▲上海有云信息技术有限公司CTO江均勇
在第一天的下午专场一会场,来自上海有云信息技术有限公司CTO江均勇带来了《云计算中的网络功能虚拟化及安全应用解决方案》主题演讲。
江均勇介绍到,传统WAF采用的是软硬件一体化的模式实现,在部署方案中,采用串联或者旁路部署的方式,对被保护的WEB服务器的流量进行安全检测。WAF的功能包括防止黑客进行SQL注入、XSS跨站、畸形报文、文件注入、系统命令注入、网页篡改、信息泄露等攻击,来实现保障WEB服务应用安全。但传统WAF在如今的安全形势下有非常多的缺点,软硬件一体化,可靠性同时依赖于硬件与软件;二是升级与维护复杂,缺少集中的管理平台,硬件一旦出现故障,必须要厂家更换设备或重新购买;三是扩容复杂,需要重新制定解决方案;四是运维成本高,增加数据中心(或普通机房)内对设备类型的管理和监控。
▲传统WAF
为了解决传统WAF的这些缺点,业界又出现了云WAF,但云WAF依然有不足。江均勇讲到,云WAF的主要原理就是通过访问路径变更,通过DNS重定向的方式,将需要防护的WEB服务器的DNS定向到“WAF”上,WAF再通过反向代理的方式访问WEB服务器。但这就又有了新的安全问题,首先是云WAF不在需要保护的WEB Server用户管理的范畴,所有WEB访问数据经过云WAF是否放心数据安全?二是云WAF到WEB Server的后端访问路径,安全性如何保障?在技术实现方案上,云WAF是否真正的云呢?传统软硬件一体化设备、软件反向代理等WAF同样可以实现,没有体现出云的特征!
▲云WAF
江均勇总结到,传统的云WAF采用了互联网的软件服务模式,提供了“SecAAS”(安全作为服务)需求的特性,而并未根除WEB应用安全的最终需求,云的宣传只是一种噱头。
对于传统数据中心应用,大规模Web集群的访问数据量超过每秒数GB,传统的WAF无法进行部署防护,且管理维护复杂。江均勇介绍到,基于此有云推出了CloudASG:
▲有云CloudASG
有云CloudASG有以下特点:
部署简易:有云CloudASG通过集中部署安全防护云的方式,用户环境只需将Web流量通过简单的策略路由的形式引入到CloudASG中,CloudASG通过ASG实例对Web流量进行安全检测,实现Web应用安全的防护。同时,CloudASG还可以与数据中心管理联动,对持续攻击的IP地址等实现黑名单阻断,即在核心路由侧对恶意IP执行阻断,防止DOS攻击;
扩容方便:客户业务增加,Web流量随之增大,对于安全防护来说,仅需要在CloudASG中增加通用服务器资源,采用云计算典型的硬件即插即用的方式即可,无需额外的配置;
CloudASG与业务完全解耦:出现故障时,客户可以通过对交换机策略路由的配置,直接跳过CloudASG,恢复与部署简便;
集中管理与开放接口:大规模应用安全防护,CloudASG提供集中地管理平台ASGM,可以方便安全防护的配置,同时ASGM开放接口,用户可通过开放接口查询安全攻击日志数据和报表等;
在数据中心云计算环境中,有云CloudASG通过插件式管理方式,利用云平台的自动化部署特性,将Web应用防护实例动态的关联部署到待防护的Web服务器前端,在虚拟化环境中采用SDN引流的方式实现对Web服务的安全防护。
江均勇谈到,有云Cloud ASG提供了灵活的部署框架模型,极大的降低了运维管理成本,较传统软硬件一体机及传统云WAF方案,安全性、可靠性、可维护性和可操作性具备绝对的优势,对传统数据中心演进以及云计算数据中心增扩容能够平滑过渡和支持。
