全场景安全防护丨一文了解阿里云WAF

本文涉及的产品
传统型负载均衡 CLB,每月750个小时 15LCU
Web应用防火墙 3.0,每月20元额度 3个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 文末有福利👉👉👉

了解更多新品发布会内容

近日,IDC发布2021年《中国Web应用防火墙(软件)市场份额》报告,凭借丰富的云原生产品(如ALB/MSE等)和CDN边缘云的一键接入,灵活的多云/混合云部署及统一管控,外加完善的Web基础安全、Bot管理、API安全、智能规则托管和资产发现等能力,阿里云WAF成为市场份额第一,超过2-4名总和。

市场份额.jpg

(图:2021中国软件Web应用防火墙产品

厂商份额概况)

云时代下,伴随着移动互联网、物联网产品加速创新发展,Web应用、移动应用、API接口等已经融入生产生活的各个领域。根据Freebuf的统计,75%的网络攻击发生在Web应用层而非网络层面,约2/3的站点都相当脆弱,易受攻击。

难梳理的资产、多变的攻击手法、未知的数据泄露风险、复杂的网络部署环境......让应用流量的防护难上加难。复杂的世界需要更灵活、易用、智能的web安全产品,依托于灵活的技术架构横向覆盖云原生基础设施、边缘云、多云、混合云上部署的各种web服务,具备高效的规则配置和统一管控能力,配合基于AI+大数据的各种智能规则下发、资产动态发现和威胁分析能力,才能最大化的帮助用户降低安全运维成本,保证安全运维效果。

一、跨云、多云、混合云、线下IDC全场景的安全防护

无论是硬件化还是软件化部署的WAF,面对复杂的IT环境,不可避免地会导致运维复杂、防护效果不专业等问题。阿里云云原生WAF产品,支持CNAME、云原生、混合云/多云等多种接入方式,支持为部署在阿里云公有云、云内私网、其他公有云、专有云、线下IDC机房的业务提供统一的安全管理和运维控制。

一、跨云、多云、混合云、线下IDC全场景的安全防护.jpg

(图:阿里云WAF公有云、云内私网+其他公有云+线下IDC混合部署架构)

公有云部署模式

CNAME接入:源站公网可达即可接入

采用DNS配置方式,通过修改域名解析,将被防护域名的访问流量指向WAF,WAF根据域名配置的源站服务器地址,将处理后的请求转发回源站,实现网站服务器网络隐身;

透明引流接入:云原生全透明模式,一键秒级Bypass

WAF作为独立的反向代理进行流量转发,通过网关自动改变路由实现引流。客户无需修改DNS及对外IP,也无需源站保护。脱离公网链路,延迟更低,更能实现云产品实例级别接入,体现同架构底座的优势;

服务化接入:云原生镜像流量,和ALB(应用型负载均衡)深度耦合

WAF只通过镜像流量做安全检测,所有流量转发均有ALB负责,在摆脱网络限制的同时,实现更好的稳定性和性能;

混合云/多云部署模式

阿里云WAF可防护云上云下、多云混合、线下IDC、专有云环境,支持流量的全程全量本地/其他公有云处理,阿里云仅设置控制台。可支持私网回源至阿里云专线网络(VPC)针对互联专线或VPC之间的私网流量进行防护。

混合云_多云部署模式.jpg

根据企业用户不同需求,阿里云WAF提供两种接入架构:

服务化接入模式

更轻量化模式,对用户网络架构无侵入,WAF集群以物理旁路、逻辑串联的方式接入用户的统一接入层。可设置自动Bypass条件,在出现检测延时或集群故障情况下,业务流量自动Bypass WAF集群,降低因网络延迟或集群故障引发的业务风险;

资源池与一体机交付架构

将WAF软件部署在ECS/VM/物理机中,通过修改DNS解析将流量引流至WAF集群,WAF集群可根据业务流量大小弹性扩容。

根据《中国混合云用户调查报告(2021年)》显示,选择混合云部署的企业达到了86.7%。阿里云混合云WAF帮助客户实现管理、运维、能力的统一管理,降本提效的同时,也能共享云端情报联动、1.5小时全网策略更新、超过150万+QPS弹性扩容等原生优势。

二、Web入侵防护:基于AI的主动防御

Web入侵防御可以说是所有WAF的基石,IDC报告中提到:

除了常见的WAF功能外,阿里云WAF还支持基于人工智能技术的多种主动防御或自学习能力。

阿里云WAF经过多年实战演进,依托云端强大的计算、情报能力,已经处于攻击模型自训练,未知威胁发现阶段,多引擎结合识别各种来源的异常访问流量。

二、Web入侵防护:基于AI的主动防御.jpg

(图:阿里云WAF流量识别演进示意)

入侵防护:

内置23种深度解码能力,积累100+应用、300+高危特征指纹库,全面识别攻击,防护 SQL 注入、XSS、Webshell 上传、目录遍历、后门隔离等各 类常见 Web 攻击,自动拦截恶意扫描及探测,避免服务器性能异常、数据泄露、网页篡改等问题;

漏洞虚拟补丁:

针对web应用的安全漏洞(如CVE/CNVD等)提供虚拟补丁;

0day应急响应:

云上安全专家驻守,最新漏洞(0day)小时级全网自动防御,毫秒级全球区域封禁,单一用户受到攻击,全节点“免疫反应”;

智能学习引擎:

基于流量白基线、深度学习、主动防御等多重智能引擎,有效识别未知的特征攻击,日均攻击样本学习达到1亿;

全网威胁情报:

基于阿里云全网攻击数据产品的威胁情报(肉鸡库、IP地址库、爬虫库、http代理库等);

此外,为了更好地帮助客户进行攻击溯源,阿里云于2015年即开始部署自研RASP(Runtime Application Self-Protection)产品,通过检测应用运行时更深层次的流量,识别应用本身行为,实现不依赖规则就可以防御几乎全部0day,且误报率极低。目前,通过打通云架构,已实现云原生ARMS产品应用一键接入RASP的丝滑体验,帮助WAF“看见”更全面的流量。

三、API安全:资产全生命周期管理

信息化时代,流量与数据息息相关,流量的流通带来了数据的互享,创造了更多价值。而API作为数据传输的重要渠道之一,因其标准规范,且无需了解内部机制,被大规模使用。根据阿里云的数据观察统计,在云上,超过86.98%的客户在业务中使用API,超过66.69%的业务(域名)存在API接口,API流量占应用层总流量超过76.98%。

但风险也如影随形,据观察,在2021年通过的所有API流量中,有63.07%为恶意流量和机器流量。资产管理困难,攻击威胁多样,高脆弱性让API成为众矢之的。阿里云根据防护经验,梳理了API全生命周期流程及其风险:

设计阶段

定义:确定业务需求,明确API接口要实现的功能;制定接口规范、输入输出、参数结构

风险点:

  • 业务设计缺陷,如输入输出设计不合理,输入中引入冗余参数、输出中暴露过多数据;敏感数据明文传输,未做加密或脱敏设计——55.88%的客户存在敏感数据过度暴露问题;
  • 权限设计缺陷,未遵循最小权限原则,导致接口存在未授权访问风险——72.06%的客户缺乏鉴权机制和敏感数据接口;

开发阶段

定义:技术人员依据业务需求和接口设计,开发实现接口功能

风险点:

  • 代码缺陷,导致接口存在稳定性风险、漏洞;
  • 性能风险,接口处理性能无法满足业务正常需要;
  • 缺乏异常处理,导致处理不正常数据时报错,泄漏开发配置信息;

发布阶段

定义:接口完成开发测试工作后,部署至生产环境,随业务正式发布上线

风险点:

  • 新接口上线,未纳入安全管控,导致疑似内部接口暴露,产生新的攻击面:64.71%的客户存在此类风险;
  • 接口未做访问控制,导致接口暴露,如将内部办公或特定群体使用的接口暴露在公网:57.35%的客户存在此类风险;
  • 缺乏访问限速机制:83.82%的客户存在此类风险;

运行阶段

定义:接口按照业务预期,在线上稳定运行对外提供服务

风险点:

  • 稳定性风险,由于接口设计开发缺陷、业务变更、DDoS攻击等因素,导致接口故障不可用;
  • 非法调用,如未授权访问、越权访问等,导致数据泄漏、数据污染等;
  • 接口滥用,如短信接口滥用、非法爬虫、垃圾注册等;
  • 恶意攻击,如漏洞攻击、暴力破解等;
  • 日志缺失,接口运行过程中缺少日志记录;

迭代阶段

定义:因业务变更、升级改造等因素,需要对接口进行版本迭代(通常会重走前述流程)

风险点:

  • 版本迭代过程中,业务稳定性风险;
  • 老版本接口退役后未及时下线关闭,仍可被调用;

下线阶段

定义:因业务变更等因素,接口完成其历史使命,下线关闭,不再对外提供服务

风险点:

  • 接口下线后未及时关闭,仍可被调用;

阿里云WAF基于API资产生命周期管理,并结合内部脆弱性识别,外部威胁发现形成完整闭环,目前已全面覆盖OWASP提出的API TOP 10安全风险。

三、API安全:资产全生命周期管理.jpg

(图:阿里云API安全防护能力大图)

此外,针对API接口的DDoS攻击也愈发常见,除了通过拦截异常高频访问,对重点API限流限速以外。基于云原生底座的架构优势,客户也可一键接入DDoS防护产品,提升防护能力。

四、BOT防护:多层过滤防绕过

根据Imperva 2022年发布的报告显示,机器人流量已经占据2021年所有互联网活动的42.3%,其中,恶意机器流量的比例约为27.7%,约为正常机器流量的两倍。而Bot的攻击方式也日益复杂,目前主流的攻击方式为APBs(Advanced persistent bots),将各种类型的恶意Bot组合并轮换随机的IP,使用匿名代理,定期变更身份并且模仿不同的人类行为,使其更难被检测。

但所谓大道至简,万变不离其宗,对Bot的防控思路就分两点:

  • 其一,识:根据流量、行为、环境、时序、身份等特征综合判断,增强识别准确度;
  • 其二,控:根据业务特点选择同步处置或异步处置,及时阻断安全风险;

四、BOT防护:多层过滤防绕过.jpg

(图:阿里云Bot防控技术架构)

识·积累:客户端指纹识别

  • 超过7000种设备环境、流量、报文、行为指纹采集和上报(纯硬件和匿名化,不侵犯业务隐私)
  • 经过基于专家经验训练的决策引擎生成指纹,用于标注客户端身份和刻画流量基线
  • 通过指纹打标建立和训练模型,生成防护策略,并可进一步利用云上优势圈定Bot背后攻击者的手法甚至攻击团伙

识·自动:爬虫行为分析,AI智能防御

  • 多维度刻画流量基线:T+1流量画像和实时行为序列模型互为补充
  • 通过动态IP爬取行为检测、时序异常分析模型等进行爬虫行为分析,基于机器预测逻辑更难被破解,降低对抗强度
  • 自动下发,自动对抗

识·情报:云上协同防御情报

包含各类公有云/IDC来源IP、云上恶意爬虫情报、扫描器特征、撞库爆破IP、BOT种类和特征等,保持小时级更新速度;

防·过滤:多层次处置和响应能力

三层过滤系统,强感知层通过封禁、JS校验、滑块验证等方式对低级爬虫直接拦截,压制快不反弹;弱感知层通过假数据、自定义响应等方式降低和中级爬虫的对抗成本;无感知层则通过打标回源方式,结合业务双管齐下进行防护;

防·灵活:强大的自定义规则

  • 丰富的匹配方式
  • 灵活的统计自定义统计对象
  • 完全自定义的统计窗口和黑名单时效
  • 搭配多种处置手段

五、安全服务化:

全面融入网络基础设施

在双十一期间,阿里云Web应用防火墙累计检测20亿+次请求,拦截2000万+次Web入侵攻击、2亿+次CC和爬虫攻击,强大的吞吐能力来自云基础架构的加持,和云上网络的深度耦合。目前阿里云WAF已经完成了和CDN节点、SLB负载均衡的全面融合,流量天然过检测。

同时,云环境下也实现了安全产品能力的联动,无论是共享的安全情报,还是可以一键开启的WAF、DDoS、FWaaS等安全能力,都让客户可以根据自身防护需求,服务化调用,实现更轻量化的联动防御。

五、安全服务化:全面融入网络基础设施.png


阿里云WAF产品是国内唯一获得Gartner、Forrester、IDC、Frost&Sullivan四大国际权威机构认可的WAF产品。跟云原生基础设施全面融合的架构,多云/混合云的部署适配,更全面的web应用防护能力,更智能的自学习算法,让阿里云WAF能在各类复杂场景下为用户提供统一、灵活、高效的一体化web安全解决方案。

路漫漫其修远兮,阿里云WAF也在持续演进升级:6月30日 14:00,我们将发布阿里云WAF3.0版本,包含更多云原生安全能力。扫描下方二维码即可申请产品免费体验(提供1000+SECU体验券),名额有限,先到先得~F0CFD3DE-4EAA-4F15-9C02-FD1251395DA0.png

相关文章
|
6月前
|
监控 网络协议 前端开发
WAF部署模式概念
WAF部署模式概念
|
7天前
|
SQL 监控 安全
浅析Waf优缺点:硬件Waf、软件Waf、云Waf之总结
Web应用防火墙(WAF)是一种专门针对Web应用攻击的防护产品,主要分为硬件WAF、软件WAF和云WAF三种形态。硬件WAF部署简便、防护范围广,但价格昂贵且存在误杀风险;软件WAF开箱即用、功能丰富,但可能占用较多内存,适合中小型网站;云WAF部署简单、维护成本低,但存在被绕过和数据泄露的风险。RASP(运行时应用自保护)是一种新兴的安全技术,通过将保护程序注入应用程序,实现实时检测和阻断攻击,具有低误报率、维护成本低等优势,但也面临部署困难和可能影响性能的问题。未来,WAF防护技术将朝着机器学习、词法分析、行为识别和大数据关联分析等方向发展。
33 6
|
1月前
|
域名解析 弹性计算 负载均衡
通过联合部署DDoS高防和WAF提升网站防护能力
通过联合部署DDoS高防和WAF提升网站防护能力
|
1月前
|
SQL 安全 网络安全
阿里云高防服务器如何实现安全防护,以及如何接触安全防护
阿里云高防服务器如何实现安全防护,以及如何接触安全防护
|
1月前
|
网络协议 网络安全
阿里云国际该如何设置DDoS高防防护策略?
阿里云国际该如何设置DDoS高防防护策略?
|
4月前
|
SQL 运维 监控
安全设备篇——WAF
**Web应用防火墙(WAF)摘要** WAF是关键的网络安全工具,专注于Web应用防护,提供应用层保护,具备事前预防、事中响应和事后审计功能。它通过HTTP/HTTPS策略阻止恶意请求,防止SQL注入、XSS攻击等,并能防止会话劫持、DDoS攻击。WAF支持自定义规则、日志监控和与其他安全产品集成。其特点包括异常检测、输入验证、安全规则库、用户行为分析及多种部署模式如透明网桥、单机和旁路反向代理。与传统防火墙不同,WAF在应用层工作,提供更具体的安全防护。两者结合可增强整体网络安全性。
安全设备篇——WAF
|
11月前
|
缓存 安全 算法
高防cdn防护原理是什么,是否可以防护服务器吗
高防cdn防护原理是什么,是否可以防护服务器吗
|
安全 网络安全
阿里云WAF
阿里云WAF
424 2
|
数据采集 人工智能 运维
全场景安全防护丨一文了解阿里云WAF
全场景安全防护丨一文了解阿里云WAF
933 0
|
数据采集 安全 大数据
未来2年,70%用户将选择云WAF防护
WAF就是Web应用防火墙,那WAAP又是什么?为何 Gartner发布的2021年WAF魔力象限预测:到2024年,70%的组织将青睐云WAAP服务?本文有解读,笔者坚信这个比例一定是90%以上!
434 0
未来2年,70%用户将选择云WAF防护