凡使用阿里云的,就必须进行相应的安全防护,当然裸奔的除外。现在互联网没有安全服务,就好比18岁的妙龄少女躺在床上,家中大门敞开(自己还蒙了眼...)。
作为一个阿里云的深度使用用户。我和团队分享一些阿里云的安全产品的使用体验,希望给后续者一点指引和分享。
阿里云安全产品有着自己的安全防护机制,分为情报、感知、防御三个维度,通过威胁情报共享和产品联动,来控制风险。云盾WAF就属于其中的“防御”关卡。云盾WAF是一个必用的安全产品,我们简单总结了下它的和Imperva,国际主流的WEB防火墙的之间的功能特点和不足。
功能特点:
1、 Web应用攻击防护:内置多种防护策略,可一键开启OWASP常见威胁防护(SQL注入、XSS跨站、Webshell上传等)。
2、 URL自定义规则:针对特定URL设置白名单,解决误拦截的问题。
3、 CC攻击防护:针对请求中常见头部字段,如IP、User-Agent,Referer等参数的特征配置访问控制;可设置针对某具体URL业务的访问频率规则。
4、 操作简单,没有太多配置项,大部分功能只需选择开启或关闭。
不足之处:
1、 安全策略具体规则都不可见,无法判断哪些规则会对应用产生影响,一旦触发阻拦策略,需要阿里云去查询确认;
2、 默认阿里云WAF根据域名(含二级域名)选择防护模式,由于汇付通常使用二级目录切分应用,因此如果无法合理拆分域名,应用迭代后一旦促发阻拦策略会影响该域名下的所有应用;
3、 阿里云WAF默认策略包含阻拦模式,开启防护仿真(warning)需要按照防护域名关闭阻拦模式
4、 阿里云主机安全检测漏洞,漏洞误报/忽略操作,不能批量操作(只能全局加白名单或单台操作)
5、 弹性的功能略有不足,Web防火墙WAF降配只能阿里云后台操作,不便捷
6、 阿里云后台更新WAF防护策略,无法提前预知策略是否对公司的web应用产生影响
Imperva 硬件WAF 产品对别差异
功能特点:
1、 HTTP漏洞防护:导入策略模板,可针对漏洞进行定制(如0day漏洞等),可先开启观察模式,确定无误杀情况下,再开启阻拦模式
2、 URL,服务端口可自定义,支持任意可用端口
3、 Imperva waf支持阻拦实时邮件告警,可自定义报表并定期发送
4、 Imperva waf支持防护非web层面应用攻击
5、 可直接导入漏洞报告,根据扫描报告中漏洞信息,自动生成防护策略
不足之处:
1、 设备策略下发需要在两台集群设备上分别下发策略和配置IP和服务端口
2、 设备部署环境,需要依赖网络架构
3、 设备部署,需要考虑高可用性
阿里云盾WAF基础功能介绍
目前我们使用的是企业版。除了企业版之外,也可以选择“旗舰版”,其差异主要在于支持QPS流量达到10000(企业版为5000);CC防护QPS 500000(企业版为100000);访问控制规则支持200条(企业版为50条);带宽更大;另外旗舰版的安全防护可做参数规格定制。其他包括支持的业务、域名等都是一致的。
阿里云云盾WAF安全总览
**阿里云云盾WAF安全报表
**
阿里云云盾WAF添加防护网站配置
通过页面可以查看/搜索已经接入的防护域名,并显示最近2天受攻击的信息,非常好用基本初级安全人员或有些安全常识的技术人员就可使用,门槛比较低。
缺点是每一页只能显示10个域名,像我们200多个域名,迁移上云那次配的真心是要吐。
防护配置中有各类防护开关,包括Web应用攻击防护、恶意IP惩罚(某个IP在短时间内多次Web攻击,则可设置封禁该IP一段时间)、封禁地区、CC安全防护、“精准访问控制”、数据风控和“新智能防护引擎”,默认启用阿里云防护规则,同时支持自定义规则。
相比传统的硬件WEB防火墙WAF,阿里云云盾WAF操作简单便捷。添加配置防护域名只需要填入相关域名信息,回源IP地址信息,就可开启阿里云云盾WAF防护,默认策略基本能够阻拦互联网上大部分WEB攻击。
缺点是不够能精细化制定一些特殊规则,比较简单粗暴,新业务或者迁移上云的朋友要小心中招,建议循序漸进,我们曾经踩过的坑后续给大家一起分享分享。
Imperva 硬件Waf 基础功能介绍
ImpervaWAF一个创新是基于应用层交互内容的安全检测。对访问的URL、动态页面传递参数、Cookie传递的参数等进行监测并辅以自学习算法,可以生成访问网站的正常基线模型。将用户的访问请求对比正常的访问行为基线;明显偏离正常行为模式则可产生告警和即时阻断。策略的产生可由设备的自学习功能完成,还可以根据Web应用的变化进行自适应调整。能够针对新上线的web网站进行学习观察模式,对触发防护规则的疑似攻击进行告警提示,待系统确认后开启阻拦模式,有效的防止新业务上线后,被web应用防火墙误拦截。
Imperva WAF 仿真学习模式
Imperwa WAF 策略集
Imperva WAF 告警
Web漏洞扫描工具集成
Web漏洞扫描工具(比如IBM Appscan、HP Web Inspect、Cenzic、NT Objective、Acunetix WVS、WhiteHat等)进行集成。Imperva WAF可以导入这扫描Web系统的漏洞结果文件,根据这个漏洞结果,直接动态生产安全策略,可以方便快捷的修补这种漏洞
Web扫描程序集成。一般公司都会买这类工具集成到开发流水线上,实际效果是非常鸡肋,初创公司不建议,如果是过检可以考虑忽下老师还是很好滴。
Imperva 硬件防火墙可以通过动态建模来防止未知攻击,同时也可关联网页应用的应用用户,并将用户信息和后续网页活动进行关联,可基于用户设置安全策略。据有关联规则能力,可将多个告警事件关联起来进行统一分析。同时支持在log中记录详细的http请求、http响应内容,对安全事件应急响应很有帮助。汇付目前有多台imperva设备,对于组成集群的imperva设备策略需要同时分开配置,统一配置策略下发和统一设备关联需要另购买imperva 统一管理产品。
阿里云云盾WAF CC攻击防御
云盾WAF的一个功能是CC攻击防御:WAF对单一来源IP的访问频率进行控制、重定向跳转验证、人机识别等。针对海量慢速请求攻击、识别异常referer、User-agent等信息的请求,可结合精确访问控制过滤。CC防御是很多网站关心的内容,作为一款线上WAF,阿里云云盾可以利用云上的资源弹性伸缩的特点,更好地防御攻击。这个非常推荐,现在基本常规的都是DDOS+CC,建议一并启用。
CC攻击配置简单便捷,便于安全人员进行操作和管理;目前只支持URL匹配规则,基于URL、时间段内和频率维度,阻止分为立即封禁和人机识别。配置操作支持单一,在有大量域名和url复杂情况下,业务量突发情况下,易造成策略触发,进行业务阻断。 阻断日志中标记未tmd,无法对应到具体策略规则。CC报表中,也只能看到报表曲线图,无法定位具体是什么策略触发。
”这里图,就不放了带有太多的公司内部信息“
安全报表 CC攻击
Imperva Waf cc攻击防御
Imperva 硬件防火墙Waf 可配置CC攻击防护策略,进行多策略联动。将多维度的日志信息输出至安全大数据平台,借助机器学习进行深度分析和告警。我们目前是吧WAF NS 内部交换机 IPS NG 蜜罐等流量
都统一接入我们的大数据ELK平台,集合威胁情报,可以做到事后可溯源,事中快速发现和排查 预警。
智能语义检测-阿里云特色
这里属于广告部分,大家看看看就好,后续应用效果我们再补充。
阿里云WAF的宣传中提到,通过技术创新使得规则条数下降70%,运营成本降低50%,WAF使用了智能语义检测来识别风险。防护引擎全面升级,提供更全面的防护能力和更便捷的操作体验。
对于产品介绍中提到升级后可支持分类聚会防护模块,从web入侵防护、Bot管理、访问控制/限流等多维度为业务提供全面防护,提供更细化的策略定制和规则数,能够满足多业务下的非法请求管理,支持一键基于IP,IP段以及IP地区属性的黑名单,实现访问控制操作更便捷。
最后针对阿里云的产品,我们期望升级前能够对测试到位,并且留足时间给到我们用户。各位兄弟在使用相关产品做好评估,特别是评估升级前后安全策略规则不会有误判,触发阻拦规则,造成生产线上业务无法正常使用。我们吃过几次亏,建议阿里云产品升级还是要时刻保持关注和警觉,虽然出错很少,但一次踩坑就是跪舔。
