隨著越來越多的用戶將傳統的業務系統遷移至虛擬化環境或者一些云服務商提供的云平臺中,而目前眾多云平臺企業關注的更多是基礎實施的完善和業務的開展,對于安全層面的關注較少。云平臺存在網站多、環境復雜的問題,同時也面臨大量的Web安全以及數據安全問題,其遭受著最新的Web攻擊安全威脅。Web應用攻擊作為一種新的攻擊技術,其在迅速發展過程中演變出各種各樣、越來越復雜的攻擊手法。新興的Web應用攻擊給Web系統帶來了巨大的安全風險。
安全問題尤其在云平臺中更加突出,云平臺中有不同行業的云租戶,不同的云租戶對于安全的需求也不一樣,游戲和電商用戶關注CC攻擊、信息泄露、后門控制、同行惡意攻擊等安全風險,金融用戶關注信息泄露、跨站腳本等安全風險,政務用戶關注網頁掛馬、Webshell、頁面被篡改等安全風險。
根據不同云租戶的Web應用安全需求,本文提供了基于虛擬化的云WAF解決方案,幫助用戶解決面臨的Web攻擊(跨站腳本攻擊、注入攻擊、緩沖區溢出攻擊、Cookie假冒、認證逃避、表單繞過、非法輸入、強制訪問)、頁面篡改(隱藏變量篡改、頁面防篡改)和CC攻擊等安全問題。
云環境Web應用安全解決方案
在傳統數據中心機房中可將安全設備隨意插入到用戶網絡中,而在云網絡中采用虛擬化,用戶的應用節點甚至可遷移到不同的計算節點上, WAF無法通過傳統的盒子方式進行部署。
1、公有云解決方案
為公有云租戶提供安全解決方案,需要考慮方案的便利性、通用性和可實施性,下面的WAF虛擬化解決方案,通過把WAF的安全檢測模塊以鏡像的方式作為應用發布在應用市場(VWAF),用戶像選擇手機APP一樣方便選擇VWAF。
用戶所有操作簡便快捷,均由用戶自行操作,VWAF提供管理接口,用戶可自行登陸到VWAF管理平臺上配置策略和查看攻擊趨勢、報表數據、設備狀態等信息,用戶只要4步操作即可完成整個VWAF的部署:
方案優勢:
■支持市面上主流虛擬化環境和云環境,只需安裝在指定的操作系統上即可;
■保留傳統WAF所有功能和特性,可滿足不同云租戶的安全需求;
■部署簡便快捷,云租戶上手快;
■VWAF性能損耗小,經ucloud云環境虛擬主機測試,性能較硬件WAF幾乎沒有損耗;
■云租戶使用成本低廉,可按需購買。
2、私有云解決方案
針對私有云數據大集中、高效、彈性空間等特點,我們可以采用云WAF清洗中心方案,通過WAF虛擬化+集群方式進行部署,云計算中心的前端LB將業務流量分發到多臺VWAF,即使是在沒有LB的情況下,也可以將VWAF切換為LB,然后將業務流量先轉發到VWAF-LB 上,由LB分發給多個VWAF進行清洗后,再重新發回LB,LB再統一轉發給后端Web服務器。云WAF清洗中心物理示意圖如下:
云安全管理中心同時管理對LB和VWAF集群進行集中管理,云安全管理中心根據用戶的需求負責對業務流量進行牽引,確保檢測的流量能到達LB,同時云安全管理中心負責對多臺VWAF下發策略,可精細到不同云租戶配置的策略組和例外策略,VWAF定期將日志和報告輸送到云安全管理中心。
此方案作為整個云平臺的總體安全方案,目前已用于私有云計算中心中。
方案優勢:
■支持市面上主流虛擬化環境和云環境,只需安裝在指定的操作系統上即可;
■一旦完成部署后,后面的維護相對簡單,擴容通常只需要新增VWAF即可。資源也能得到充分的利用;
■VWAF集群方案,具備數據大集中、高效、彈性等特性;
■私有云租戶只需關注自身的業務即可,無需專注于安全建設,只需定時關注Web安全報表信息;
■防護策略精細化,可針對不同云租戶區分配置和例外配置;
■云租戶使用成本低廉,可按需購買。
京公網安備 11010502049343號