一业务上云面临新的web安全挑战
当前各组织机构普遍积极拥抱业务云化,推动数字化改革。在业务云化以及建设私有云平台的过程中,用户不仅面临各类常见web攻击,也会遭遇虚拟化场景的威胁,例如未经授权访问、虚拟机逃逸、敏感信息泄露等。面对日益频繁和多样化的web攻击,各单位亟须建设和完善云环境下的web安全防护能力。
在云化部署要求下,客户也面临了诸多挑战:
.客户业务部署在多种云上,安全产品要兼容各种公有云/私有云平台;
.客户集团业务多种多样,安全产品如何实现集中管理,各业务部门分开运营;
. 根据国产化替换要求,对于国产化操作系统/硬件平台/虚拟机系统要全面兼容;
. 安全部署形式需要跟随业务部署方式,虚拟化/容器化/云原生等业务环境下如何部署业务安全。
二 私有云环境对web防护提出新要求
虚拟化环境的特性对web防护产品提出了新的要求,具体包括:
. 需要支持虚拟化交付形态,且与硬件设备具备同等效果的防护能力,面向租户提供弹性、可扩展以及按需的web防护,防御owasp top 10的各类web攻击,例如:web服务器/插件防护,爬虫防护,跨站脚本防护,跨站请求伪造防护,cookie安全,暴力破解防护,xml攻击防护等。
. 需要支持主流虚拟化环境下的自动化部署和管理,要求虚拟化waf能够支持适配多种云平台,降低因安全策略与虚拟化资源变更不同步引入的风险。
. 需要能够支持提供细粒度的web安全策略,针对特定虚拟机vm的进、出流量进行检测和防护。
. 需要能够支持多样化的灵活部署,包括串联、反向代理、旁路部署等,实现云场景下的快速简易部署。
三 绿盟私有云web安全凯发k8官网的解决方案
绿盟科技作为国内waf领导者,有16年的攻防能力积累,连续4年进入gartner waf魔力象限。绿盟科技全新推出waf虚拟化版本,即:vwaf,为虚拟化数据中心提供弹性、可扩展、按需的凯发k8官网的解决方案。绿盟vwaf具备与硬件系列一致的防护能力,缓解owasp top 10风险,对于应用层ddos、网站敏感信息泄露、web service安全均有经市场验证、成熟的防护方案。
四 绿盟vwaf产品特色
绿盟vwaf的产品特色具体如下:
vwaf灵活轻便,扩展性强
在云和虚拟化环境,绿盟vwaf自身支持通过证书实现无缝升级,客户可以根据业务需求按需采购和弹性扩展。同时,可以通过负载均衡流量分发方案提供高可用性、负载分担、横向扩展。当业务流量发生突增时,能快速拉起新的vwaf,规避硬件waf申请的多个环节,缩短业务割接时间。目前,虚拟化waf支持反向代理和插件化集群部署。
vwaf支持适配多种云环境
绿盟vwaf虚拟机镜像部署支持多种形态,包括:vmdk,ova,qcow2,raw,并且支持docker容器化部署;支持部署在亚马逊云aws、微软云azure、华为云、阿里云、腾讯云、天翼云、联通沃云、浪潮云等14种云平台。同时,虚拟化waf全面支持国产化环境:支持的服务器cpu包括海光(x86)、飞腾(arm);操作系统包括统信、麒麟。
支持集中管理,分域运维
对于集群化场景,绿盟espc能够对多台vwaf进行集中管理,完成设备的上下线管理,性能监控,日志管理,策略的批量下发;同时还能支持业务划域管理,不同的业务域可以分配不同的安全策略,交予不同的业务部门进行安全运营和管理。
vwaf支持高规格挡位
除了原有应用层吞吐50mbps~1000mbps,5个型号外,新版本vwaf还增加了应用层吞吐3gbps,6gbps,10gbps,三个新的型号,满足私有云场景高性能web防护需求。
vwaf部署灵活,运维简单
绿盟vwaf能够支持多样化部署模式,包括:串联部署、旁路部署、反向代理部署;产品支持提供qga接口并支持vmtools,实现初始化实例工作自动化;并提供开放restful api接口,实现产品能力全api化,满足云管理平台对接需求,实现高效、自动化运维。
vwaf支持提供细粒度web防护策略
虚拟化waf部署于虚拟化环境,支持特定vm、包头、包内容的细粒度安全检测防护。
vwaf支持排除硬件故障风险
对于硬件waf可能存在的cf卡、硬盘、网卡、ssd卡等硬件故障风险,以及由硬件故障带来的业务中断风险,都可以有效规避。
五 绿盟vwaf护航私有云web安全
多层次的安全机制
绿盟vwaf通过检测针对应用程序、插件、web server和网络的攻击来保护web应用程序和下层的基础设施。除了多种基于规则的检测外,vwaf安全机制还包括:可以通过交互式地验证客户端用户行为来追踪自动化攻击、通过自学习和白名单在一定程度上抵御0day攻击和通过过滤从服务器端返回客户端的敏感信息。
基于用户资产视角提供防护
绿盟vwaf重点关注私有云用户的web服务器资产,以ip地址、端口、os以及web服务等信息作为组织web安全凯发k8官网的解决方案的依据,生成最贴合资产环境的安全策略,提供精准、高效的web安全防护。
优化的配置向导
在丰富的客户服务经验基础上,绿盟vwaf在定义客户的web服务器资产时提供了一个优化的配置向导。这个配置向导通过在增加web站点的过程中向用户询问信息,一步一步地引导用户精确地定义资产环境,并根据资产环境提供最优的安全策略,在显著地简化和方便了安全配置的同时,实现了对规则的精准利用。
通过云安全服务提供应急响应
通过联动绿盟科技云安全服务的支撑(mss for waf),绿盟vwaf可以实现与绿盟科技云安全中心对接和同步,由安全专家团队协助用户对网站安全隐患和遭受的攻击威胁进行7*24小时全天候监控,从事前检测防御、事中响应防护、事后持续监控的角度,最大限度降低web应用安全风险。