安全问题尤其在云平台中更加突出,云平台中有不同行业的云租户,不同的云租户对于安全的需求也不一样,游戏和电商用户关注CC攻击、信息泄露、后门控制、同行恶意攻击等安全风险,金融用户关注信息泄露、跨站脚本等安全风险,政务用户关注网页挂马、Webshell、页面被篡改等安全风险。
根据不同云租户的Web应用安全需求,安恒信息在国内率先提供了基于虚拟化的云WAF解决方案,帮助用户解决面临的Web攻击(跨站脚本攻击、注入攻击、缓冲区溢出攻击、Cookie假冒、认证逃避、表单绕过、非法输入、强制访问)、页面篡改(隐藏变量篡改、页面防篡改)和CC攻击等安全问题。
云环境Web应用安全解决方案
在传统数据中心机房中可将安全设备随意插入到用户网络中,而在云网络中采用虚拟化,用户的应用节点甚至可迁移到不同的计算节点上, WAF无法通过传统的盒子方式进行部署。
1、公有云解决方案
为公有云租户提供安全解决方案,需要考虑方案的便利性、通用性和可实施性,安恒信息提供了WAF虚拟化解决方案,通过把WAF的安全检测模块以镜像的方式作为应用发布在应用市场(VWAF),用户像选择手机APP一样方便选择VWAF。
用户所有操作简便快捷,均由用户自行操作,VWAF提供管理接口,用户可自行登陆到VWAF管理平台上配置策略和查看攻击趋势、报表数据、设备状态等信息,用户只要4步操作即可完成整个VWAF的部署:
方案优势:
■支持市面上主流虚拟化环境和云环境,只需安装在指定的操作系统上即可;
■保留传统WAF所有功能和特性,可满足不同云租户的安全需求;
■部署简便快捷,云租户上手快;
■VWAF性能损耗小,经ucloud云环境虚拟主机测试,性能较硬件WAF几乎没有损耗;
■云租户使用成本低廉,可按需购买。
2、私有云解决方案
针对私有云数据大集中、高效、弹性空间等特点,安恒信息采用了云WAF清洗中心方案,通过WAF虚拟化+集群方式进行部署,云计算中心的前端LB将业务流量分发到多台VWAF,即使是在没有LB的情况下,也可以将VWAF切换为LB,然后将业务流量先转发到VWAF-LB上,由LB分发给多个VWAF进行清洗后,再重新发回LB,LB再统一转发给后端Web服务器。云WAF清洗中心物理示意图如下:
云安全管理中心同时管理对LB和VWAF集群进行集中管理,云安全管理中心根据用户的需求负责对业务流量进行牵引,确保检测的流量能到达LB,同时云安全管理中心负责对多台VWAF下发策略,可精细到不同云租户配置的策略组和例外策略,VWAF定期将日志和报告输送到云安全管理中心。
此方案作为整个云平台的总体安全方案,目前已用于私有云计算中心中。
方案优势:
■支持市面上主流虚拟化环境和云环境,只需安装在指定的操作系统上即可;
■一旦完成部署后,后面的维护相对简单,扩容通常只需要新增VWAF即可。资源也能得到充分的利用;
■VWAF集群方案,具备数据大集中、高效、弹性等特性;
■私有云租户只需关注自身的业务即可,无需专注于安全建设,只需定时关注Web安全报表信息;
■防护策略精细化,可针对不同云租户区分配置和例外配置;
■云租户使用成本低廉,可按需购买。