近日,IDC发布2021年《中国Web应用防火墙(软件)市场份额》报告,凭借丰富的云原生产品(如ALB/MSE等)和CDN边缘云的一键接入,灵活的多云/混合云部署及统一管控,外加完善的Web基础安全、Bot管理、API安全、智能规则托管和资产发现等能力,阿里云WAF成为市场份额第一,超过2-4名总和。
(图:2021中国软件Web应用防火墙产品
厂商份额概况)
云时代下,伴随着移动互联网、物联网产品加速创新发展,Web应用、移动应用、API接口等已经融入生产生活的各个领域。根据Freebuf的统计,75%的网络攻击发生在Web应用层而非网络层面,约2/3的站点都相当脆弱,易受攻击。
难梳理的资产、多变的攻击手法、未知的数据泄露风险、复杂的网络部署环境......让应用流量的防护难上加难。复杂的世界需要更灵活、易用、智能的web安全产品,依托于灵活的技术架构横向覆盖云原生基础设施、边缘云、多云、混合云上部署的各种web服务,具备高效的规则配置和统一管控能力,配合基于AI+大数据的各种智能规则下发、资产动态发现和威胁分析能力,才能最大化的帮助用户降低安全运维成本,保证安全运维效果。
一、跨云、多云、混合云、线下IDC全场景的安全防护
无论是硬件化还是软件化部署的WAF,面对复杂的IT环境,不可避免地会导致运维复杂、防护效果不专业等问题。阿里云云原生WAF产品,支持CNAME、云原生、混合云/多云等多种接入方式,支持为部署在阿里云公有云、云内私网、其他公有云、专有云、线下IDC机房的业务提供统一的安全管理和运维控制。
(图:阿里云WAF公有云、云内私网+其他公有云+线下IDC混合部署架构)
公有云部署模式
CNAME接入:源站公网可达即可接入
采用DNS配置方式,通过修改域名解析,将被防护域名的访问流量指向WAF,WAF根据域名配置的源站服务器地址,将处理后的请求转发回源站,实现网站服务器网络隐身;
透明引流接入:云原生全透明模式,一键秒级Bypass
WAF作为独立的反向代理进行流量转发,通过网关自动改变路由实现引流。客户无需修改DNS及对外IP,也无需源站保护。脱离公网链路,延迟更低,更能实现云产品实例级别接入,体现同架构底座的优势;
服务化接入:云原生镜像流量,和ALB(应用型负载均衡)深度耦合
WAF只通过镜像流量做安全检测,所有流量转发均有ALB负责,在摆脱网络限制的同时,实现更好的稳定性和性能;
混合云/多云部署模式
阿里云WAF可防护云上云下、多云混合、线下IDC、专有云环境,支持流量的全程全量本地/其他公有云处理,阿里云仅设置控制台。可支持私网回源至阿里云专线网络(VPC)针对互联专线或VPC之间的私网流量进行防护。
根据企业用户不同需求,阿里云WAF提供两种接入架构:
服务化接入模式
更轻量化模式,对用户网络架构无侵入,WAF集群以物理旁路、逻辑串联的方式接入用户的统一接入层。可设置自动Bypass条件,在出现检测延时或集群故障情况下,业务流量自动Bypass WAF集群,降低因网络延迟或集群故障引发的业务风险;
资源池与一体机交付架构
将WAF软件部署在ECS/VM/物理机中,通过修改DNS解析将流量引流至WAF集群,WAF集群可根据业务流量大小弹性扩容。
根据《中国混合云用户调查报告(2021年)》显示,选择混合云部署的企业达到了86.7%。阿里云混合云WAF帮助客户实现管理、运维、能力的统一管理,降本提效的同时,也能共享云端情报联动、1.5小时全网策略更新、超过150万+QPS弹性扩容等原生优势。
二、Web入侵防护:
基于AI的主动防御
Web入侵防御可以说是所有WAF的基石,IDC报告中提到:
”
除了常见的WAF功能外,阿里云WAF还支持基于人工智能技术的多种主动防御或自学习能力。
阿里云WAF经过多年实战演进,依托云端强大的计算、情报能力,已经处于攻击模型自训练,未知威胁发现阶段,多引擎结合识别各种来源的异常访问流量。
(图:阿里云WAF流量识别演进示意)
入侵防护:
内置23种深度解码能力,积累100+应用、300+高危特征指纹库,全面识别攻击,防护 SQL 注入、XSS、Webshell 上传、目录遍历、后门隔离等各 类常见 Web 攻击,自动拦截恶意扫描及探测,避免服务器性能异常、数据泄露、网页篡改等问题;
漏洞虚拟补丁:
针对web应用的安全漏洞(如CVE/CNVD等)提供虚拟补丁;
0day应急响应:
云上安全专家驻守,最新漏洞(0day)小时级全网自动防御,毫秒级全球区域封禁,单一用户受到攻击,全节点“免疫反应”;
智能学习引擎:
基于流量白基线、深度学习、主动防御等多重智能引擎,有效识别未知的特征攻击,日均攻击样本学习达到1亿;
全网威胁情报:
基于阿里云全网攻击数据产品的威胁情报(肉鸡库、IP地址库、爬虫库、http代理库等);
此外,为了更好地帮助客户进行攻击溯源,阿里云于2015年即开始部署自研RASP(Runtime Application Self-Protection)产品,通过检测应用运行时更深层次的流量,识别应用本身行为,实现不依赖规则就可以防御几乎全部0day,且误报率极低。目前,通过打通云架构,已实现云原生ARMS产品应用一键接入RASP的丝滑体验,帮助WAF“看见”更全面的流量。
三、API安全:资产全生命周期管理
信息化时代,流量与数据息息相关,流量的流通带来了数据的互享,创造了更多价值。而API作为数据传输的重要渠道之一,因其标准规范,且无需了解内部机制,被大规模使用。根据阿里云的数据观察统计,在云上,超过86.98%的客户在业务中使用API,超过66.69%的业务(域名)存在API接口,API流量占应用层总流量超过76.98%。
但风险也如影随形,据观察,在2021年通过的所有API流量中,有63.07%为恶意流量和机器流量。资产管理困难,攻击威胁多样,高脆弱性让API成为众矢之的。阿里云根据防护经验,梳理了API全生命周期流程及其风险:
设计阶段
定义:确定业务需求,明确API接口要实现的功能;制定接口规范、输入输出、参数结构
风险点:
- 业务设计缺陷,如输入输出设计不合理,输入中引入冗余参数、输出中暴露过多数据;敏感数据明文传输,未做加密或脱敏设计——55.88%的客户存在敏感数据过度暴露问题;
- 权限设计缺陷,未遵循最小权限原则,导致接口存在未授权访问风险——72.06%的客户缺乏鉴权机制和敏感数据接口;
开发阶段
定义:技术人员依据业务需求和接口设计,开发实现接口功能
风险点:
- 代码缺陷,导致接口存在稳定性风险、漏洞;
- 性能风险,接口处理性能无法满足业务正常需要;
- 缺乏异常处理,导致处理不正常数据时报错,泄漏开发配置信息;
发布阶段
定义:接口完成开发测试工作后,部署至生产环境,随业务正式发布上线
风险点:
- 新接口上线,未纳入安全管控,导致疑似内部接口暴露,产生新的攻击面:64.71%的客户存在此类风险;
- 接口未做访问控制,导致接口暴露,如将内部办公或特定群体使用的接口暴露在公网:57.35%的客户存在此类风险;
- 缺乏访问限速机制:83.82%的客户存在此类风险;
运行阶段
定义:接口按照业务预期,在线上稳定运行对外提供服务
风险点:
- 稳定性风险,由于接口设计开发缺陷、业务变更、DDoS攻击等因素,导致接口故障不可用;
- 非法调用,如未授权访问、越权访问等,导致数据泄漏、数据污染等;
- 接口滥用,如短信接口滥用、非法爬虫、垃圾注册等;
- 恶意攻击,如漏洞攻击、暴力破解等;
- 日志缺失,接口运行过程中缺少日志记录;
迭代阶段
定义:因业务变更、升级改造等因素,需要对接口进行版本迭代(通常会重走前述流程)
风险点:
- 版本迭代过程中,业务稳定性风险;
- 老版本接口退役后未及时下线关闭,仍可被调用;
下线阶段
定义:因业务变更等因素,接口完成其历史使命,下线关闭,不再对外提供服务
风险点:
- 接口下线后未及时关闭,仍可被调用;
阿里云WAF基于API资产生命周期管理,并结合内部脆弱性识别,外部威胁发现形成完整闭环,目前已全面覆盖OWASP提出的API TOP 10安全风险。
(图:阿里云API安全防护能力大图)
此外,针对API接口的DDoS攻击也愈发常见,除了通过拦截异常高频访问,对重点API限流限速以外。基于云原生底座的架构优势,客户也可一键接入DDoS防护产品,提升防护能力。
四、BOT防护:多层过滤防绕过
根据Imperva 2022年发布的报告显示,机器人流量已经占据2021年所有互联网活动的42.3%,其中,恶意机器流量的比例约为27.7%,约为正常机器流量的两倍。而Bot的攻击方式也日益复杂,目前主流的攻击方式为APBs(Advanced persistent bots),将各种类型的恶意Bot组合并轮换随机的IP,使用匿名代理,定期变更身份并且模仿不同的人类行为,使其更难被检测。
但所谓大道至简,万变不离其宗,对Bot的防控思路就分两点:
- 其一,识:根据流量、行为、环境、时序、身份等特征综合判断,增强识别准确度;
- 其二,控:根据业务特点选择同步处置或异步处置,及时阻断安全风险;
(图:阿里云Bot防控技术架构)
识·积累:客户端指纹识别
- 超过7000种设备环境、流量、报文、行为指纹采集和上报(纯硬件和匿名化,不侵犯业务隐私)
- 经过基于专家经验训练的决策引擎生成指纹,用于标注客户端身份和刻画流量基线
- 通过指纹打标建立和训练模型,生成防护策略,并可进一步利用云上优势圈定Bot背后攻击者的手法甚至攻击团伙
识·自动:爬虫行为分析,AI智能防御
- 多维度刻画流量基线:T+1流量画像和实时行为序列模型互为补充
- 通过动态IP爬取行为检测、时序异常分析模型等进行爬虫行为分析,基于机器预测逻辑更难被破解,降低对抗强度
- 自动下发,自动对抗
识·情报:云上协同防御情报
包含各类公有云/IDC来源IP、云上恶意爬虫情报、扫描器特征、撞库爆破IP、BOT种类和特征等,保持小时级更新速度;
防·过滤:多层次处置和响应能力
三层过滤系统,强感知层通过封禁、JS校验、滑块验证等方式对低级爬虫直接拦截,压制快不反弹;弱感知层通过假数据、自定义响应等方式降低和中级爬虫的对抗成本;无感知层则通过打标回源方式,结合业务双管齐下进行防护;
防·灵活:强大的自定义规则
- 丰富的匹配方式
- 灵活的统计自定义统计对象
- 完全自定义的统计窗口和黑名单时效
- 搭配多种处置手段
五、安全服务化:
全面融入网络基础设施
在双十一期间,阿里云Web应用防火墙累计检测20亿+次请求,拦截2000万+次Web入侵攻击、2亿+次CC和爬虫攻击,强大的吞吐能力来自云基础架构的加持,和云上网络的深度耦合。目前阿里云WAF已经完成了和CDN节点、SLB负载均衡的全面融合,流量天然过检测。
同时,云环境下也实现了安全产品能力的联动,无论是共享的安全情报,还是可以一键开启的WAF、DDoS、FWaaS等安全能力,都让客户可以根据自身防护需求,服务化调用,实现更轻量化的联动防御。
阿里云WAF产品是国内唯一获得Gartner、Forrester、IDC、Frost&Sullivan四大国际权威机构认可的WAF产品。跟云原生基础设施全面融合的架构,多云/混合云的部署适配,更全面的web应用防护能力,更智能的自学习算法,让阿里云WAF能在各类复杂场景下为用户提供统一、灵活、高效的一体化web安全解决方案。