全场景安全防护丨一文了解阿里云WAF

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全基线管理CSPM免费试用,1000次1年
简介: 全场景安全防护丨一文了解阿里云WAF

近日,IDC发布2021年《中国Web应用防火墙(软件)市场份额》报告,凭借丰富的云原生产品(如ALB/MSE等)和CDN边缘云的一键接入,灵活的多云/混合云部署及统一管控,外加完善的Web基础安全、Bot管理、API安全、智能规则托管和资产发现等能力,阿里云WAF成为市场份额第一,超过2-4名总和。



(图:2021中国软件Web应用防火墙产品

厂商份额概况)


云时代下,伴随着移动互联网、物联网产品加速创新发展,Web应用、移动应用、API接口等已经融入生产生活的各个领域。根据Freebuf的统计,75%的网络攻击发生在Web应用层而非网络层面,约2/3的站点都相当脆弱,易受攻击。


难梳理的资产、多变的攻击手法、未知的数据泄露风险、复杂的网络部署环境......让应用流量的防护难上加难。复杂的世界需要更灵活、易用、智能的web安全产品,依托于灵活的技术架构横向覆盖云原生基础设施、边缘云、多云、混合云上部署的各种web服务,具备高效的规则配置和统一管控能力,配合基于AI+大数据的各种智能规则下发、资产动态发现和威胁分析能力,才能最大化的帮助用户降低安全运维成本,保证安全运维效果。


一、跨云、多云、混合云、线下IDC全场景的安全防护


无论是硬件化还是软件化部署的WAF,面对复杂的IT环境,不可避免地会导致运维复杂、防护效果不专业等问题。阿里云云原生WAF产品,支持CNAME、云原生、混合云/多云等多种接入方式,支持为部署在阿里云公有云、云内私网、其他公有云、专有云、线下IDC机房的业务提供统一的安全管理和运维控制。

(图:阿里云WAF公有云、云内私网+其他公有云+线下IDC混合部署架构)


公有云部署模式


CNAME接入源站公网可达即可接入

采用DNS配置方式,通过修改域名解析,将被防护域名的访问流量指向WAF,WAF根据域名配置的源站服务器地址,将处理后的请求转发回源站,实现网站服务器网络隐身;

透明引流接入云原生全透明模式,一键秒级Bypass

WAF作为独立的反向代理进行流量转发,通过网关自动改变路由实现引流。客户无需修改DNS及对外IP,也无需源站保护。脱离公网链路,延迟更低,更能实现云产品实例级别接入,体现同架构底座的优势;

服务化接入云原生镜像流量,和ALB(应用型负载均衡)深度耦合

WAF只通过镜像流量做安全检测,所有流量转发均有ALB负责,在摆脱网络限制的同时,实现更好的稳定性和性能;


混合云/多云部署模式

阿里云WAF可防护云上云下、多云混合、线下IDC、专有云环境,支持流量的全程全量本地/其他公有云处理,阿里云仅设置控制台。可支持私网回源至阿里云专线网络(VPC)针对互联专线或VPC之间的私网流量进行防护。



根据企业用户不同需求,阿里云WAF提供两种接入架构:

服务化接入模式

更轻量化模式,对用户网络架构无侵入,WAF集群以物理旁路、逻辑串联的方式接入用户的统一接入层。可设置自动Bypass条件,在出现检测延时或集群故障情况下,业务流量自动Bypass WAF集群,降低因网络延迟或集群故障引发的业务风险;

资源池与一体机交付架构

将WAF软件部署在ECS/VM/物理机中,通过修改DNS解析将流量引流至WAF集群,WAF集群可根据业务流量大小弹性扩容。

根据《中国混合云用户调查报告(2021年)》显示,选择混合云部署的企业达到了86.7%。阿里云混合云WAF帮助客户实现管理、运维、能力的统一管理,降本提效的同时,也能共享云端情报联动、1.5小时全网策略更新、超过150万+QPS弹性扩容等原生优势。


二、Web入侵防护:

基于AI的主动防御

Web入侵防御可以说是所有WAF的基石,IDC报告中提到:

除了常见的WAF功能外,阿里云WAF还支持基于人工智能技术的多种主动防御或自学习能力。


阿里云WAF经过多年实战演进,依托云端强大的计算、情报能力,已经处于攻击模型自训练,未知威胁发现阶段,多引擎结合识别各种来源的异常访问流量。

(图:阿里云WAF流量识别演进示意)



入侵防护:

内置23种深度解码能力,积累100+应用、300+高危特征指纹库,全面识别攻击,防护 SQL 注入、XSS、Webshell 上传、目录遍历、后门隔离等各 类常见 Web 攻击,自动拦截恶意扫描及探测,避免服务器性能异常、数据泄露、网页篡改等问题;

漏洞虚拟补丁:

针对web应用的安全漏洞(如CVE/CNVD等)提供虚拟补丁;

0day应急响应:

云上安全专家驻守,最新漏洞(0day)小时级全网自动防御,毫秒级全球区域封禁,单一用户受到攻击,全节点“免疫反应”;

智能学习引擎:

基于流量白基线、深度学习、主动防御等多重智能引擎,有效识别未知的特征攻击,日均攻击样本学习达到1亿;

全网威胁情报:

基于阿里云全网攻击数据产品的威胁情报(肉鸡库、IP地址库、爬虫库、http代理库等);

此外,为了更好地帮助客户进行攻击溯源,阿里云于2015年即开始部署自研RASP(Runtime Application Self-Protection)产品,通过检测应用运行时更深层次的流量,识别应用本身行为,实现不依赖规则就可以防御几乎全部0day,且误报率极低。目前,通过打通云架构,已实现云原生ARMS产品应用一键接入RASP的丝滑体验,帮助WAF“看见”更全面的流量。


三、API安全:资产全生命周期管理


信息化时代,流量与数据息息相关,流量的流通带来了数据的互享,创造了更多价值。而API作为数据传输的重要渠道之一,因其标准规范,且无需了解内部机制,被大规模使用。根据阿里云的数据观察统计,在云上,超过86.98%的客户在业务中使用API,超过66.69%的业务(域名)存在API接口,API流量占应用层总流量超过76.98%。


但风险也如影随形,据观察,在2021年通过的所有API流量中,有63.07%为恶意流量和机器流量。资产管理困难,攻击威胁多样,高脆弱性让API成为众矢之的。阿里云根据防护经验,梳理了API全生命周期流程及其风险:


设计阶段

定义:确定业务需求,明确API接口要实现的功能;制定接口规范、输入输出、参数结构

风险点:

  • 业务设计缺陷,如输入输出设计不合理,输入中引入冗余参数、输出中暴露过多数据;敏感数据明文传输,未做加密或脱敏设计——55.88%的客户存在敏感数据过度暴露问题;
  • 权限设计缺陷,未遵循最小权限原则,导致接口存在未授权访问风险——72.06%的客户缺乏鉴权机制和敏感数据接口;

开发阶段

定义:技术人员依据业务需求和接口设计,开发实现接口功能

风险点:

  • 代码缺陷,导致接口存在稳定性风险、漏洞;
  • 性能风险,接口处理性能无法满足业务正常需要;
  • 缺乏异常处理,导致处理不正常数据时报错,泄漏开发配置信息;

发布阶段

定义:接口完成开发测试工作后,部署至生产环境,随业务正式发布上线

风险点:

  • 新接口上线,未纳入安全管控,导致疑似内部接口暴露,产生新的攻击面:64.71%的客户存在此类风险;
  • 接口未做访问控制,导致接口暴露,如将内部办公或特定群体使用的接口暴露在公网:57.35%的客户存在此类风险;
  • 缺乏访问限速机制:83.82%的客户存在此类风险;

运行阶段

定义:接口按照业务预期,在线上稳定运行对外提供服务

风险点:

  • 稳定性风险,由于接口设计开发缺陷、业务变更、DDoS攻击等因素,导致接口故障不可用;
  • 非法调用,如未授权访问、越权访问等,导致数据泄漏、数据污染等;
  • 接口滥用,如短信接口滥用、非法爬虫、垃圾注册等;
  • 恶意攻击,如漏洞攻击、暴力破解等;
  • 日志缺失,接口运行过程中缺少日志记录;

迭代阶段

定义:因业务变更、升级改造等因素,需要对接口进行版本迭代(通常会重走前述流程)

风险点:

  • 版本迭代过程中,业务稳定性风险;
  • 老版本接口退役后未及时下线关闭,仍可被调用;

下线阶段

定义:因业务变更等因素,接口完成其历史使命,下线关闭,不再对外提供服务

风险点:

  • 接口下线后未及时关闭,仍可被调用;


阿里云WAF基于API资产生命周期管理,并结合内部脆弱性识别,外部威胁发现形成完整闭环,目前已全面覆盖OWASP提出的API TOP 10安全风险。



(图:阿里云API安全防护能力大图)


此外,针对API接口的DDoS攻击也愈发常见,除了通过拦截异常高频访问,对重点API限流限速以外。基于云原生底座的架构优势,客户也可一键接入DDoS防护产品,提升防护能力。


四、BOT防护:多层过滤防绕过

根据Imperva 2022年发布的报告显示,机器人流量已经占据2021年所有互联网活动的42.3%,其中,恶意机器流量的比例约为27.7%,约为正常机器流量的两倍。而Bot的攻击方式也日益复杂,目前主流的攻击方式为APBs(Advanced persistent bots),将各种类型的恶意Bot组合并轮换随机的IP,使用匿名代理,定期变更身份并且模仿不同的人类行为,使其更难被检测。


但所谓大道至简,万变不离其宗,对Bot的防控思路就分两点:

  • 其一,识:根据流量、行为、环境、时序、身份等特征综合判断,增强识别准确度;
  • 其二,控:根据业务特点选择同步处置或异步处置,及时阻断安全风险;


(图:阿里云Bot防控技术架构)


识·积累:客户端指纹识别

  • 超过7000种设备环境、流量、报文、行为指纹采集和上报(纯硬件和匿名化,不侵犯业务隐私)
  • 经过基于专家经验训练的决策引擎生成指纹,用于标注客户端身份和刻画流量基线
  • 通过指纹打标建立和训练模型,生成防护策略,并可进一步利用云上优势圈定Bot背后攻击者的手法甚至攻击团伙


识·自动:爬虫行为分析,AI智能防御

  • 多维度刻画流量基线:T+1流量画像和实时行为序列模型互为补充
  • 通过动态IP爬取行为检测、时序异常分析模型等进行爬虫行为分析,基于机器预测逻辑更难被破解,降低对抗强度
  • 自动下发,自动对抗


识·情报:云上协同防御情报

包含各类公有云/IDC来源IP、云上恶意爬虫情报、扫描器特征、撞库爆破IP、BOT种类和特征等,保持小时级更新速度;

防·过滤:多层次处置和响应能力

三层过滤系统,强感知层通过封禁、JS校验、滑块验证等方式对低级爬虫直接拦截,压制快不反弹;弱感知层通过假数据、自定义响应等方式降低和中级爬虫的对抗成本;无感知层则通过打标回源方式,结合业务双管齐下进行防护;

防·灵活:强大的自定义规则

  • 丰富的匹配方式
  • 灵活的统计自定义统计对象
  • 完全自定义的统计窗口和黑名单时效
  • 搭配多种处置手段


五、安全服务化:

全面融入网络基础设施

在双十一期间,阿里云Web应用防火墙累计检测20亿+次请求,拦截2000万+次Web入侵攻击、2亿+次CC和爬虫攻击,强大的吞吐能力来自云基础架构的加持,和云上网络的深度耦合。目前阿里云WAF已经完成了和CDN节点、SLB负载均衡的全面融合,流量天然过检测。


同时,云环境下也实现了安全产品能力的联动,无论是共享的安全情报,还是可以一键开启的WAF、DDoS、FWaaS等安全能力,都让客户可以根据自身防护需求,服务化调用,实现更轻量化的联动防御。



阿里云WAF产品是国内唯一获得Gartner、Forrester、IDC、Frost&Sullivan四大国际权威机构认可的WAF产品。跟云原生基础设施全面融合的架构,多云/混合云的部署适配,更全面的web应用防护能力,更智能的自学习算法,让阿里云WAF能在各类复杂场景下为用户提供统一、灵活、高效的一体化web安全解决方案。

相关文章
|
云安全 负载均衡 网络协议
阿里云waf简介和如何配置​
阿里云WAF(Web应用程序防火墙)是一种高效、智能的云安全服务,旨在保护Web应用程序免受各种网络攻击的威胁。它可防止诸如SQL注入、跨站点脚本(XSS)和跨站点请求伪造(CSRF)等攻击,有效保障了Web应用程序的安全性与稳定性。 阿里云WAF在Web应用程序与互联网之间构建一道安全屏障,通过拦截和检测恶意流量,防止攻击者对您的Web应用程序进行攻击。它不仅覆盖了常见的网络攻击类型,还针对新兴的攻击手段进行了防护设计,确保您的Web应用程序在面对各种威胁时都能得到全方位的保护。
|
4月前
|
安全 API 开发者
|
6月前
|
SQL 监控 安全
【阿里云云原生专栏】云原生安全体系构建:阿里云云防火墙与WAF的应用
【5月更文挑战第27天】阿里云云防火墙和WAF是构建云原生安全体系的关键产品,提供网络、主机和Web应用多维度防护。云防火墙采用分布式架构抵御网络攻击,确保应用安全稳定;WAF专注Web应用安全,防止SQL注入、XSS和DDoS等威胁。简单部署配置,结合使用可实现全面安全防护,提升企业云上应用安全性,保障业务安全运行。未来,阿里云将持续强化云原生安全建设。
343 1
|
6月前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
应用服务中间件
阿里云的WAF(Web应用防火墙)3.0的虚拟代理
阿里云的WAF(Web应用防火墙)3.0的虚拟代理
194 2
|
弹性计算 缓存 运维
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(三)
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(三)
225 0
|
安全 网络安全
阿里云WAF
阿里云WAF
429 2
|
弹性计算 缓存 运维
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(二)
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(二)
204 0
|
缓存 弹性计算 运维
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(一)
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)
283 0
下一篇
无影云桌面