零信浏览器于6月1日上线公测版,发现下载比较慢,于是我们就启用了阿里云CDN,启用后又发现阿里云CDN支持边缘WAF防护功能,我们果断开通了WAF防护,通过这十几天的实际体验和测试,各项性能指标还不错。所以,笔者决定为我们新推出的网站安全云服务增加CDN服务,并且笔者断定:CDN分发+云WAF防护+HTTPS加密+可信认证将成为所有网站的标配,本文就展开讲讲我的这个预测。
网站安全的第一要素是https加密,实现从浏览器到服务器之间的信息传输是加密的,防止机密信息在传输过程泄密,有效杜绝各种非法窃取和非法篡改。这是网站安全的基本要求,没有https加密,所有浏览器都会提示“不安全”,这是正确和准确的提示。
但是,仅有https加密还是不够,因为没有安全防护,各种网络攻击使得https加密失去了意义。所以,网站安全第二要素是WAF防护,这也是不可或缺的,WAF能有效防止各种攻击,防止信息从浏览器到达服务器后的被非法窃取和非法篡改。https加密保障机密信息安全到达服务器,而信息到达服务器后防止各种网络攻击的工作就只能由Web应用防火墙来完成了。https加密和WAF防护各司其职、各管一段!
但是,有了https加密和WAF防护仍然是不够的,因为一个假冒银行网站也可以非常容易地获得SSL证书实现https加密,也可以非常容易地获得云WAF防护,但这是一个假冒银行网站,笔者相信没有人会认为这个网站是安全的!所以,网站安全还需要一个重要的元素—网站身份可信认证,这个同https加密和WAF防护一样重要!如果网站部署已验证身份的IV SSL证书、OV SSL 证书和EV SSL证书,则就能有效证明网站的真实身份。但是,未验证网站身份仅验证了域名控制权的 DV SSL证书则无法证明网站的可信身份,还需要其他方式来证明网站的可信身份,这个就是网站可信认证服务。
相信大家通过上面的讲解已经理解了为何网站安全需要三个方面的保护:https加密、WAF防护和可信认证,有了这三个方面的保护,才能保障网站的安全。但是,如何实现这三个方面的保护,则就需要充分发挥云计算的技术优势了。
第一个安全保障技术是https加密的实现。传统方式是用户向CA申请 SSL证书,拿到证书后部署到服务器上使用。但是,这个过程是比较痛苦的过程,非常麻烦,而且虚拟主机用户即使想花钱买 SSL证书也由于自己无服务器而无法安装SSL证书。这就是为何零信技术推出了云SSL服务,实现了自动化部署SSL证书,用户只需设置一次CNAME域名解析即可快速获得用于实现https加密的SSL证书,与用户是否有独立服务器和是否是虚拟主机无关,只要是可以http访问的网站都可以轻松自动实现https加密!这是一个典型的云密码服务。
第二个安全保障技术是WAF防护的实现。传统方式是用户采购 WAF设备,部署在服务器的前端,为后端的网站提供安全防护。但是,这个防护措施仅适合于有自己的独立机房和服务器的政府机构和大公司,不适合于普遍使用云服务器的部署自己网站的其他用户。这就是需要云 WAF服务来保障,用户只需设置一次CNAME解析就可以实现云WAF防护,只要是可以http访问的网站都可以轻松实现云WAF防护。再加上零信云SSL服务,就可以自动把SSL证书部署到云WAF上实现,实现https加密的云 WAF防护,这就是两个云服务叠加的技术优势,使得用户只需设置两次CNAME域名解析,10分钟实现https加密和云 WAF防护。
而为了提升用户访问网站的响应速度,推荐同时为网站采用 CDN内容分发服务,实现网站内容,特别是有下载大文件的内容,高速分发到接近用户的节点,从而大大提升用户体验。当然,必须是集成云 WAF防护的CDN服务,因为云 WAF防护是必须,CDN则是锦上添花。
第三个安全保障技术是网站可信认证的实现。传统的认证方式是需要用户填写认证申请表、提供营业执照加盖公章、申请人身份证、电话收费发票等一大堆证明材料,由人工核实第三方可信数据库如工商数据库、电话黄页等,完成证明材料审核和电话验证后才能完成网站可信身份认证。而云认证服务则充分利用工信部的网站备案数据库和其他大数据,只要用户输入待申请认证的域名即可自动完成身份认证的核实,只需人工后台复审确认即可快速完成。这也要归功于各种云服务的普及应用。
由此可见,要想保障网站安全,必须同时有https加密、WAF防护和可信认证,缺一不可。而要实现这三个保障服务,唯有采用云服务才能减轻用户的使用负担,不仅仅是能降低实现的成本,而且能让用户非常省事。所以,笔者断言:CDN分发+云WAF防护+HTTPS加密+可信认证将成为所有网站的标配。这个断言也是有依据的,Gartner在2021年9月发布的WAF魔力象限报告中预测:到 2024 年,也就是2年后,70% 的组织将选择云 WAF服务,而不是采购WAF设备或租用WAF设备。
