隨著互聯(lián)網(wǎng)的發(fā)展�����,企業(yè)開始逐步將關鍵的業(yè)務功能遷移到了 Web 應用��,雖然遷移到 Web
應用帶來了經(jīng)濟利益并提高了業(yè)務的靈活性�����,但同時也帶來了新的安全風險和合規(guī)性方面的需求��。
而近些年來�����,針對 Web
應用的攻擊越來越多�����,新型的攻擊手段層出不窮�����,傳統(tǒng)的防火墻技術已經(jīng)無法針對這些 Web 應用提供安全防護能力����。在這種情況下,WAF
成為了抵御應用層攻擊強有力的工具�。
當前越來越多應用開始遷移到云端,應用的形態(tài)也開始向微服務架構進行轉(zhuǎn)變�����,采用傳統(tǒng)的 WAF
為這些應用提供防護能力也變得越來越力不從心�,它在面對復雜多變的 Web 應用攻擊時,存在著明顯的不足��。
傳統(tǒng)WAF解決方案的弊端
傳統(tǒng) WAF 策略配置管理復雜
傳統(tǒng) WAF 配置相當復雜���,每次配置 WAF 規(guī)則時需要多個步驟才能完成����。當應用發(fā)生了變更,需要手工對 WAF
策略進行調(diào)整����。同時,很難實現(xiàn)針對每應用級別的 WAF 策略配置�����。
傳統(tǒng) WAF 無可視化和智能性
傳統(tǒng) WAF 解決方案缺少安全的可視性��,當應用受到攻擊時����,沒有一個可視化的界面讓安全管理員了解到更多的攻擊行為,也無法實現(xiàn)攻擊行為的統(tǒng)計��。同時�����,傳統(tǒng)
WAF 解決方案也缺少攻擊行為的建模和應用的學習能力,無法對新的威脅做出響應����。
傳統(tǒng) WAF 存在性能瓶頸
傳統(tǒng) WAF 采用集中式部署并獨立進行管理,WAF 的性能通常情況下依賴于 CPU�,性能存在瓶頸�����,當負載均衡和 WAF
功能同時開啟時���,性能受到極大的影響����,沒有彈性擴縮能力�����,無法實現(xiàn)可變工作負載對 WAF 性能的需求�����。
NSX ALB應用交付提供智能WAF解決方案
NSX ALB 提供了全面的應用安全解決方案����,不僅提供了應用安全的可見性�����,應用的速率限制���、 SSL/TLS 加密、ACL 以及應用的 DDoS
防護能力外����,還提供了應用所需要的 WAF 功能,可以輕松抵御
NSX ALB 中的智能 WAF�,采用純軟件架構設計,并且實現(xiàn)了控制和轉(zhuǎn)發(fā)分離��,除了針對 Web
應用防護能力外�����,還可以針對業(yè)務對性能方面的要求�,實現(xiàn)靈活的 WAF 智能擴縮容能力,并實現(xiàn)端到端延時的可視性�。
從上圖中我們可以看到,NSX ALB 中的智能 WAF 對比傳統(tǒng)的 WAF 解決方案具有明顯的技術優(yōu)勢����,所以我們接下來將從各個維度來介紹一下 NSX
ALB 中的智能 WAF 解決方案的技術優(yōu)勢�,以適應云環(huán)境下 Web 應用對安全的需求�。
多云環(huán)境中簡化了 Web 應用安全的運維管理
當前的越來越多的應用開始采用多云環(huán)境部署,并且進行了微服務的改造�����,這些應用極易受到安全的威脅�,例如 SQL 注入����、XSS 跨站、命令注入等�,所以需要通過
WAF 對這些 Web 應用進行安全的防護。NSX ALB 智能 WAF 啟用 WAF 策略非常的簡單����,它內(nèi)置了默認的 WAF
策略,只需要通過鼠標點擊幾次就可以為某一個特定的應用開啟 WAF 功能�����,實現(xiàn)基于應用的智能 WAF.
WAF 策略在默認的情況下�,只開啟了檢測模式���,只對檢測到的安全威脅進行標記,而不對其進行阻止�,我們可以針對模認的 WAF 策略開啟阻止模式。
NSX ALB 智能 WAF同時使用機器學習進行異常的檢測��,它會自動的學習流量的行為特征�����,并且在應用運行的一段時間里為其行為設定基線�,隨后, NSX
ALB 智能 WAF 就可以識別行為中的變化����,一旦發(fā)生了行了為變化,就會將其識別為異常��,簡化了 WAF 策略的配置�����。
針對 Kubernetes/OpenShift 環(huán)境����,NSX ALB 提供了 ingress 能力��,實現(xiàn)了服務暴露���,通過 CRDs
也可以為基于容器的服務自動關聯(lián) WAF 策略。通過此種方式��,實現(xiàn)了在一個架構之下���,為虛擬機的應用和基于容器的應用同時提供 WAF
安全策略����,實現(xiàn)了在云中一致的安全運維體驗�。
應用安全的可視化以及安全分析
NSX ALB 智能 WAF 內(nèi)置了針對 Web 應用攻擊行為的可視性分析和日志分析能力���,讓安全管理員更加了解應用受到攻擊的趨勢����。
我們可以在一個界面上查看到某個特定應用受到攻擊的趨勢�����,匹配 WAF 規(guī)則的次數(shù)以及客戶端 IP
的統(tǒng)計以及調(diào)用的應用路徑����,應現(xiàn)應用級別的分析���。同時,我們可以每一筆交易的端到端延時的分析�,用于應用性能方面的排錯,我們還可以讓安全管理員了解客戶端的詳細信息以及針對這個應用的攻擊的詳細信息
為應用安全提供了彈性擴展的架構
隨著云內(nèi)的 Web 應用的不斷擴張�����,對 WAF 的性能要求越來越高����,傳統(tǒng)的 WAF
采用集中式部署,更多的是采用硬件方式�,無法實現(xiàn)在應用擴張時提供彈性的容量。NSX ALB 智能 WAF
配合負載均衡實現(xiàn)了服務引擎的自動擴縮容能力�,分布式的架構保證了多個服務引擎在控制器上統(tǒng)一進行管理和 WAF
策略的下發(fā),所有的服務引擎可同時為應用提供服務�,而非傳統(tǒng)的主備模式,解決了傳統(tǒng) WAF 性能瓶頸的問題���。
總結(jié)
前面我們介紹了 NSX ALB 智能 WAF 的優(yōu)勢和特性�,它是一個純軟件的解決方案��,并且采用了控制和轉(zhuǎn)發(fā)分離的架構實現(xiàn)了 WAF
的創(chuàng)新,同時內(nèi)置豐富的日志和分析能力���,提升了安全運維的效率�。在云時代���,NSX ALB 智能 WAF 為關鍵業(yè)務提供了更加高效的安全防御能力���。
騰科IT教育
