7月30日,以“护航数字文明,开创数字安全新时代”为主题的2022全球数字经济大会——数字安全峰会暨ISC 2022互联网安全大会开幕式在北京开幕。全国工商联党组副书记、副主席樊友山出席并致辞。

樊友山表示,“数字经济在突破传统生产要素的流动限制,促进市场效率的同时,也带来了不容忽视的信息安全问题,这就要求我们必须筑牢数字安全屏障。应积极推动数字安全技术新发展,发挥市场主体新作用,完善新规则,助力构筑数字经济安全新长城。”

图片1.png全国工商联党组副书记、副主席樊友山

当前,我国正进入数字化转型、智能化升级的关键时期。数字安全形势较过往发生了重大变化,防御理念、防御体系、防御技术都亟待变革。

对此,樊友山提出网络安全企业助力数字安全建设的三个关键点。网络安全龙头企业要发挥自身技术、人才优势和技术创新主体作用,开展数字安全基础理论创新、重大问题研究和核心技术攻关,助力数字安全技术创新发展。广大网络安全企业要提高政治站位,牢固树立总体国家安全观,加强与政府部门、产业链上下游企业协同,共同维护国家网络空间主权、兼顾安全和发展。各网络安全企业作为护网主力,要加强对网络安全产业发展规律的认识,积极推动网信领域法律法规不断完善,积极参与网络空间国际标准规则制定,助力形成良性的数据安全治理体系。

7月30日,以“护航数字文明,开创数字安全新时代”为主题的2022全球数字经济大会——数字安全峰会暨ISC 2022互联网安全大会开幕式在北京开幕。全国工商联党组副书记、副主席樊友山出席并致辞。

樊友山表示,“数字经济在突破传统生产要素的流动限制,促进市场效率的同时,也带来了不容忽视的信息安全问题,这就要求我们必须筑牢数字安全屏障。应积极推动数字安全技术新发展,发挥市场主体新作用,完善新规则,助力构筑数字经济安全新长城。”

图片1.png全国工商联党组副书记、副主席樊友山

当前,我国正进入数字化转型、智能化升级的关键时期。数字安全形势较过往发生了重大变化,防御理念、防御体系、防御技术都亟待变革。

对此,樊友山提出网络安全企业助力数字安全建设的三个关键点。网络安全龙头企业要发挥自身技术、人才优势和技术创新主体作用,开展数字安全基础理论创新、重大问题研究和核心技术攻关,助力数字安全技术创新发展。广大网络安全企业要提高政治站位,牢固树立总体国家安全观,加强与政府部门、产业链上下游企业协同,共同维护国家网络空间主权、兼顾安全和发展。各网络安全企业作为护网主力,要加强对网络安全产业发展规律的认识,积极推动网信领域法律法规不断完善,积极参与网络空间国际标准规则制定,助力形成良性的数据安全治理体系。

IVANTIAVALANCHE是美国Ivanti公司的一套企业移动设备管理系统。该系统主要用于管理智能手机、平板电脑等设备。2021年该系统就出现过,权限许可和访问控制问题漏洞,该漏洞存在于读取存储的头像图片位置,未进行限制格式与目录,造成了任意文件读取。

经综合分析,IvantiAvalancheWeb应用程序中会出现三个漏洞链:

ZDI-21-1298(CVE-2021-42124):会话接管漏洞,需要用户交互。

ZDI-21-1300(CVE-2021-42126):权限提升漏洞,允许攻击者获得管理权限。

ZDI-21-1299(CVE-2021-42125):远程代码执行漏洞,可以从管理员帐户级别利用。

后来,研究人员发现了一些关于IvantiAvalanche的有趣事实:

· 它的目录中包含多个XStream1.4.12jar包。

· 它实现了多个ObjectGraph类,这些类封装了XStream序列化程序。

其中一些类定义了允许反序列化的类的允许列表,而其他类则缺少这样的允许列表。

这让研究人员怀疑产品中存在多个不受信任的反序列化漏洞。但是,我还不能确定如何访问那些反序列化例程。经过进一步研究,研究人员发现了更多零日漏洞。

识别IvantiAvalanche服务

首先,让我们看一下Avalanche服务:

1.png

IvantiAvalanche服务

我们发现我们正在处理TomcatWeb应用程序以及其他服务,“Wavelink信息路由器”似乎是其中最有趣的。

在这个阶段,一切似乎都很复杂。正因为如此,我使用了以下方法来获得更多的分析:

· 网络流量分析;

· 静态分析;

· 日志文件分析;

不一会儿,我们就会看到AvalancheWeb应用程序似乎无法自行执行任务,甚至无法进行登录操作。但是,它可以自由地使用不同的服务来执行任务。信息路由器,也称为InfoRail服务,位于两者之间,负责服务之间的消息传播。InfoRail服务默认侦听TCP端口0.0.0.0:7225。

2.png

服务间通信

从上图可以看出,通信流很简单。Web后端创建一条消息并将其发送给informail服务,后者将其转发到适当的目标服务。目标服务处理消息并将响应返回给Web后端,同样是通过informail服务。在默认安装中,所有这些服务都运行在同一台主机上。但是,可以将其中一些服务放置在远程计算机上。

另一方面,要获得有关消息的更详细信息并不容易。网络流量分析没有多大用处,因为消息似乎被混淆或加密了。为了更多地了解它们,我不得不进行详细的代码分析。

以下部分概述了InfoRail协议以及所需的所有基础知识:

· 重新创建协议和消息。

· 了解其基础知识。

· 了解有效载荷传递机制。

I· nfoRail协议基础知识

一个典型的informail消息包含三个主要部分:

· 序言;

· 标头;

· 可选的XML有效负载;

下图展示了一个消息结构:

3.png

息结构

InfoRail序言

序言的长度总是24字节。它由以下部分组成:

· 字节1-4:整个消息的长度。

· 字节5-8:标头的长度。

· 字节9-12:有效负载的长度。

· 字节13-16:未压缩有效载荷的长度(可以选择压缩有效载荷)。

· 字节17-20:消息ID(通常是从1开始递增的数字)。

· 字节21:协议版本(通常为0x10)。

· 字节22-23:保留•字节24:加密标志(有效载荷和报头可以选择加密)-0或1。

InfoRail标头

典型的消息头由多个键及其对应的值组成。这些键和值以以下方式包含在标头中:

· 3个空字节。

· 0x02字节。

· 3个空字节。

· 1个字节,提供密钥的长度(例如0x08)。

· 3个空字节。

· 1个字节,提供值的长度(例如0x06)。

· 键+值。

下面是一个key和value的例子:

\x00\x00\x00\x02\x00\x00\x00\x08\x00\x00\x00\x06h.msgcat999999

如前所述,标头可以包含多个键。大多数或所有消息中出现的最重要的是:

· h.msgcat——在典型请求中,它等于10(请求)。

· h.msgsubcat——有关请求类型的信息,因此它对于有效负载处理至关重要。

· h.msgtag——通常存储JSESSIONID cookie,尽管没有发现验证此cookie的方法,因此该值可以是随机的。

· h.distlist——指定InfoRail将消息转发到的一个或多个服务;

由于可以应用可选的加密,标头必须用空字节填充到16字节的倍数。

有效载荷

如前所述,大多数消息都包含XML有效负载。XStream序列化器用于有效负载序列化和反序列化操作。

根据目标服务和消息子类别,可以传输不同的序列化对象。但是,在大多数情况下,我们处理的是RequestPayload对象。以下代码段提供了在身份验证操作期间发送的XML示例。在本例中,AvalancheWeb后端将此XML发送到EnterpriseServer服务,然后验证用户凭据。

RequestPayload.xml

4.png

如你所见,此消息包含一个序列化的UserCredentials对象,该对象由loginName、加密密码、域和clientIpAddress组成。你还可以看到RequestPayload包含Webcookie(sessionId)。但是,此cookie从未经过验证,因此可以将其设置为任何MD5哈希值。由于可以选择对有效负载进行加密和压缩,因此必须将其填充为16字节的倍数。

通常,每个服务都实现自己的ObjectGraph类,该类定义并配置XStream序列化程序的实例。下面是一个示例实现的片段:

ObjectGraphPart.java

5.png

当服务接收到XML有效负载时,它会使用ObjectGraph.fromXML方法对其进行反序列化。

加密

正如前面提到的,可以对消息的标头和有效负载进行加密。此外,有效载荷可以被压缩。inforeail不使用SSL/TLS加密协议。相反,它使用硬编码的加密密钥手动应用加密算法。

由于加密算法和加密密钥都可以从源代码中提取,所以潜在的攻击者可以毫无障碍地同时进行解密和加密操作。

转发信息

InfoRail服务需要知道将收到的消息转发到哪里。此信息存储在消息标头的h.distlist键中。可以使用的值存储在IrConstants类中。以IR_TOPIC开头的变量定义了可以转发消息的服务。以下代码片段显示了几个硬编码变量:

DistributionVariables.java

6.png

如果发件人希望将消息转发到许可证服务器,则h.distlist值必须设置为255.3.2.8。

消息处理和子类别

这可能是协议描述中最重要的部分。如前所述,消息类别包含在h.msgsubcat键下的消息标头中。如下面代码片段的最后一行所示,服务保护自己免受未知消息的处理,如果提供的消息子类别未实现,则删除该消息。

根据服务的不同,消息处理的实现方式可能略有不同。在这里,我们将简要介绍一下Avalanche通知服务器。以下代码片段表示MessageDispatcher类中的processMessage方法:

processMessage.java

7.png

在[1]处,从标头中检索消息子类别。然后,它被传递给MessageProcessorVector.getProcessor方法以获取对适当消息处理程序的引用。

在[2]处,switch-case语句开始。

如果类别等于10(请求),则在[3]处调用processInfoRailRequest方法。它的参数包含在步骤[1]中检索到的处理程序。我们可以在这里快速浏览一下这个方法:

processInfoRailRequest.java

8.png

基本上,如果处理程序不为空,代码将调用handler.ProcessMessage方法。

最后,我们必须研究如何检索处理程序。最重要的部分如下:

MessageProcessorVector.java

9.png

在[1]处,定义了HashMap

在[2]和后续行中,代码调用setProcessor方法。它接受消息子类别整数和实现IMessageProcessor的相应对象,例如AnsCredentialsHandler。

在[3]处,定义了setProcessor方法。它将子类别和适当的对象插入到[1]中定义的HashMap中。

在[4]处,getProcessor根据提供的子类别检索处理程序。

总而言之,有一个HashMap存储消息子类别及其对应的处理程序对象。如果我们向AvalancheNotificationServer发送子类型等于3706的消息,则会调用AnsTestHandler.processMessage方法。

让我们看一个消息处理程序的示例,AnsTestHandler:。

AnsTestHandler.java

10.png

在[1]处,定义了SUBCATEGORY变量。消息处理器定义这样一个变量是很常见的。

在[2]处,定义了processMessage方法。

在[3]处,它从消息中检索XML有效负载。

在[4]中,它使用ObjectGraph.fromXML方法反序列化有效负载。然后它将它转换为AnsTestPayload,尽管转换发生在反序列化之后。据此,如果ObjectGraph没有实现任何额外的保护(例如白名单),我们应该可以在这里实现攻击。

成功!我们已经确定了消息处理例程。此外,我们能够快速将子类别映射到将处理我们的消息的相应代码片段。现在看来,我们应该能够创建自己的信息。

IVANTIAVALANCHE是美国Ivanti公司的一套企业移动设备管理系统。该系统主要用于管理智能手机、平板电脑等设备。2021年该系统就出现过,权限许可和访问控制问题漏洞,该漏洞存在于读取存储的头像图片位置,未进行限制格式与目录,造成了任意文件读取。

经综合分析,IvantiAvalancheWeb应用程序中会出现三个漏洞链:

ZDI-21-1298(CVE-2021-42124):会话接管漏洞,需要用户交互。

ZDI-21-1300(CVE-2021-42126):权限提升漏洞,允许攻击者获得管理权限。

ZDI-21-1299(CVE-2021-42125):远程代码执行漏洞,可以从管理员帐户级别利用。

后来,研究人员发现了一些关于IvantiAvalanche的有趣事实:

· 它的目录中包含多个XStream1.4.12jar包。

· 它实现了多个ObjectGraph类,这些类封装了XStream序列化程序。

其中一些类定义了允许反序列化的类的允许列表,而其他类则缺少这样的允许列表。

这让研究人员怀疑产品中存在多个不受信任的反序列化漏洞。但是,我还不能确定如何访问那些反序列化例程。经过进一步研究,研究人员发现了更多零日漏洞。

识别IvantiAvalanche服务

首先,让我们看一下Avalanche服务:

1.png

IvantiAvalanche服务

我们发现我们正在处理TomcatWeb应用程序以及其他服务,“Wavelink信息路由器”似乎是其中最有趣的。

在这个阶段,一切似乎都很复杂。正因为如此,我使用了以下方法来获得更多的分析:

· 网络流量分析;

· 静态分析;

· 日志文件分析;

不一会儿,我们就会看到AvalancheWeb应用程序似乎无法自行执行任务,甚至无法进行登录操作。但是,它可以自由地使用不同的服务来执行任务。信息路由器,也称为InfoRail服务,位于两者之间,负责服务之间的消息传播。InfoRail服务默认侦听TCP端口0.0.0.0:7225。

2.png

服务间通信

从上图可以看出,通信流很简单。Web后端创建一条消息并将其发送给informail服务,后者将其转发到适当的目标服务。目标服务处理消息并将响应返回给Web后端,同样是通过informail服务。在默认安装中,所有这些服务都运行在同一台主机上。但是,可以将其中一些服务放置在远程计算机上。

另一方面,要获得有关消息的更详细信息并不容易。网络流量分析没有多大用处,因为消息似乎被混淆或加密了。为了更多地了解它们,我不得不进行详细的代码分析。

以下部分概述了InfoRail协议以及所需的所有基础知识:

· 重新创建协议和消息。

· 了解其基础知识。

· 了解有效载荷传递机制。

I· nfoRail协议基础知识

一个典型的informail消息包含三个主要部分:

· 序言;

· 标头;

· 可选的XML有效负载;

下图展示了一个消息结构:

3.png

息结构

InfoRail序言

序言的长度总是24字节。它由以下部分组成:

· 字节1-4:整个消息的长度。

· 字节5-8:标头的长度。

· 字节9-12:有效负载的长度。

· 字节13-16:未压缩有效载荷的长度(可以选择压缩有效载荷)。

· 字节17-20:消息ID(通常是从1开始递增的数字)。

· 字节21:协议版本(通常为0x10)。

· 字节22-23:保留•字节24:加密标志(有效载荷和报头可以选择加密)-0或1。

InfoRail标头

典型的消息头由多个键及其对应的值组成。这些键和值以以下方式包含在标头中:

· 3个空字节。

· 0x02字节。

· 3个空字节。

· 1个字节,提供密钥的长度(例如0x08)。

· 3个空字节。

· 1个字节,提供值的长度(例如0x06)。

· 键+值。

下面是一个key和value的例子:

\x00\x00\x00\x02\x00\x00\x00\x08\x00\x00\x00\x06h.msgcat999999

如前所述,标头可以包含多个键。大多数或所有消息中出现的最重要的是:

· h.msgcat——在典型请求中,它等于10(请求)。

· h.msgsubcat——有关请求类型的信息,因此它对于有效负载处理至关重要。

· h.msgtag——通常存储JSESSIONID cookie,尽管没有发现验证此cookie的方法,因此该值可以是随机的。

· h.distlist——指定InfoRail将消息转发到的一个或多个服务;

由于可以应用可选的加密,标头必须用空字节填充到16字节的倍数。

有效载荷

如前所述,大多数消息都包含XML有效负载。XStream序列化器用于有效负载序列化和反序列化操作。

根据目标服务和消息子类别,可以传输不同的序列化对象。但是,在大多数情况下,我们处理的是RequestPayload对象。以下代码段提供了在身份验证操作期间发送的XML示例。在本例中,AvalancheWeb后端将此XML发送到EnterpriseServer服务,然后验证用户凭据。

RequestPayload.xml

4.png

如你所见,此消息包含一个序列化的UserCredentials对象,该对象由loginName、加密密码、域和clientIpAddress组成。你还可以看到RequestPayload包含Webcookie(sessionId)。但是,此cookie从未经过验证,因此可以将其设置为任何MD5哈希值。由于可以选择对有效负载进行加密和压缩,因此必须将其填充为16字节的倍数。

通常,每个服务都实现自己的ObjectGraph类,该类定义并配置XStream序列化程序的实例。下面是一个示例实现的片段:

ObjectGraphPart.java

5.png

当服务接收到XML有效负载时,它会使用ObjectGraph.fromXML方法对其进行反序列化。

加密

正如前面提到的,可以对消息的标头和有效负载进行加密。此外,有效载荷可以被压缩。inforeail不使用SSL/TLS加密协议。相反,它使用硬编码的加密密钥手动应用加密算法。

由于加密算法和加密密钥都可以从源代码中提取,所以潜在的攻击者可以毫无障碍地同时进行解密和加密操作。

转发信息

InfoRail服务需要知道将收到的消息转发到哪里。此信息存储在消息标头的h.distlist键中。可以使用的值存储在IrConstants类中。以IR_TOPIC开头的变量定义了可以转发消息的服务。以下代码片段显示了几个硬编码变量:

DistributionVariables.java

6.png

如果发件人希望将消息转发到许可证服务器,则h.distlist值必须设置为255.3.2.8。

消息处理和子类别

这可能是协议描述中最重要的部分。如前所述,消息类别包含在h.msgsubcat键下的消息标头中。如下面代码片段的最后一行所示,服务保护自己免受未知消息的处理,如果提供的消息子类别未实现,则删除该消息。

根据服务的不同,消息处理的实现方式可能略有不同。在这里,我们将简要介绍一下Avalanche通知服务器。以下代码片段表示MessageDispatcher类中的processMessage方法:

processMessage.java

7.png

在[1]处,从标头中检索消息子类别。然后,它被传递给MessageProcessorVector.getProcessor方法以获取对适当消息处理程序的引用。

在[2]处,switch-case语句开始。

如果类别等于10(请求),则在[3]处调用processInfoRailRequest方法。它的参数包含在步骤[1]中检索到的处理程序。我们可以在这里快速浏览一下这个方法:

processInfoRailRequest.java

8.png

基本上,如果处理程序不为空,代码将调用handler.ProcessMessage方法。

最后,我们必须研究如何检索处理程序。最重要的部分如下:

MessageProcessorVector.java

9.png

在[1]处,定义了HashMap

在[2]和后续行中,代码调用setProcessor方法。它接受消息子类别整数和实现IMessageProcessor的相应对象,例如AnsCredentialsHandler。

在[3]处,定义了setProcessor方法。它将子类别和适当的对象插入到[1]中定义的HashMap中。

在[4]处,getProcessor根据提供的子类别检索处理程序。

总而言之,有一个HashMap存储消息子类别及其对应的处理程序对象。如果我们向AvalancheNotificationServer发送子类型等于3706的消息,则会调用AnsTestHandler.processMessage方法。

让我们看一个消息处理程序的示例,AnsTestHandler:。

AnsTestHandler.java

10.png

在[1]处,定义了SUBCATEGORY变量。消息处理器定义这样一个变量是很常见的。

在[2]处,定义了processMessage方法。

在[3]处,它从消息中检索XML有效负载。

在[4]中,它使用ObjectGraph.fromXML方法反序列化有效负载。然后它将它转换为AnsTestPayload,尽管转换发生在反序列化之后。据此,如果ObjectGraph没有实现任何额外的保护(例如白名单),我们应该可以在这里实现攻击。

成功!我们已经确定了消息处理例程。此外,我们能够快速将子类别映射到将处理我们的消息的相应代码片段。现在看来,我们应该能够创建自己的信息。

根据人民日报今年5月份报导,越南数字经济总量约为210亿美元,约占国内生产总值的7.5%,已成为推动越南经济发展和产业转型的重要驱动力,越南将数字经济、数字政府和数字社会作为建设数字化国家的三大支柱。此外,越南出台了多项优惠政策,还将数字经济列为外资优先投资领域。据越通社报导,在今年的越南-亚洲数字化转型论坛,越南着重强调协调整个政治系统、各部委、行业和地方政府等促进数字化转型进程。越南对数

根据人民日报今年5月份报导,越南数字经济总量约为210亿美元,约占国内生产总值的7.5%,已成为推动越南经济发展和产业转型的重要驱动力,越南将数字经济、数字政府和数字社会作为建设数字化国家的三大支柱。此外,越南出台了多项优惠政策,还将数字经济列为外资优先投资领域。据越通社报导,在今年的越南-亚洲数字化转型论坛,越南着重强调协调整个政治系统、各部委、行业和地方政府等促进数字化转型进程。越南对数

根据人民日报今年5月份报导,越南数字经济总量约为210亿美元,约占国内生产总值的7.5%,已成为推动越南经济发展和产业转型的重要驱动力,越南将数字经济、数字政府和数字社会作为建设数字化国家的三大支柱。此外,越南出台了多项优惠政策,还将数字经济列为外资优先投资领域。据越通社报导,在今年的越南-亚洲数字化转型论坛,越南着重强调协调整个政治系统、各部委、行业和地方政府等促进数字化转型进程。越南对数

黑客入侵乌克兰广播电台传播乌克兰总统Zelenskiy虚假消息。

7月21日,乌克兰传媒公司TAVR Media发布官方公告称,黑客对TAVR Media广播电台的服务器和网络进行了网络攻击,并利用TAVR Media的网络传播了关于乌克兰总统Zelenskiy病危的虚假消息。

据乌克兰国家特殊通信和信息保护局(SSCIP)消息,TAVR Media网络运营者9个主要的乌克兰广播电台,包括Hit FM、Radio ROKS、KISS FM、Radio RELAX、Melody FM、Nashe Radio、Radio JAZZ、Classic Radio和 Radio Bayraktar。

SSSCIP称,攻击者入侵了TAVR Media的服务器和广播系统,并传播乌克兰总统病危、议会主席Ruslan Stefanchuk将暂代总统位置的虚假消息。

随后,Zelenskiy在其官方Instagram账号发布视频(https://www.instagram.com/p/CgRjvSHoty1/),称其在办公室,健康状态非常好,并称他不是一个人,他背后有4000万乌克兰民众,而且44岁不是70岁(暗讽普京)。此次网络攻击和虚假信息传播背后被认为是俄罗斯相关的黑客。

此前,Deepfakes(深度伪造)技术也被用于传播虚假新闻。2022年3月,俄罗斯入侵乌克兰后,Facebook曾删除一个关于Zelenskyy的质量非常差、也非常不可信的深度伪造视频,视频中Zelenskyy要求乌克兰军队放下武器并投降。该视频最初分享在被黑的Ukraine 24网站上,随后在其他被黑的乌克兰新闻网站上传播。

黑客入侵乌克兰广播电台传播乌克兰总统Zelenskiy虚假消息。

7月21日,乌克兰传媒公司TAVR Media发布官方公告称,黑客对TAVR Media广播电台的服务器和网络进行了网络攻击,并利用TAVR Media的网络传播了关于乌克兰总统Zelenskiy病危的虚假消息。

据乌克兰国家特殊通信和信息保护局(SSCIP)消息,TAVR Media网络运营者9个主要的乌克兰广播电台,包括Hit FM、Radio ROKS、KISS FM、Radio RELAX、Melody FM、Nashe Radio、Radio JAZZ、Classic Radio和 Radio Bayraktar。

SSSCIP称,攻击者入侵了TAVR Media的服务器和广播系统,并传播乌克兰总统病危、议会主席Ruslan Stefanchuk将暂代总统位置的虚假消息。

随后,Zelenskiy在其官方Instagram账号发布视频(https://www.instagram.com/p/CgRjvSHoty1/),称其在办公室,健康状态非常好,并称他不是一个人,他背后有4000万乌克兰民众,而且44岁不是70岁(暗讽普京)。此次网络攻击和虚假信息传播背后被认为是俄罗斯相关的黑客。

此前,Deepfakes(深度伪造)技术也被用于传播虚假新闻。2022年3月,俄罗斯入侵乌克兰后,Facebook曾删除一个关于Zelenskyy的质量非常差、也非常不可信的深度伪造视频,视频中Zelenskyy要求乌克兰军队放下武器并投降。该视频最初分享在被黑的Ukraine 24网站上,随后在其他被黑的乌克兰新闻网站上传播。

7月29日,腾讯安全面向全球正式发布边缘安全加速平台Tencent Cloud EdgeOne,依托全球2800多个边缘节点和20多年安全技术积累,为企业打造安全防护、性能加速及相关技术支持的边缘一体化服务。该平台集成DNS解析、四层代理、站点加速、智能加速、DDoS防护、Web防护、Bot防护、负载均衡等十余项功能,致力于同时保障企业平台的安全稳定和用户体验,护航全球化企业及出海企业的数字化转型。这也是腾讯安全面向全球企业级市场发布的首款战略产品。

图片1.png

Tencent Cloud EdgeOne正式发布

腾讯云国际高级副总裁杨宝树表示,随着云计算、大数据、人工智能、区块链、Web3和物联网等技术的出现,企业的数字化转型已是大势所趋。依托腾讯自身服务10亿用户的安全业务运营经验,Tencent Cloud EdgeOne在保障用户安全的同时,可以为用户提供前所未有的高质量、高度可靠的网络体验。

腾讯云副总裁李郁韬表示,疫情加速企业向线上化互动场景迁移,提供线上服务的企业大多都面临着全球网络延时不稳定,以及各种不确定性攻击威胁的难题。线上企业急需更安全、更低时延的一站式接入服务,无需在“安全”和“性能”间二选一。此次腾讯云进一步将音视频RT-ONE网络和安全能力融合,正是致力于将腾讯20余年的安全技术积累在边缘为全球客户提供一站式服务,护航各行各业数字化发展。


全球2800多个边缘节点,提供十余项安全、加速功能

数字技术与实体经济不断融合发展过程中,各行各业对于网络服务的低时延、安全性、计算能力要求也在不断攀升。2021年,腾讯云发布了RT-ONE网络,整合了腾讯云实时通信网络(TRTC)、即时通信网络(IM)以及流媒体分发网络(CDN)三张网络,为业界最完整的音视频通信PaaS平台构建基座,打造一站式的音视频服务。

1659091482234.jpg 腾讯云副总裁李郁韬在Tencent Cloud EdgeOne发布会上发表演讲

腾讯云在RT-ONE网络的基础上注入安全能力,整合升级为Tencent Cloud EdgeOne,将能力下沉至最接近用户的边缘节点,提供全链路安全防护及加速服务。即日起,Tencent Cloud EdgeOne上线支持中国大陆境外地区服务,9月将支持中国大陆境内地区服务,为全球企业提供一站式的安全边缘加速服务。

据腾讯安全总经理程文杰介绍,Tencent Cloud EdgeOne在全球五大洲70多个地区部署了2800多个边缘节点,确保全球各地用户可以实现就近接入。同时,为了保障用户的使用体验,Tencent Cloud EdgeOne全球储备带宽160Tbps+,为数据高效传输和安全防护功能构建了强大的底层资源。

同时在L3/4/7(计算机7层模型中的网络层、传输层、应用层)提供加速服务和安全防护是Tencent Cloud EdgeOne的最大特色。在加速方面,Tencent Cloud EdgeOne可为企业提供业务的就近接入、静态数据就近访问、传输协议加速等丰富的加速服务,极大提升动静态业务访问速度,避免因网络拥堵、跨运营商、跨地域、跨境等因素带来的网络不稳定、访问延迟高等问题。

腾讯自研路径规划算法和自研智能丢包补偿方案,有效提升了全链路性能。经过实际测试,针对图片、视频等内容场景的访问,Tencent Cloud EdgeOne可以提升性能60%+;直接访问远端的数据中心时,性能提升33%。为了满足企业低延迟的需求,Tencent Cloud EdgeOne 还整合了DNS功能,服务容量1亿 QPS,满足大部分业务应用的需求。

安全方面,针对困扰大部分企业的DDoS难题,Tencent Cloud EdgeOne集成和整合了腾讯自研的DDoS产品能力,全球防护能力达到10T级,实现秒级过滤异常攻击流量,确保干净的数据可以高效返回业务源站,有效保护业务免受流量攻击的困扰;除此之外,Tencent Cloud EdgeOne还针对应用层的业务提供Web防护、Bot防护、CC攻击防护等全面的安全保障。

一体化的产品理念不仅体现在安全和加速能力的协同上,还体现在运维配置上。企业可以在Tencent Cloud EdgeOne一个控制台上,就可以同时查看安全和加速产品的所有配置和运行态势,便于问题的排查和解决,进一步节省企业的运维成本。同时,相比传统方案接入网站时需要十几步的操作步骤,Tencent Cloud EdgeOn仅需3步即可配置CDN、DDoS防护、Web防护、CC、Bot防护等功能

Tencent Cloud EdgeOne聚焦典型行业痛点,助力企业安心出海

Tencent Cloud EdgeOne整合腾讯优势技术和能力的同时,也积极倾听行业客户的需求,保障产品架构设计和底层能力贴合游戏、金融、票务、电子商务、音视频、差旅酒店等行业客户在出海过程中的个性化需求。据腾讯安全总经理程文杰介绍,Tencent Cloud EdgeOne目前已在全球多个行业的头部客户和典型场景中落地应用,成效显著。

电子商务行业经常遭受网络攻击,导致业务被迫中断,影响用户体验。某头部企业的在线交易平台,日均要进行包含用户账户管理、营销活动、计费分析等多模块的上千亿次操作,在Tencent Cloud EdgeOne的防护下,成功抵御峰值流量超过200万次的CC攻击,助力该客户实现了营销大促期间的零故障稳定运行。

而在同样追求加速和安全的线上点播业务中,某互联网视频平台经常遭遇用户体验不佳、恶意刷流量和内容盗版等一系列问题,以往需要多个产品的组合来孤立地解决,产品间缺乏联动。在接入Tencent Cloud EdgeOne后,成功地将视频首次播放时间缩短40%,资源响应耗时缩短50%,同时通过一站式的服务解决体验和安全两个问题,有效降低用户的学习成本,提高了解决问题的效率。

新游发布同样考验安全防护和加速体验。某大型游戏厂商的新游发布活动吸引了超百万用户参与,为了保障全球用户都能在第一时间访问这款新游。Tencent Cloud EdgeOne采取特定区域预加载的分布式策略,提供DDoS攻击防护、Web防护、速率限制以及机器人行为拦截等能力,最终助力该新游100% 下载成功,实现了业务零中断。

除此之外,在国内企业的出海浪潮中,加速和安全能力更是成为基础设施。在腾讯游戏海外DevOps总经理冯知一看来,当下出海是游戏企业业绩增长的重要支撑,对业务性能和安全防护也有更高的要求。Tencent Cloud EdgeOne将安全能力下沉至边缘的方案可以更好地满足游戏客户对于安全和加速的需求。

腾讯云副总裁李郁韬表示,未来Tencent Cloud EdgeOne将持续秉承技术先进、链接广泛、超低时延、数据优化、应用智能、安全保护的“ACROSS”理念,与全球伙伴一同构建最具想象力、最安全的边缘一体化安全加速服务。