云环境下Web应用防护解决之道
随着越来越多的用户将传统的业务系统迁移至虚拟化环境或者一些云服务商提供的云平台中,而目前众多云平台企业关注的更多是基础实施的完善和业务的开展,对于安全层面的关注较少。云平台存在网站多、环境复杂的问题,同时也面临大量的Web安全以及数据安全问题,其遭受着最新的Web攻击安全威胁。Web应用攻击作为一种新的攻击技术,其在迅速发展过程中演变出各种各样、越来越复杂的攻击手法。新兴的Web应用攻击给Web系统带来了巨大的安全风险。
安全问题尤其在云平台中更加突出,云平台中有不同行业的云租户,不同的云租户对于安全的需求也不一样,游戏和电商用户关注CC攻击、信息泄露、后门控制、同行恶意攻击等安全风险,金融用户关注信息泄露、跨站脚本等安全风险,政务用户关注网页挂马、Webshell、页面被篡改等安全风险。
根据不同云租户的Web应用安全需求,本文提供了基于虚拟化的云WAF解决方案,帮助用户解决面临的Web攻击(跨站脚本攻击、注入攻击、缓冲区溢出攻击、Cookie假冒、认证逃避、表单绕过、非法输入、强制访问)、页面篡改(隐藏变量篡改、页面防篡改)和CC攻击等安全问题。
云环境Web应用安全解决方案
在传统数据中心机房中可将安全设备随意插入到用户网络中,而在云网络中采用虚拟化,用户的应用节点甚至可迁移到不同的计算节点上, WAF无法通过传统的盒子方式进行部署。
1、公有云解决方案
为公有云租户提供安全解决方案,需要考虑方案的便利性、通用性和可实施性,下面的WAF虚拟化解决方案,通过把WAF的安全检测模块以镜像的方式作为应用发布在应用市场(VWAF),用户像选择手机APP一样方便选择VWAF。
用户所有操作简便快捷,均由用户自行操作,VWAF提供管理接口,用户可自行登陆到VWAF管理平台上配置策略和查看攻击趋势、报表数据、设备状态等信息,用户只要4步操作即可完成整个VWAF的部署:
方案优势:
■支持市面上主流虚拟化环境和云环境,只需安装在指定的操作系统上即可;
■保留传统WAF所有功能和特性,可满足不同云租户的安全需求;
■部署简便快捷,云租户上手快;
■VWAF性能损耗小,经ucloud云环境虚拟主机测试,性能较硬件WAF几乎没有损耗;
■云租户使用成本低廉,可按需购买。
2、私有云解决方案
针对私有云数据大集中、高效、弹性空间等特点,我们可以采用云WAF清洗中心方案,通过WAF虚拟化+集群方式进行部署,云计算中心的前端LB将业务流量分发到多台VWAF,即使是在没有LB的情况下,也可以将VWAF切换为LB,然后将业务流量先转发到VWAF-LB 上,由LB分发给多个VWAF进行清洗后,再重新发回LB,LB再统一转发给后端Web服务器。云WAF清洗中心物理示意图如下:
云安全管理中心同时管理对LB和VWAF集群进行集中管理,云安全管理中心根据用户的需求负责对业务流量进行牵引,确保检测的流量能到达LB,同时云安全管理中心负责对多台VWAF下发策略,可精细到不同云租户配置的策略组和例外策略,VWAF定期将日志和报告输送到云安全管理中心。
此方案作为整个云平台的总体安全方案,目前已用于私有云计算中心中。
方案优势:
■支持市面上主流虚拟化环境和云环境,只需安装在指定的操作系统上即可;
■一旦完成部署后,后面的维护相对简单,扩容通常只需要新增VWAF即可。资源也能得到充分的利用;
■VWAF集群方案,具备数据大集中、高效、弹性等特性;
■私有云租户只需关注自身的业务即可,无需专注于安全建设,只需定时关注Web安全报表信息;
■防护策略精细化,可针对不同云租户区分配置和例外配置;