云环境下Web应用防护解决之道

　　安全问题尤其在云平台中更加突出，云平台中有不同行业的云租户，不同的云租户对于安全的需求也不一样，游戏和电商用户关注CC攻击、信息泄露、后门控制、同行恶意攻击等安全风险，金融用户关注信息泄露、跨站脚本等安全风险，政务用户关注网页挂马、Webshell、页面被篡改等安全风险。

　　根据不同云租户的Web应用安全需求，安恒信息在国内率先提供了基于虚拟化的云WAF解决方案，帮助用户解决面临的Web攻击（跨站脚本攻击、注入攻击、缓冲区溢出攻击、Cookie假冒、认证逃避、表单绕过、非法输入、强制访问）、页面篡改（隐藏变量篡改、页面防篡改）和CC攻击等安全问题。

云环境Web应用安全解决方案

　　在传统数据中心机房中可将安全设备随意插入到用户网络中，而在云网络中采用虚拟化，用户的应用节点甚至可迁移到不同的计算节点上， WAF无法通过传统的盒子方式进行部署。

1、公有云解决方案

　　为公有云租户提供安全解决方案，需要考虑方案的便利性、通用性和可实施性，安恒信息提供了WAF虚拟化解决方案，通过把WAF的安全检测模块以镜像的方式作为应用发布在应用市场(VWAF)，用户像选择手机APP一样方便选择VWAF。

　　用户所有操作简便快捷，均由用户自行操作，VWAF提供管理接口，用户可自行登陆到VWAF管理平台上配置策略和查看攻击趋势、报表数据、设备状态等信息，用户只要4步操作即可完成整个VWAF的部署：

方案优势：

　　■支持市面上主流虚拟化环境和云环境，只需安装在指定的操作系统上即可；

■保留传统WAF所有功能和特性，可满足不同云租户的安全需求；

■部署简便快捷，云租户上手快；

■VWAF性能损耗小，经ucloud云环境虚拟主机测试，性能较硬件WAF几乎没有损耗；

■云租户使用成本低廉，可按需购买。

2、私有云解决方案

　　针对私有云数据大集中、高效、弹性空间等特点，安恒信息采用了云WAF清洗中心方案，通过WAF虚拟化+集群方式进行部署，云计算中心的前端LB将业务流量分发到多台VWAF，即使是在没有LB的情况下，也可以将VWAF切换为LB，然后将业务流量先转发到VWAF-LB上，由LB分发给多个VWAF进行清洗后，再重新发回LB，LB再统一转发给后端Web服务器。云WAF清洗中心物理示意图如下：

　　云安全管理中心同时管理对LB和VWAF集群进行集中管理，云安全管理中心根据用户的需求负责对业务流量进行牵引，确保检测的流量能到达LB，同时云安全管理中心负责对多台VWAF下发策略，可精细到不同云租户配置的策略组和例外策略，VWAF定期将日志和报告输送到云安全管理中心。

　　此方案作为整个云平台的总体安全方案，目前已用于私有云计算中心中。

方案优势：

■支持市面上主流虚拟化环境和云环境，只需安装在指定的操作系统上即可；

■一旦完成部署后，后面的维护相对简单，扩容通常只需要新增VWAF即可。资源也能得到充分的利用；

■VWAF集群方案，具备数据大集中、高效、弹性等特性；

■私有云租户只需关注自身的业务即可，无需专注于安全建设，只需定时关注Web安全报表信息；

■防护策略精细化，可针对不同云租户区分配置和例外配置；

■云租户使用成本低廉，可按需购买。