9月16日，Distributed Cloud｜2021全球分布式云大会在上海举办，京东云安全产品部总监肖思兴出席主论坛，做《京东云星盾：分布式云上应用安全交付实践》的主题分享，同时京东云星盾凭借在安全防护、应用加速方面领先的一站式解决能力，荣获“分布式云最佳产品奖”。

在云安全领域，京东云围绕云的产品架构，从边界、业务、系统、开发运维以及安全运营管理等方面推出了数款企业级的安全产品。除此之外，京东云还提供专业的安全服务，帮助客户做等保合规、风险评估、安全众保、安全培训等业务，以下为现场分享内容。

01 多云及云边计算相结合的方式

将会是未来应用架构的发展趋势

从云技术与生态发展来看

云首先提供的是资源，包括计算、存储、网络资源，实现快速交付，按需付费，弹性扩容等功能，帮助企业从CAPEX到OPEX转变，降低运营成本。除此之外，云还是一个企业应用的运行环境，在企业上云之后，除了使用资源同时还需要用到大量的PaaS中间件产品，这些产品有些是基于开源软件提供的托管式产品服务，有些是云厂商自研的PaaS产品。企业在使用这些PaaS产品的时候，就需要集成SDK，实际上企业在开发应用的时候，是针对一个云来做的开发应用，当应用运行在一朵云上想迁移到其他云上的时候，成本会非常高，需要对业务应用系统进行重构，这就是单云锁定的问题。

现如今，我们看到除了云厂商做了PaaS产品服务以外，还有很多开源软件原厂提供云上托管式的PaaS产品和服务。除此之外，还有很多实力出众的公司也在主流云平台上提供PaaS产品和服务，帮助企业客户在云上提供统一一致的运行环境。

另外随着很多企业采用容器化技术来进行交付部署，使用K8S来进行编排管理，K8S帮助大家屏蔽了各个云底层不一致的情况，可以帮助企业快速进行多云之间的应用部署，真正做到一次编译构建，然后到处运行。

从企业业务发展需求来看

在采用多云战略后引入多个供应商，有利于企业获得更具性价比的产品以及更好的服务。对于企业来讲，为了快速地将产品推向市场，而对于所需的技术，企业不可能都是自己来构建，例如要做一个直播聊天的应用，会使用到云厂商的推流，转码，分发以及消息系统等产品，企业在选择合作伙伴的时候，更多地可以从合作伙伴的自身优势与企业业务需求角度考虑，帮助快速完成应用系统搭建以及迭代，在此过程中，甚至企业可以要求这些供应商帮助进行定制化的开发。

另一个好处是有利于业务服务稳定性，如果应用能够快速在多云间快速切换，那么在面对云厂商的产品故障时，可以主动地采取措施恢复服务，把企业损失降低到最小，而不是被动地等待云厂商服务恢复。

02 多云与云边结合的软件架构

需要低时延的SaaS化应用交付服务

应用交付首先是要做应用路由，将前端用户请求转发到后端业务系统上，现在的互联网后端架构，通常会有多很多个后端业务系统来支撑一个前端应用，系统间采用松耦合架构，方便快速地迭代开发。当业务集群部署到多云后，带来网络边界消失，那么采用中心化的应用交付将会带来显著的延时。

其次是负载均衡，包括业务系统集群内以及集群间的负载均衡，采用单元化部署后，负载均衡除了将请求分发到后端集群上以实现集群内或集群间服务器的负载相当，甚至还要根据业务逻辑来做，比如按用户维度切分。类似这种需求使用通用的标品很难满足需求，这时候就需要应用交付产品具备灵活可编程能力。

然后是内容渲染，为了不断提升页面的加载速度，页面渲染走过了从服务端渲染（SSR）转变到通过端上内容渲染与CDN相结合的方式，通过把动静态内容分离，使用CDN技术将静态内容分发到边缘节点，用户端加载完静态内容后，再从中心服务器拉取动态内容，通过javascript完成内容页面填充渲染。通过SSR升级到CDN+CSR（Client Side Render）虽然首包时延得很了显著改善，但还是会出现白屏的问题。随着边缘计算技术的发展，页面渲染回到服务端将是一个趋势，在边缘侧完成整个内容渲染，无论从时延还是安全性方面都有显著提升，真正实现秒开的效果，大幅提升用户端的体验。

最后还要保障应用系统安全，来自互联网上的攻击导致企业业务中断以及数据丢失的安全事件层出不穷，为保障业务的可持续性以及数据安全，企业对南北向的安全攻击防护需求非常强烈，同时随着企业应用部署到多云上，传统的网络边界消失，这时就需要有边缘访问安全防护的产品，给企业提供一个统一的、一致的安全体验，帮助落实企业安全策略，提升安全运营和响应效率。同时在保障安全的同时，不影响整个业务的体验。

03 京东云星盾

混合云应用安全实践

京东云星盾：新一代分布式安全防护架构

京东云星盾是为混合云多云应用打造的一站式SaaS应用交付平台，每个边缘节点均部署完全一致的软件栈，无需代理实现安全防护、全站加速、应用路由负载均衡以及边缘计算等功能。

相比过去的中心化的应用交付，服务部署在边缘节点，具有时延低，体验好，以及灵活可编程等特点，在保障安全的同时，不牺牲用户体验，由于更靠攻击源完成防护，防护成本更低，同时可以帮助企业节省大量的带宽以及计算成本。

在安全防护这块，产品提供了Web防火墙（WAF），SSL证书，反爬（BotManager）以及DDoS防护等功能，WAF集成了丰富的安全防护规则，同时也支持用户自定义规则，产品能力进行了Gartner的第一象限。针对网络层的DDoS攻击，集成了京东云高防服务，具备Tbps防护能力同，针对应用层的CC防护，使用WAF的Ratelimit功能结合BotManager，可以精准地对机器人发起的请求进行过滤以及人机验证功能。

BotManager: 业内领先的BOT机器人识别技术，有效保护企业数据

要做到精准的机器人识别，技术挑战非常大，京东云星盾引入行为分析、机器学习手段，以及通过大量的用户访问数据来训练得到这个模型。该模型针对每个请求会打分，这个分值越高，说明机器人的概率越大。在接入一段时间后，在产品控制面板上会显示出历次请求的分布情况，这对后续进行安全规则设置的时候，就可以首先评估规则的影响范围，避免设置不当导致大量的客诉。目前botmanger和WAF以及Worker产品集了深度集成，在这2个产品上可以使用分值来进行进一步的处置，例如过滤，二次人机验证等功能。

Worker：京东云星盾边缘函数计算平台

京东云星盾集成了边缘函数计算功能（Worker），基于Worker这个产品，企业可以根据需求编程实现定制路由，负载均衡，内容渲染，安全防护等功能。这些程序运行在边缘节点上，触发这些程序运行有两种方式，一种通过HTTP请求，还有一种设置一个定时任务方式。

对于函数计算，大家普遍关心安全隔离以及冷启动时延的问题。对于安全隔离，Worker产品利用沙箱技术，把风险暴露面降到最小。在冷启动方面，Worker产品可以做到零时延，在业内属于领先水平；同时支持主流的开发语言，像Javascript、Python、PHP、Rust、C/C++等。

SSL：帮助企业实现一站式全站HTTPS升级改造

用户流量切到京东云星盾后，企业不需要购买数字证书，代码不需要进行修改，京东云星盾会给客户提供免费的品牌证书，同时自动识别页面中的URL链接进行重写，可以自动识别，完成全站HTTPS的改造。

京东云星盾是一款面向混合多云而生的内容加速与安全防护平台，可以帮助部署在多云上应用高效，安全地完成应用路由、负载均衡、安全防护、内容加速等功能。无关企业应用部署位置，不管是在私有云，京东云还是其他公有云上，都可以使用。

- End -