4月底的Struts2 S2-032讓安全的江湖又掀起了一陣腥風(fēng)血雨,很多網(wǎng)站紛紛中招,被黑客入侵造成了各種重大損失。從歷史 Struts2 漏洞爆發(fā)數(shù)據(jù)看,此前每次漏洞公布都深度影響到了政府、銀行、證券、保險(xiǎn)等行業(yè),這次也不例外。網(wǎng)站的Web安全一直是一個(gè)大眾密切關(guān)注的方向,接下來(lái)我們聊聊這個(gè)話題。
Web應(yīng)用安全現(xiàn)狀
超過(guò)半數(shù)的網(wǎng)站W(wǎng)eb應(yīng)用數(shù)據(jù)遭受泄露、造成重大財(cái)務(wù)損失;
企業(yè)網(wǎng)站安全事件頻發(fā)、遭黑客勒索與競(jìng)爭(zhēng)對(duì)手惡意攻擊;
越來(lái)越多的網(wǎng)站開始將業(yè)務(wù)接入到云計(jì)算服務(wù)中、充分利用云的計(jì)算優(yōu)勢(shì)和便利;
網(wǎng)站的管理者都開始關(guān)注網(wǎng)站安全,會(huì)使用安全產(chǎn)品進(jìn)行防護(hù)。
企業(yè)面臨的挑戰(zhàn)
每天曝光的Web漏洞、危害性大、影響面廣,如何保持實(shí)時(shí)的更新?
不斷的收到大量的安全告警日志、但不知如何下手?
被第三方漏洞平臺(tái)曝光網(wǎng)站安全隱患,防不勝防?
海量肉雞攻擊下網(wǎng)站的頁(yè)面顯示很慢甚至無(wú)法打開、無(wú)能為力?
攻擊從傳統(tǒng)Web攻擊跨越到業(yè)務(wù)場(chǎng)景、如撞庫(kù)、抓取數(shù)據(jù)、短信接口濫用等,束手無(wú)策?
解決方案
WAF(Web應(yīng)用防火墻)作為一款成熟的網(wǎng)站防護(hù)產(chǎn)品、已成為企業(yè)為Web應(yīng)用提供安全防護(hù)的必備利器。它能夠抵御定向的Web技術(shù)攻擊、部分業(yè)務(wù)邏輯攻擊以及海量肉雞的惡意訪問(wèn)。通過(guò)對(duì)Web應(yīng)用的深入解析和檢測(cè), 能夠阻攔SQL注入、跨站腳本攻擊,阻止惡意掃描等常見Web攻擊并提供修補(bǔ)漏洞的能力。
云安全下的新特性
WAF作為一款傳統(tǒng)的安全防護(hù)產(chǎn)品,已經(jīng)發(fā)展多年。但近年來(lái),隨著云計(jì)算市場(chǎng)的火熱,WAF有了一種新的接入方式:云部署。通過(guò)簡(jiǎn)單的DNS記錄變更,將流量引入到云端防護(hù)集群,經(jīng)過(guò)安全防護(hù)檢測(cè)后,將安全流量回源到服務(wù)器。相比于傳統(tǒng)的防護(hù)手段,它有如下特點(diǎn):
產(chǎn)品+數(shù)據(jù)+運(yùn)營(yíng),三位一體綜合、實(shí)現(xiàn)最佳防護(hù)效果。傳統(tǒng)的安全防護(hù)模式僅是提供形形色色的產(chǎn)品。但絕不僅僅是買了個(gè)安全產(chǎn)品就搞定了一切。安全是需要不斷的大數(shù)據(jù)分析模型、自適應(yīng)的調(diào)整防護(hù)策略應(yīng)對(duì)不斷變化的安全趨勢(shì);需要不斷的對(duì)產(chǎn)品進(jìn)行精細(xì)化的運(yùn)營(yíng)。阿里云在數(shù)據(jù)和運(yùn)營(yíng)上有著先天的巨大優(yōu)勢(shì),客戶要做的,就是關(guān)于自身業(yè)務(wù),安全交給我們。
零部署、零安裝、五分鐘接入、快速穩(wěn)定。僅需簡(jiǎn)單的變更、無(wú)需繁瑣的機(jī)房布線、機(jī)器上架等操作、即可快速享受安全防護(hù)。同時(shí)多集群部署保障業(yè)務(wù)穩(wěn)定不受影響。
實(shí)時(shí)防護(hù)0day漏洞。云上安全專家實(shí)時(shí)監(jiān)控、針對(duì)漏洞的防護(hù)規(guī)則云端瞬時(shí)下發(fā)、無(wú)需傳統(tǒng)模式下的復(fù)雜升級(jí)流程。
防護(hù)能力自動(dòng)擴(kuò)展、與云上網(wǎng)站共享。云上用戶包括淘寶、支付寶等生成的防護(hù)規(guī)則,百萬(wàn)級(jí)的惡意IP信譽(yù)庫(kù)、惡意樣本等,均自動(dòng)覆蓋到您的網(wǎng)站。
集群彈性擴(kuò)容、輕松應(yīng)對(duì)海量業(yè)務(wù)下的防護(hù)。傳統(tǒng)的防護(hù)模式、很難滿足業(yè)務(wù)突增(如秒殺促銷活動(dòng))、海量肉雞攻擊的場(chǎng)景,而云計(jì)算時(shí)代下的彈性擴(kuò)容及大數(shù)據(jù)學(xué)習(xí)能力、將這些不可能都變成了過(guò)去。
在業(yè)務(wù)上,結(jié)合反欺詐、風(fēng)控、人機(jī)識(shí)別等相關(guān)技術(shù),在不修改應(yīng)用代碼的情況下,完美的實(shí)現(xiàn)防撞庫(kù)、防爬防抓、接口濫用等業(yè)務(wù)防護(hù)需求;在產(chǎn)品的結(jié)合上,無(wú)論是和CDN的聯(lián)動(dòng)打造安全的加速流量,還是和云解析的一鍵開通,無(wú)縫融合、滿足用戶業(yè)務(wù)的各種使用場(chǎng)景。
云WAF發(fā)展的新道路
誠(chéng)然,曾經(jīng)的云WAF也有被人詬病之處,比如說(shuō)攻擊者可以繞過(guò)WAF直接訪問(wèn)源站地址進(jìn)行定向攻擊;業(yè)務(wù)誤漏報(bào)后、不能很好的支持網(wǎng)站的規(guī)則自定義;數(shù)據(jù)的隱私泄露,HTTPS業(yè)務(wù)下私鑰的安全性等。但經(jīng)過(guò)這幾年技術(shù)的發(fā)展,這些都變成了歷史,不再是云WAF的弱點(diǎn)、取而代之的是下面的變革:
合規(guī)。積極的完成PCI-DSS認(rèn)證需求,滿足企業(yè)對(duì)數(shù)據(jù)安全性的要求。針對(duì)數(shù)據(jù)庫(kù)的注入抓取等非授權(quán)行為做到安全防護(hù),避免數(shù)據(jù)泄露。針對(duì)企業(yè)對(duì)HTTPS業(yè)務(wù)下的私鑰安全顧慮,推出Keysafe方案,無(wú)需上傳私鑰,同時(shí)支持對(duì)加密流量的安全防護(hù)。
嚴(yán)密。針對(duì)以往的指定源站IP進(jìn)行定向攻擊繞過(guò)、一方面可在源站服務(wù)器上做安全準(zhǔn)入控制、只允許云WAF的IP訪問(wèn),其余定向的訪問(wèn)一律禁止;另一方面將站點(diǎn)流量全部置身于云WAF的防護(hù)中、實(shí)現(xiàn)網(wǎng)站的隱身,避免真實(shí)地址的暴露。
省心。充分利用云計(jì)算的大數(shù)據(jù)優(yōu)勢(shì)、建立起網(wǎng)站的正常模型。能夠清晰的梳理出網(wǎng)站的正常業(yè)務(wù)請(qǐng)求模型、讓0day漏洞無(wú)從繞過(guò),正常的業(yè)務(wù)請(qǐng)求不被誤阻斷。網(wǎng)站接入初期開啟預(yù)警模式、保障線上業(yè)務(wù)的正常運(yùn)行、在最短時(shí)間內(nèi)讓網(wǎng)站維護(hù)者清晰的清楚業(yè)務(wù)誤漏報(bào)概況。
全面。高性能SSL支持,數(shù)據(jù)鏈路加密。防護(hù)能力更多的覆蓋到如撞庫(kù)、接口濫用、業(yè)務(wù)欺詐、風(fēng)控識(shí)別等業(yè)務(wù)場(chǎng)景中。
貼心。針對(duì)站點(diǎn)、URL等定制各種精細(xì)化的防護(hù)策略;提供友好可自定義的出錯(cuò)、攔截頁(yè)面;給予網(wǎng)站用戶最好的使用體驗(yàn)。一切皆可定制,打造成你自己想要的那一個(gè)。
對(duì)于數(shù)據(jù)隱私要求性非常高的金融行業(yè),WAF是必備的防護(hù)利器。阿里云WAF除了支持云內(nèi)客戶的網(wǎng)站安全防護(hù),也支持云外客戶的安全需求,通過(guò)DNS切換輕松一鍵接入。除此之外、阿里云安全為金融行業(yè)還可以提供各類安全服務(wù)(如白盒測(cè)試、黑盒測(cè)試、滲透測(cè)試、移動(dòng)應(yīng)用測(cè)試等),全力為客戶打造安全的解決方案。