开发者社区> 云安全专家> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

全场景安全防护丨一文了解阿里云WAF

简介: 文末有福利👉🏻👉🏻👉🏻
+关注继续查看

近日,IDC发布2021年《中国Web应用防火墙(软件)市场份额》报告,凭借丰富的云原生产品(如ALB/MSE等)和CDN边缘云的一键接入,灵活的多云/混合云部署及统一管控,外加完善的Web基础安全、Bot管理、API安全、智能规则托管和资产发现等能力,阿里云WAF成为市场份额第一,超过2-4名总和。



市场份额.jpg


(图:2021中国软件Web应用防火墙产品

厂商份额概况)


云时代下,伴随着移动互联网、物联网产品加速创新发展,Web应用、移动应用、API接口等已经融入生产生活的各个领域。根据Freebuf的统计,75%的网络攻击发生在Web应用层而非网络层面,约2/3的站点都相当脆弱,易受攻击。


难梳理的资产、多变的攻击手法、未知的数据泄露风险、复杂的网络部署环境......让应用流量的防护难上加难。复杂的世界需要更灵活、易用、智能的web安全产品,依托于灵活的技术架构横向覆盖云原生基础设施、边缘云、多云、混合云上部署的各种web服务,具备高效的规则配置和统一管控能力,配合基于AI+大数据的各种智能规则下发、资产动态发现和威胁分析能力,才能最大化的帮助用户降低安全运维成本,保证安全运维效果。


一、跨云、多云、混合云、线下IDC全场景的安全防护


无论是硬件化还是软件化部署的WAF,面对复杂的IT环境,不可避免地会导致运维复杂、防护效果不专业等问题。阿里云云原生WAF产品,支持CNAME、云原生、混合云/多云等多种接入方式,支持为部署在阿里云公有云、云内私网、其他公有云、专有云、线下IDC机房的业务提供统一的安全管理和运维控制。

一、跨云、多云、混合云、线下IDC全场景的安全防护.jpg

(图:阿里云WAF公有云、云内私网+其他公有云+线下IDC混合部署架构)


公有云部署模式


CNAME接入源站公网可达即可接入

采用DNS配置方式,通过修改域名解析,将被防护域名的访问流量指向WAF,WAF根据域名配置的源站服务器地址,将处理后的请求转发回源站,实现网站服务器网络隐身;

透明引流接入云原生全透明模式,一键秒级Bypass

WAF作为独立的反向代理进行流量转发,通过网关自动改变路由实现引流。客户无需修改DNS及对外IP,也无需源站保护。脱离公网链路,延迟更低,更能实现云产品实例级别接入,体现同架构底座的优势;

服务化接入云原生镜像流量,和ALB(应用型负载均衡)深度耦合

WAF只通过镜像流量做安全检测,所有流量转发均有ALB负责,在摆脱网络限制的同时,实现更好的稳定性和性能;


混合云/多云部署模式

阿里云WAF可防护云上云下、多云混合、线下IDC、专有云环境,支持流量的全程全量本地/其他公有云处理,阿里云仅设置控制台。可支持私网回源至阿里云专线网络(VPC)针对互联专线或VPC之间的私网流量进行防护。


image.gif混合云_多云部署模式.jpg


根据企业用户不同需求,阿里云WAF提供两种接入架构:

服务化接入模式

更轻量化模式,对用户网络架构无侵入,WAF集群以物理旁路、逻辑串联的方式接入用户的统一接入层。可设置自动Bypass条件,在出现检测延时或集群故障情况下,业务流量自动Bypass WAF集群,降低因网络延迟或集群故障引发的业务风险;

资源池与一体机交付架构

将WAF软件部署在ECS/VM/物理机中,通过修改DNS解析将流量引流至WAF集群,WAF集群可根据业务流量大小弹性扩容。

根据《中国混合云用户调查报告(2021年)》显示,选择混合云部署的企业达到了86.7%。阿里云混合云WAF帮助客户实现管理、运维、能力的统一管理,降本提效的同时,也能共享云端情报联动、1.5小时全网策略更新、超过150万+QPS弹性扩容等原生优势。


二、Web入侵防护:基于AI的主动防御

Web入侵防御可以说是所有WAF的基石,IDC报告中提到:


除了常见的WAF功能外,阿里云WAF还支持基于人工智能技术的多种主动防御或自学习能力。


阿里云WAF经过多年实战演进,依托云端强大的计算、情报能力,已经处于攻击模型自训练,未知威胁发现阶段,多引擎结合识别各种来源的异常访问流量。

image.gif

二、Web入侵防护:基于AI的主动防御.jpg

(图:阿里云WAF流量识别演进示意)



入侵防护:

内置23种深度解码能力,积累100+应用、300+高危特征指纹库,全面识别攻击,防护 SQL 注入、XSS、Webshell 上传、目录遍历、后门隔离等各 类常见 Web 攻击,自动拦截恶意扫描及探测,避免服务器性能异常、数据泄露、网页篡改等问题;

漏洞虚拟补丁:

针对web应用的安全漏洞(如CVE/CNVD等)提供虚拟补丁;

0day应急响应:

云上安全专家驻守,最新漏洞(0day)小时级全网自动防御,毫秒级全球区域封禁,单一用户受到攻击,全节点“免疫反应”;

智能学习引擎:

基于流量白基线、深度学习、主动防御等多重智能引擎,有效识别未知的特征攻击,日均攻击样本学习达到1亿;

全网威胁情报:

基于阿里云全网攻击数据产品的威胁情报(肉鸡库、IP地址库、爬虫库、http代理库等);

此外,为了更好地帮助客户进行攻击溯源,阿里云于2015年即开始部署自研RASP(Runtime Application Self-Protection)产品,通过检测应用运行时更深层次的流量,识别应用本身行为,实现不依赖规则就可以防御几乎全部0day,且误报率极低。目前,通过打通云架构,已实现云原生ARMS产品应用一键接入RASP的丝滑体验,帮助WAF“看见”更全面的流量。


三、API安全:资产全生命周期管理


信息化时代,流量与数据息息相关,流量的流通带来了数据的互享,创造了更多价值。而API作为数据传输的重要渠道之一,因其标准规范,且无需了解内部机制,被大规模使用。根据阿里云的数据观察统计,在云上,超过86.98%的客户在业务中使用API,超过66.69%的业务(域名)存在API接口,API流量占应用层总流量超过76.98%。


但风险也如影随形,据观察,在2021年通过的所有API流量中,有63.07%为恶意流量和机器流量。资产管理困难,攻击威胁多样,高脆弱性让API成为众矢之的。阿里云根据防护经验,梳理了API全生命周期流程及其风险:


设计阶段

定义:

确定业务需求,明确API接口要实现的功能;制定接口规范、输入输出、参数结构

风险点:

  • 业务设计缺陷,如输入输出设计不合理,输入中引入冗余参数、输出中暴露过多数据;敏感数据明文传输,未做加密或脱敏设计——55.88%的客户存在敏感数据过度暴露问题;
  • 权限设计缺陷,未遵循最小权限原则,导致接口存在未授权访问风险——72.06%的客户缺乏鉴权机制和敏感数据接口;

开发阶段

定义:

技术人员依据业务需求和接口设计,开发实现接口功能 

风险点:

  • 代码缺陷,导致接口存在稳定性风险、漏洞;
  • 性能风险,接口处理性能无法满足业务正常需要;
  • 缺乏异常处理,导致处理不正常数据时报错,泄漏开发配置信息;

发布阶段

定义:

接口完成开发测试工作后,部署至生产环境,随业务正式发布上线

风险点:

  • 新接口上线,未纳入安全管控,导致疑似内部接口暴露,产生新的攻击面:64.71%的客户存在此类风险;
  • 接口未做访问控制,导致接口暴露,如将内部办公或特定群体使用的接口暴露在公网:57.35%的客户存在此类风险;
  • 缺乏访问限速机制:83.82%的客户存在此类风险;

运行阶段

定义:

接口按照业务预期,在线上稳定运行对外提供服务

风险点:

  • 稳定性风险,由于接口设计开发缺陷、业务变更、DDoS攻击等因素,导致接口故障不可用;
  • 非法调用,如未授权访问、越权访问等,导致数据泄漏、数据污染等;
  • 接口滥用,如短信接口滥用、非法爬虫、垃圾注册等;
  • 恶意攻击,如漏洞攻击、暴力破解等;
  • 日志缺失,接口运行过程中缺少日志记录;

迭代阶段

定义:

因业务变更、升级改造等因素,需要对接口进行版本迭代(通常会重走前述流程)

风险点:

  • 版本迭代过程中,业务稳定性风险;
  • 老版本接口退役后未及时下线关闭,仍可被调用;

下线阶段

定义:

因业务变更等因素,接口完成其历史使命,下线关闭,不再对外提供服务

风险点:

  • 接口下线后未及时关闭,仍可被调用;


阿里云WAF基于API资产生命周期管理,并结合内部脆弱性识别,外部威胁发现形成完整闭环,目前已全面覆盖OWASP提出的API TOP 10安全风险。


image.gif三、API安全:资产全生命周期管理.jpg


(图:阿里云API安全防护能力大图)


此外,针对API接口的DDoS攻击也愈发常见,除了通过拦截异常高频访问,对重点API限流限速以外。基于云原生底座的架构优势,客户也可一键接入DDoS防护产品,提升防护能力。

四、BOT防护:多层过滤防绕过

根据Imperva 2022年发布的报告显示,机器人流量已经占据2021年所有互联网活动的42.3%,其中,恶意机器流量的比例约为27.7%,约为正常机器流量的两倍。而Bot的攻击方式也日益复杂,目前主流的攻击方式为APBs(Advanced persistent bots),将各种类型的恶意Bot组合并轮换随机的IP,使用匿名代理,定期变更身份并且模仿不同的人类行为,使其更难被检测。


但所谓大道至简,万变不离其宗,对Bot的防控思路就分两点:

  • 其一,识:根据流量、行为、环境、时序、身份等特征综合判断,增强识别准确度;
  • 其二,控:根据业务特点选择同步处置或异步处置,及时阻断安全风险;


四、BOT防护:多层过滤防绕过.jpg

(图:阿里云Bot防控技术架构)


识·积累:客户端指纹识别

  • 超过7000种设备环境、流量、报文、行为指纹采集和上报(纯硬件和匿名化,不侵犯业务隐私)
  • 经过基于专家经验训练的决策引擎生成指纹,用于标注客户端身份和刻画流量基线
  • 通过指纹打标建立和训练模型,生成防护策略,并可进一步利用云上优势圈定Bot背后攻击者的手法甚至攻击团伙


识·自动:爬虫行为分析,AI智能防御

  • 多维度刻画流量基线:T+1流量画像和实时行为序列模型互为补充
  • 通过动态IP爬取行为检测、时序异常分析模型等进行爬虫行为分析,基于机器预测逻辑更难被破解,降低对抗强度
  • 自动下发,自动对抗


识·情报:云上协同防御情报

包含各类公有云/IDC来源IP、云上恶意爬虫情报、扫描器特征、撞库爆破IP、BOT种类和特征等,保持小时级更新速度;


防·过滤:多层次处置和响应能力

三层过滤系统,强感知层通过封禁、JS校验、滑块验证等方式对低级爬虫直接拦截,压制快不反弹;弱感知层通过假数据、自定义响应等方式降低和中级爬虫的对抗成本;无感知层则通过打标回源方式,结合业务双管齐下进行防护;


防·灵活:强大的自定义规则

  • 丰富的匹配方式
  • 灵活的统计自定义统计对象
  • 完全自定义的统计窗口和黑名单时效
  • 搭配多种处置手段


五、安全服务化:全面融入网络基础设施

在双十一期间,阿里云Web应用防火墙累计检测20亿+次请求,拦截2000万+次Web入侵攻击、2亿+次CC和爬虫攻击,强大的吞吐能力来自云基础架构的加持,和云上网络的深度耦合。目前阿里云WAF已经完成了和CDN节点、SLB负载均衡的全面融合,流量天然过检测。


同时,云环境下也实现了安全产品能力的联动,无论是共享的安全情报,还是可以一键开启的WAF、DDoS、FWaaS等安全能力,都让客户可以根据自身防护需求,服务化调用,实现更轻量化的联动防御。


五、安全服务化:全面融入网络基础设施.png


阿里云WAF产品是国内唯一获得Gartner、Forrester、IDC、Frost&Sullivan四大国际权威机构认可的WAF产品。跟云原生基础设施全面融合的架构,多云/混合云的部署适配,更全面的web应用防护能力,更智能的自学习算法,让阿里云WAF能在各类复杂场景下为用户提供统一、灵活、高效的一体化web安全解决方案。


路漫漫其修远兮,阿里云WAF也在持续演进升级:6月30日 14:00,我们将发布阿里云WAF3.0版本,包含更多云原生安全能力。扫描下方二维码即可申请产品免费体验(提供1000+SECU体验券),名额有限,先到先得~

46F8A6BE-F0FC-4C17-97BD-F8593A70FAB8.png

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
新手用户从选配阿里云服务器到网站上线全流程介绍
本教程是写给新手的,包括阿里云服务器CPU内存、实例规格、公网带宽选择,安全组设置、云盘选择及挂载、云服务器配置教程和网站搭建教程的全流程介绍。
137 0
阿里云图像搜索批量操作Quick Start
图像搜索(Image Search)以深度学习和机器视觉技术为核心,提取图片内容特征、建立图像搜索引擎,是一款用于图片间相似性检索的平台型产品。用户输入图片,可以快速在图片库中检索到与输入图片相似的图片集合。结合不同的行业和业务场景,图像搜索可广泛的应用于拍照购物、商品推荐、版权保护、图片相似推荐等场景。图像搜索可以通过批量操作功能批量导入阿里云OSS中的图片,或批量删除已经入库的图片,适用于较大规模的离线图片数据操作,稳定性高、速度快、操作方便。本文以商品图片搜索演示图片批量新增以供参考。
6480 0
阿里云网站域名备案流程全过程讲解(图文)
为了在国内能够合法的开办网站,方便的使用国内服务器,最重要的还是备案,小站使用的阿里云的服务器,当然通过阿里云来备案啦,本站使用的阿里云 ECS,和普通的虚拟主机不一样,主要区别是需要申请一个备案服务号。因为一个 ECS 可以建 n 个网站,所以备案的时候需要申请备案号。阿里云说免费 5 个备案号,也就是说可以免费备案 5 次,超过以后就要购买了。下面就讲讲备案流程吧。
3675 0
阿里云网站域名备案流程全过程(图文讲解)
阿里云网站域名备案流程全过程(图文讲解)
3126 0
基于阿里云的企业安全最佳实践
账户安全管理1、为云账户和高风险权限RAM用户启用多因素认证(MFA)。2、授权予高风险特权操作时,使用带IP和MFA限制条件的授权策略进行授权。3、分离用户管理、权限管理与资源管理的RAM用户,分权制衡。
1990 0
一文了解南京云栖阿里云重磅产品发布
关于数字化转型需要做什么事情?昨天,云栖大会·南京峰会期间,我们讲了很多案例。 近年来,在驱动中国的使命下,城市、交通、金融、工业、农业等各个领域都在不断创新。在这个过程当中,云计算大数据的产品发挥了非常重要的作用。
3320 0
基于阿里云Serverless架构下函数计算的最新应用场景详解(一)
Serverless概念是近年来特别火的一个技术概念,基于这种架构能构建出很多应用场景,适合各行各业,只要对轻计算、高弹性、无状态等场景有诉求的用户都可以通过本文来普及一些基础概念,看看这些场景是否对用户有一些指导意义。
12998 0
阿里云发布函数计算 毫秒级弹性伸缩
本文讲的是阿里云发布函数计算 毫秒级弹性伸缩【IT168 现场报道】4月26日,在云栖大会·南京峰会上,阿里云宣布函数计算(Function Compute)启动邀测。这是一个事件驱动的无服务器计算平台。用户按需调用、按需付费,无需管理服务器等基础设施,特别适用于应用场景中有明显波峰波谷的企业。
1966 0
阿里云发布函数计算 毫秒级弹性伸缩
4月26日,在云栖大会・南京峰会上,阿里云宣布函数计算(Function Compute)启动邀测。这是一个事件驱动的无服务器计算平台。用户按需调用、按需付费,无需管理服务器等基础设施,特别适用于应用场景中有明显波峰波谷的企业。
1098 0
+关注
云安全专家
阿里云安全
350
文章
1
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载