从业务安全需求的角度来看,大流量网站架构下Web应用安全防护方案需要是体系化的、满足 多重需求的、简单易用的。常规的网站应用安全防护方案是使用Web应用防火墙(简称WAF)设备,通过将设备串接到网站系统入口的网络链路中,识别流量中HTTP数据包并过滤攻击请求,但是这种方法存在“旧与新”的冲突。例如:硬件WAF在新型的大流量网站中表现受限,由于单台物 理机器的性能瓶颈造成部署难度大且不易实现水平扩展等问题。网络安全产品是为了维护网站安全 而存在的,而使用传统架构的安全产品去适配新型网站架构时,削足适履的防护方案往往以性能的 牺牲为安全的代价。 传统WAF解决方案在应对大流量网站架构时,大多存在着以下常见弊端:
长亭科技雷池(SafeLine)下一代Web应用防火墙以其在各个行业的实践经验为基础,深度 调研企业的使用场景,形成了一套针对大流量网站架构的Web应用安全防护方案,能够满足架构要 求,同时实现应用安全和业务安全防护。雷池(SafeLine)在服务众多客户后发现,一款适配大流 量网站架构的Web应用安全防护方案应注重以下条件:
企业根据实际性能需求部署反向代理集群,可通过修改负载均衡转发规则,引流至集群。以该模式运行时,雷池(SafeLine)会作为反向代理向后转发收到的HTTP请求,并同时对经过的 HTTP请求做攻击检测。若存在Web攻击则会记录相关攻击日志,系统根据相关配置对该请求作出 指定行为(是否阻断)。
以该模式运行时,雷池(SafeLine)将拦截嵌入式集群部署至现有的Nginx集群,可以在不改变现有网络拓扑的情况下完成流量检测工作。
安全运维人员在日常工作中时常受到误报带来的困扰,大流量企业更为敏感。超大流量意味着 如果WAF误拦截了一类请求,就会有大量客户不能正常使用网站,造成的损失可见一斑。与此同时 当面临0day漏洞攻击时,安全人员为保证业务稳定,往往无法第一时间对受影响的软件进行升级, 寄希望于WAF能够第一时间实现防护。传统安全厂商虽然会及时提供规则库升级服务,但新规则灰 度测试周期长,对正常业务的影响程度很难评估,延缓了防护的速度,使得安全人员再次面临安全 和业务两难抉择的问题。 雷池(SafeLine)采用智能语义分析技术,具有准确率高、误报率低的特点,能够基于上下文 逻辑实现攻击检测,将攻击拦截性能提升至全球领先水平,同时管理者无需维护庞杂的规则库,有 效提高了Web防护工作效率。以多种基于上下文无关文法的攻击为例。正则表达式表达能力仅限于正则文法,对多种基于上下文无关文法的攻击检测能力先天不足,如下图所示,当正常请求命中规则时,就会被误拦截,形成误报。
雷池(SafeLine)通过对下推自动机在攻击检测问题上进行巧妙的设计,在线性时间复杂度内,完成了多种基于上下文无关文法的请求Payload的分析,包括各种SQL的不同数据库实现、 JavaScript、PHP、Java 和OGNL表达式等,并且考虑到注入的特性,检测过程还实现了对语法中 间片段的分析能力,除此之外,再结合深度解码和为各种不同攻击类型实现的综合打分模型便可完 成最终的判定。
解决业务安全需要考虑解决两个问题:第一是分析,即判断谁是“坏人”,第二是执行,即拦 截“坏人”的后续操作。只有两个步骤配合执行,才能解决业务场景中的实际问题。 WAF是位于网络边界的安全产品,位置的特性使其能够接收到更贴近业务场景的流量内容,从 而理解分析业务,结合WAF检测拦截攻击的本身功能,能够实现业务安全的防护。同时,大多数企 业已经有风控平台,WAF作为边界设备充当“执行的角色”,如具备联动的功能,风控平台可以给 WAF下指令,拦截某个IP或用户。 雷池(SafeLine)作为新型WAF产品代表,在设计之初就充分考虑到了业务安全问题,提供开放的插件平台,在获取到完整的HTTP/HTTPS的请求后,定制化分析场景流量,让更加理解业 务的企业安全人员,根据自身业务逻辑来完成相关插件的流量分析逻辑,解决具体的业务场景安全 问题。流量分析引擎提供更人性化符合逻辑的插件编写方式——SafeLine QL, 将复杂的实现逻辑 以语义化、逻辑化的语言进行查询和统计,满足实时流量统计分析需求,得到查询和统计结果,亮点功能在于可以根据这些贴合实际业务安全场景的流量分析结果以编程化的方式处理流量。
雷池(SafeLine)提供基于REST-ful的具备全功能开放接口(Open API),所有页面功能 均可通过API实现调用,能快速融入用户安全体系。安全管理者可通过SoC或SIEM平台调取雷池 (SafeLine)检测日志、下发安全策略等,构建多平台、多设备的安全联动,提高安全管理效率。
因为大流量网站架构的复杂性,WAF运维成本是大流量企业的必要关注点。大流量网站架构往 往十分复杂:网站如何接入新的防护站点?集群如何快速扩容?节点如何统一管理?网络如何顺利 进行变更?这些问题是企业在安全运维过程中必须考虑到的,而常规的WAF方案在部署、扩容时都 会影响网络拓扑,如果不能保证高可用或全面的监控机制,还会带来额外的安全风险。 雷池(SafeLine)软件集群架构支持中心统一管理,提供多种监控方式,集群能根据业务实际 性能负载进行扩容,升级、扩容都不会对网络拓扑造成较大改动,并且支持在线水平扩容,在业务 高峰期随时扩容保证业务可用性。
默安科技尚付容器安全管理系统能力覆盖容器生命周期中的三个关键阶段,即:容器构建时的镜像安全、容器部署时基线检查以及运行时的入侵检测和防御。为容器安全提供全天候监测与保护,构建基于云原生的容器安全防护。
镜像防护
资产管理
基线策略
进程策略
通付盾APP安全工具箱,覆盖Android APP、iOS APP、SDK等多场景,支持应用隐私合规检查、应用安全检查、应用安全防护等功能,为客户提供高可用、高性能、高安全的专业化移动安全便携式产品。
高可用
高性能
高安全
腾讯iOA零信任安全解决方案,逐步完成办公场景的零信任架构迁移,构建更安全、高效和稳定的数字化办公环境。丰富的身份对接和认证支持,自适应多因素认证,病毒查杀与漏洞检查,合规基线满足度评估。
办公场景的零信任架构迁移
更安全、高效和稳定的数字化办公环境
丰富的身份对接和认证支持
自适应多因素认证