可分析指定时间范围内,访问量的地域分布,以及各地域的流量、访问量、流量占比、平均下载速度、首包响应时间、命中率等信息。

热点分析:支持对热点域名的流量、访问量及带宽查询分析。

更新时间:2020-04-28 20:48:26