如何保證云上業(yè)務(wù)高可用性的同時系統(tǒng)不被入侵
(文章來源:CSDN)
如今,電子政務(wù)、電子商務(wù)、網(wǎng)上銀行、網(wǎng)上營業(yè)廳等依托Web應(yīng)用,為廣大用戶提供靈活多樣的服務(wù)。在這之中,流量攻擊堪稱是Web應(yīng)用的最大敵人,黑客通過流量攻擊獲取利益、競爭對手雇傭黑客發(fā)起惡意攻擊、不法分子通過流量攻擊癱瘓目標后勒索高額保護費,往往會對業(yè)務(wù)造成嚴重損害。
對于開發(fā)者和企業(yè)網(wǎng)站管理人員來說,數(shù)據(jù)爬取、暴力破解和撞庫等Web攻擊手段日益復(fù)雜,均需要建立強大且實時的防御能力,避免業(yè)務(wù)乃至企業(yè)因防護脆弱“失血過多”而死。部署WAF成為公認的最基礎(chǔ)且有效的防御手段,但由于攻擊手段的多樣化和企業(yè)業(yè)務(wù)的復(fù)雜性,傳統(tǒng)的本地部署WAF已經(jīng)越來越難以發(fā)揮預(yù)想的防御效果。
云WAF恰恰能夠解決本地部署WAF的缺陷,成為大量中小型企業(yè)以及個人網(wǎng)站的新選擇。云WAF部署簡單、維護成本低,無需安裝任何軟件或者部署任何硬件設(shè)備即可將網(wǎng)站部署到云WAF的防護范圍之內(nèi)。云WAF的防護規(guī)則都處于云端,新漏洞爆發(fā)時,由云端負責(zé)規(guī)則的更新和維護,用戶無需擔(dān)心因為疏忽導(dǎo)致受到新型的漏洞攻擊。
在日常的部署中,網(wǎng)站負責(zé)人員如何選擇與自身業(yè)務(wù)屬性和發(fā)展規(guī)劃匹配的云WAF產(chǎn)品?如何確保其能夠為現(xiàn)階段業(yè)務(wù)提供高可用的產(chǎn)品與服務(wù)?又如何為未來業(yè)務(wù)發(fā)展中安全防護的持續(xù)性和可擴展性做好冗余?目前的Web應(yīng)用逐步API化,除了傳統(tǒng)的Web攻擊,API的安全問題、網(wǎng)絡(luò)中的機器人流量的問題也日趨嚴重,Web應(yīng)用安全從傳統(tǒng)的SQL、XSS防護等,逐步開始向API安全,Bot機器人行為防護等防護技術(shù)過渡。
在Web攻防實戰(zhàn)中最受關(guān)注的有四種攻擊方式:一是植入webshell,控制管理后臺然后拖庫;二是Web內(nèi)容被惡意替換成違法違規(guī)的圖片和文字;三是掛入黃賭網(wǎng)頁、私服或跳轉(zhuǎn)頁面等倒量引流;四是競品發(fā)動DDoS攻擊致使業(yè)務(wù)癱瘓。
攻擊技術(shù)、漏洞披露等日趨成熟,特別是針對Web安全相關(guān)漏洞的利用日趨產(chǎn)業(yè)化,企業(yè)需要更加重視如何在安全運營中進行快速響應(yīng),構(gòu)建與之適應(yīng)的安全運營體系。企業(yè)首先應(yīng)該做好自查,全面完整的自我了解是企業(yè)實現(xiàn)Web應(yīng)用安全防護的基礎(chǔ)。同時,更應(yīng)該嘗試和接納新興技術(shù),以顯著提高對新型威脅和未知威脅的檢測、防御效果。
某旅游網(wǎng)站被爆全網(wǎng)站2100萬條“真實點評”中有85%的評論是通過爬蟲 Bot 機器人程序從競爭對手平臺抄襲而來,“點評抄襲造假”的輿論風(fēng)波一時驟起,使網(wǎng)站深陷質(zhì)疑;同年2月,某視頻網(wǎng)站遭遇大量原創(chuàng)內(nèi)容和用戶數(shù)據(jù)被非法網(wǎng)絡(luò)爬蟲盜取侵權(quán);航空公司遭爬蟲惡意低價搶票等事件層出不窮,無一不在挑戰(zhàn)著各行業(yè)網(wǎng)站業(yè)務(wù)的安全防線。
傳統(tǒng)上用于檢測和防護惡意BOT流量的訪問頻率限制、IP黑名單設(shè)置、CAPTCHA驗證人類用戶等方法和規(guī)則已無法有效應(yīng)對不斷升級的威脅形勢。而從BOT實際運作的模式不難看出,BOT(機器人行為)訪問流量的好壞實際是由實際操控者所決定。如何對網(wǎng)站訪問的BOT流量進行有效行為甄別與安全管理,成為各行業(yè)開展線上業(yè)務(wù)共同面臨的安全挑戰(zhàn),是全網(wǎng)發(fā)力破解的重要痛點之一。
針對BOT行為友好與惡意雜糅并存的特征,企業(yè)在防御惡意BOT流量訪問與攻擊時,不應(yīng)采用“一刀切”簡單方式進行封堵,而應(yīng)在精準區(qū)分BOT程序和人類訪問流量、友好BOT和惡意BOT流量的基礎(chǔ)上,形成差異化響應(yīng)策略,助力企業(yè)真正實現(xiàn)高效防護惡意BOT流量攻擊的目標,繼而夯實全網(wǎng)Web安全線。
基于“精準流量監(jiān)測技術(shù)是解決惡意BOT攻擊識別問題關(guān)鍵”的基本思路,騰訊云WAF上線了基于“規(guī)則+AI”雙引擎,打造的BOT行為管理解決方案,可幫助企業(yè)有效甄別友好及惡意機器程序并采取針對性流量管理策略。策略思路方面,該方案主張采用溫和管理而非直接杜絕的策略,以在保障友好BOT運行的前提下,確保風(fēng)險管控響應(yīng)的精準性。
SaaS模式的WEB應(yīng)用安全產(chǎn)品憑借其便捷的應(yīng)用部署、靈活的訂閱方式、強大的可擴展性、輕量的運維負擔(dān)等諸多優(yōu)勢,越來越普遍地被企業(yè)級客戶,尤其是網(wǎng)絡(luò)運維人員緊缺、安全預(yù)算有限或業(yè)務(wù)變化較快的中小型企業(yè)所接受,成為企業(yè)構(gòu)建業(yè)務(wù)安全防護體系時的一項重要選擇。
國內(nèi)主要公有云和私有云服務(wù)提供商均為租戶提供了全面的云原生安全防護產(chǎn)品,用戶可以很便利地按需訂閱符合自身業(yè)務(wù)需求的Web應(yīng)用安全產(chǎn)品。同時,在公有云/私有云平臺的云市場中也提供了第三方安全廠商專為云平臺打造的虛擬化Web應(yīng)用安全產(chǎn)品,企業(yè)用戶可以靈活選擇信賴的品牌產(chǎn)品,以實現(xiàn)云端業(yè)務(wù)的全面安全保護。
在構(gòu)建云安全防御體系時,利用云服務(wù)商提供的一整套安全解決方案和推薦產(chǎn)品,更快捷,更加系統(tǒng)地構(gòu)建自己的防御體系;減少利用非原生安全產(chǎn)品造成的架構(gòu)復(fù)雜、安全數(shù)據(jù)無法共享、運營成本高等問題。同時利用云原生的基本安全能力和最新安全技術(shù)能力,構(gòu)建主動防御體系,如利用基礎(chǔ)DDoS、安全組、IPv6轉(zhuǎn)換、VPC Peer等構(gòu)建可靠的網(wǎng)絡(luò)體系,利用AI技術(shù)、威脅情報、API安全、賬號安全體系等,搭建更符合云上應(yīng)用的安全運營系統(tǒng)。
5G網(wǎng)絡(luò)的普及可能會極大的擴展應(yīng)用的邊界和形態(tài),包括從TOC向TOB的發(fā)展,邊緣計算的興起等等。另外可能5G應(yīng)用的場景的多樣化,客戶對安全的需求也會大幅增加。在未來,我們可能很難通過標準的產(chǎn)品來滿足客戶的安全需求,這里面可能就需要客戶來自己通過開放的平臺來編程實現(xiàn)自己的功能,整體上就是產(chǎn)品去和邊緣計算去做結(jié)合,然后實現(xiàn)用戶可編程的安全。
? ? ? ?