隨著越來越多的用戶將傳統(tǒng)的業(yè)務(wù)系統(tǒng)遷移至虛擬化環(huán)境或者一些云服務(wù)商提供的云平臺中,而目前眾多云平臺企業(yè)關(guān)注的更多是基礎(chǔ)實(shí)施的完善和業(yè)務(wù)的開展,對于安全層面的關(guān)注較少。云平臺存在網(wǎng)站多、環(huán)境復(fù)雜的問題,同時(shí)也面臨大量的Web安全以及數(shù)據(jù)安全問題,其遭受著最新的Web攻擊安全威脅。Web應(yīng)用攻擊作為一種新的攻擊技術(shù),其在迅速發(fā)展過程中演變出各種各樣、越來越復(fù)雜的攻擊手法。新興的Web應(yīng)用攻擊給Web系統(tǒng)帶來了巨大的安全風(fēng)險(xiǎn)。
安全問題尤其在云平臺中更加突出,云平臺中有不同行業(yè)的云租戶,不同的云租戶對于安全的需求也不一樣,游戲和電商用戶關(guān)注CC攻擊、信息泄露、后門控制、同行惡意攻擊等安全風(fēng)險(xiǎn),金融用戶關(guān)注信息泄露、跨站腳本等安全風(fēng)險(xiǎn),政務(wù)用戶關(guān)注網(wǎng)頁掛馬、Webshell、頁面被篡改等安全風(fēng)險(xiǎn)。
根據(jù)不同云租戶的Web應(yīng)用安全需求,本文提供了基于虛擬化的云WAF解決方案,幫助用戶解決面臨的Web攻擊(跨站腳本攻擊、注入攻擊、緩沖區(qū)溢出攻擊、Cookie假冒、認(rèn)證逃避、表單繞過、非法輸入、強(qiáng)制訪問)、頁面篡改(隱藏變量篡改、頁面防篡改)和CC攻擊等安全問題。
云環(huán)境Web應(yīng)用安全解決方案
在傳統(tǒng)數(shù)據(jù)中心機(jī)房中可將安全設(shè)備隨意插入到用戶網(wǎng)絡(luò)中,而在云網(wǎng)絡(luò)中采用虛擬化,用戶的應(yīng)用節(jié)點(diǎn)甚至可遷移到不同的計(jì)算節(jié)點(diǎn)上, WAF無法通過傳統(tǒng)的盒子方式進(jìn)行部署。
1、公有云解決方案
為公有云租戶提供安全解決方案,需要考慮方案的便利性、通用性和可實(shí)施性,下面的WAF虛擬化解決方案,通過把WAF的安全檢測模塊以鏡像的方式作為應(yīng)用發(fā)布在應(yīng)用市場(VWAF),用戶像選擇手機(jī)APP一樣方便選擇VWAF。
用戶所有操作簡便快捷,均由用戶自行操作,VWAF提供管理接口,用戶可自行登陸到VWAF管理平臺上配置策略和查看攻擊趨勢、報(bào)表數(shù)據(jù)、設(shè)備狀態(tài)等信息,用戶只要4步操作即可完成整個(gè)VWAF的部署:
方案優(yōu)勢:
■支持市面上主流虛擬化環(huán)境和云環(huán)境,只需安裝在指定的操作系統(tǒng)上即可;
■保留傳統(tǒng)WAF所有功能和特性,可滿足不同云租戶的安全需求;
■部署簡便快捷,云租戶上手快;
■VWAF性能損耗小,經(jīng)ucloud云環(huán)境虛擬主機(jī)測試,性能較硬件WAF幾乎沒有損耗;
■云租戶使用成本低廉,可按需購買。
2、私有云解決方案
針對私有云數(shù)據(jù)大集中、高效、彈性空間等特點(diǎn),我們可以采用云WAF清洗中心方案,通過WAF虛擬化+集群方式進(jìn)行部署,云計(jì)算中心的前端LB將業(yè)務(wù)流量分發(fā)到多臺VWAF,即使是在沒有LB的情況下,也可以將VWAF切換為LB,然后將業(yè)務(wù)流量先轉(zhuǎn)發(fā)到VWAF-LB 上,由LB分發(fā)給多個(gè)VWAF進(jìn)行清洗后,再重新發(fā)回LB,LB再統(tǒng)一轉(zhuǎn)發(fā)給后端Web服務(wù)器。云WAF清洗中心物理示意圖如下:
云安全管理中心同時(shí)管理對LB和VWAF集群進(jìn)行集中管理,云安全管理中心根據(jù)用戶的需求負(fù)責(zé)對業(yè)務(wù)流量進(jìn)行牽引,確保檢測的流量能到達(dá)LB,同時(shí)云安全管理中心負(fù)責(zé)對多臺VWAF下發(fā)策略,可精細(xì)到不同云租戶配置的策略組和例外策略,VWAF定期將日志和報(bào)告輸送到云安全管理中心。
此方案作為整個(gè)云平臺的總體安全方案,目前已用于私有云計(jì)算中心中。
方案優(yōu)勢:
■支持市面上主流虛擬化環(huán)境和云環(huán)境,只需安裝在指定的操作系統(tǒng)上即可;
■一旦完成部署后,后面的維護(hù)相對簡單,擴(kuò)容通常只需要新增VWAF即可。資源也能得到充分的利用;
■VWAF集群方案,具備數(shù)據(jù)大集中、高效、彈性等特性;
■私有云租戶只需關(guān)注自身的業(yè)務(wù)即可,無需專注于安全建設(shè),只需定時(shí)關(guān)注Web安全報(bào)表信息;
■防護(hù)策略精細(xì)化,可針對不同云租戶區(qū)分配置和例外配置;
■云租戶使用成本低廉,可按需購買。