隨著越來(lái)越多的用戶(hù)將傳統(tǒng)的業(yè)務(wù)系統(tǒng)遷移至虛擬化環(huán)境或者一些云服務(wù)商提供的云平臺(tái)中，而目前眾多云平臺(tái)企業(yè)關(guān)注的更多是基礎(chǔ)實(shí)施的完善和業(yè)務(wù)的開(kāi)展，對(duì)于安全層面的關(guān)注較少。云平臺(tái)存在網(wǎng)站多、環(huán)境復(fù)雜的問(wèn)題，同時(shí)也面臨大量的Web安全以及數(shù)據(jù)安全問(wèn)題，其遭受著最新的Web攻擊安全威脅。Web應(yīng)用攻擊作為一種新的攻擊技術(shù)，其在迅速發(fā)展過(guò)程中演變出各種各樣、越來(lái)越復(fù)雜的攻擊手法。新興的Web應(yīng)用攻擊給Web系統(tǒng)帶來(lái)了巨大的安全風(fēng)險(xiǎn)。

安全問(wèn)題尤其在云平臺(tái)中更加突出，云平臺(tái)中有不同行業(yè)的云租戶(hù)，不同的云租戶(hù)對(duì)于安全的需求也不一樣，游戲和電商用戶(hù)關(guān)注CC攻擊、信息泄露、后門(mén)控制、同行惡意攻擊等安全風(fēng)險(xiǎn)，金融用戶(hù)關(guān)注信息泄露、跨站腳本等安全風(fēng)險(xiǎn)，政務(wù)用戶(hù)關(guān)注網(wǎng)頁(yè)掛馬、Webshell、頁(yè)面被篡改等安全風(fēng)險(xiǎn)。

根據(jù)不同云租戶(hù)的Web應(yīng)用安全需求，本文提供了基于虛擬化的云WAF解決方案，幫助用戶(hù)解決面臨的Web攻擊(跨站腳本攻擊、注入攻擊、緩沖區(qū)溢出攻擊、Cookie假冒、認(rèn)證逃避、表單繞過(guò)、非法輸入、強(qiáng)制訪問(wèn))、頁(yè)面篡改(隱藏變量篡改、頁(yè)面防篡改)和CC攻擊等安全問(wèn)題。

云環(huán)境Web應(yīng)用安全解決方案

在傳統(tǒng)數(shù)據(jù)中心機(jī)房中可將安全設(shè)備隨意插入到用戶(hù)網(wǎng)絡(luò)中，而在云網(wǎng)絡(luò)中采用虛擬化，用戶(hù)的應(yīng)用節(jié)點(diǎn)甚至可遷移到不同的計(jì)算節(jié)點(diǎn)上， WAF無(wú)法通過(guò)傳統(tǒng)的盒子方式進(jìn)行部署。

1、公有云解決方案

為公有云租戶(hù)提供安全解決方案，需要考慮方案的便利性、通用性和可實(shí)施性，下面的WAF虛擬化解決方案，通過(guò)把WAF的安全檢測(cè)模塊以鏡像的方式作為應(yīng)用發(fā)布在應(yīng)用市場(chǎng)(VWAF)，用戶(hù)像選擇手機(jī)APP一樣方便選擇VWAF。

用戶(hù)所有操作簡(jiǎn)便快捷，均由用戶(hù)自行操作，VWAF提供管理接口，用戶(hù)可自行登陸到VWAF管理平臺(tái)上配置策略和查看攻擊趨勢(shì)、報(bào)表數(shù)據(jù)、設(shè)備狀態(tài)等信息，用戶(hù)只要4步操作即可完成整個(gè)VWAF的部署：

方案優(yōu)勢(shì)：

■支持市面上主流虛擬化環(huán)境和云環(huán)境，只需安裝在指定的操作系統(tǒng)上即可;

■保留傳統(tǒng)WAF所有功能和特性，可滿(mǎn)足不同云租戶(hù)的安全需求;

■部署簡(jiǎn)便快捷，云租戶(hù)上手快;

■VWAF性能損耗小，經(jīng)ucloud云環(huán)境虛擬主機(jī)測(cè)試，性能較硬件WAF幾乎沒(méi)有損耗;

■云租戶(hù)使用成本低廉，可按需購(gòu)買(mǎi)。

2、私有云解決方案

針對(duì)私有云數(shù)據(jù)大集中、高效、彈性空間等特點(diǎn)，我們可以采用云WAF清洗中心方案，通過(guò)WAF虛擬化+集群方式進(jìn)行部署，云計(jì)算中心的前端LB將業(yè)務(wù)流量分發(fā)到多臺(tái)VWAF，即使是在沒(méi)有LB的情況下，也可以將VWAF切換為L(zhǎng)B，然后將業(yè)務(wù)流量先轉(zhuǎn)發(fā)到VWAF-LB 上，由LB分發(fā)給多個(gè)VWAF進(jìn)行清洗后，再重新發(fā)回LB，LB再統(tǒng)一轉(zhuǎn)發(fā)給后端Web服務(wù)器。云WAF清洗中心物理示意圖如下：

云安全管理中心同時(shí)管理對(duì)LB和VWAF集群進(jìn)行集中管理，云安全管理中心根據(jù)用戶(hù)的需求負(fù)責(zé)對(duì)業(yè)務(wù)流量進(jìn)行牽引，確保檢測(cè)的流量能到達(dá)LB，同時(shí)云安全管理中心負(fù)責(zé)對(duì)多臺(tái)VWAF下發(fā)策略，可精細(xì)到不同云租戶(hù)配置的策略組和例外策略，VWAF定期將日志和報(bào)告輸送到云安全管理中心。

此方案作為整個(gè)云平臺(tái)的總體安全方案，目前已用于私有云計(jì)算中心中。

方案優(yōu)勢(shì)：

■支持市面上主流虛擬化環(huán)境和云環(huán)境，只需安裝在指定的操作系統(tǒng)上即可;

■一旦完成部署后，后面的維護(hù)相對(duì)簡(jiǎn)單，擴(kuò)容通常只需要新增VWAF即可。資源也能得到充分的利用;

■VWAF集群方案，具備數(shù)據(jù)大集中、高效、彈性等特性;

■私有云租戶(hù)只需關(guān)注自身的業(yè)務(wù)即可，無(wú)需專(zhuān)注于安全建設(shè)，只需定時(shí)關(guān)注Web安全報(bào)表信息;

■防護(hù)策略精細(xì)化，可針對(duì)不同云租戶(hù)區(qū)分配置和例外配置;

■云租戶(hù)使用成本低廉，可按需購(gòu)買(mǎi)。

原文鏈接;http://www.youxia.org/cloud-waf.html?utm_source=tuicool