4月底的Struts2 S2-032让安全的江湖又掀起了一阵腥风血雨,很多网站纷纷中招,被黑客入侵造成了各种重大损失。从历史 Struts2 漏洞爆发数据看,此前每次漏洞公布都深度影响到了政府、银行、证券、保险等行业,这次也不例外。网站的Web安全一直是一个大众密切关注的方向,接下来我们聊聊这个话题。
Web应用安全现状
超过半数的网站Web应用数据遭受泄露、造成重大财务损失
企业网站安全事件频发、遭黑客勒索与竞争对手恶意攻击
越来越多的网站开始将业务接入到云计算服务中、充分利用云的计算优势和便利
网站的管理者都开始关注网站安全,会使用安全产品进行防护
企业面临的挑战
每天曝光的Web漏洞、危害性大、影响面广,如何保持实时的更新?
不断的收到大量的安全告警日志、但不知如何下手?
被第三方漏洞平台曝光网站安全隐患,防不胜防?
海量肉鸡攻击下网站的页面显示很慢甚至无法打开、无能为力?
攻击从传统Web攻击跨越到业务场景、如撞库、抓取数据、短信接口滥用等,束手无策?
解决方案
WAF(Web应用防火墙)作为一款成熟的网站防护产品、已成为企业为Web应用提供安全防护的必备利器。它能够抵御定向的Web技术攻击、部分业务逻辑攻击以及海量肉鸡的恶意访问。通过对Web应用的深入解析和检测,能够阻拦SQL注入、跨站脚本攻击,阻止恶意扫描等常见Web攻击并提供修补漏洞的能力。
云安全下的新特性
WAF作为一款传统的安全防护产品,已经发展多年。但近年来,随着云计算市场的火热,WAF有了一种新的接入方式:云部署。通过简单的DNS记录变更,将流量引入到云端防护集群,经过安全防护检测后,将安全流量回源到服务器。相比于传统的防护手段,它有如下特点:
产品+数据+运营三位一体综合、实现最佳防护效果。传统的安全防护模式仅是提供形形色色的产品。但绝不仅仅是买了个安全产品就搞定了一切。安全是需要不断的大数据分析模型、自适应的调整防护策略应对不断变化的安全趋势;需要不断的对产品进行精细化的运营。阿里云在数据和运营上有着先天的巨大优势,客户要做的,就是关于自身业务,安全交给我们。
零部署、零安装、五分钟接入、快速稳定。仅需简单的变更、无需繁琐的机房布线、机器上架等操作、即可快速享受安全防护。同时多集群部署保障业务稳定不受影响。
实时防护0day漏洞。云上安全专家实时监控、针对漏洞的防护规则云端瞬时下发、无需传统模式下的复杂升级流程。
防护能力自动扩展、与云上网站共享。云上用户包括淘宝、支付宝等生成的防护规则,百万级的恶意IP信誉库、恶意样本等,均自动覆盖到您的网站。
集群弹性扩容、轻松应对海量业务下的防护。传统的防护模式、很难满足业务突增(如秒杀促销活动)、海量肉鸡攻击的场景,而云计算时代下的弹性扩容及大数据学习能力、将这些不可能都变成了过去。
在业务上,结合反欺诈、风控、人机识别等相关技术,在不修改应用代码的情况下,完美的实现防撞库、防爬防抓、接口滥用等业务防护需求;在产品的结合上,无论是和CDN的联动打造安全的加速流量,还是和云解析的一键开通,无缝融合、满足用户业务的各种使用场景。
云WAF发展的新道路
诚然,曾经的云WAF也有被人诟病之处,比如说攻击者可以绕过WAF直接访问源站地址进行定向攻击;业务误漏报后、不能很好的支持网站的规则自定义;数据的隐私泄露,HTTPS业务下私钥的安全性等。但经过这几年技术的发展,这些都变成了历史,不再是云WAF的弱点、取而代之的是下面的变革:
合规。积极的完成PCI-DSS认证需求,满足企业对数据安全性的要求。针对数据库的注入抓取等非授权行为做到安全防护,避免数据泄露。针对企业对HTTPS业务下的私钥安全顾虑,推出Keysafe方案,无需上传私钥,同时支持对加密流量的安全防护。
严密。针对以往的指定源站IP进行定向攻击绕过、一方面可在源站服务器上做安全准入控制、只允许云WAF的IP访问,其余定向的访问一律禁止;另一方面将站点流量全部置身于云WAF的防护中、实现网站的隐身,避免真实地址的暴露。
省心。充分利用云计算的大数据优势、建立起网站的正常模型。能够清晰的梳理出网站的正常业务请求模型、让0day漏洞无从绕过,正常的业务请求不被误阻断。网站接入初期开启预警模式、保障线上业务的正常运行、在最短时间内让网站维护者清晰的清楚业务误漏报概况。
全面。高性能SSL支持,数据链路加密。防护能力更多的覆盖到如撞库、接口滥用、业务欺诈、风控识别等业务场景中。
贴心。针对站点、URL等定制各种精细化的防护策略;提供友好可自定义的出错、拦截页面;给予网站用户最好的使用体验。一切皆可定制,打造成你自己想要的那一个。
对于数据隐私要求性非常高的金融行业,WAF是必备的防护利器。阿里云WAF(ps://www.aliyun.com/product/waf">https://www.aliyun.com/product/waf)除了支持云内客户的网站安全防护,也支持云外客户的安全需求,通过DNS切换轻松一键接入。除此之外、阿里云安全为金融行业还可以提供各类安全服务(如白盒测试、黑盒测试、渗透测试、移动应用测试等),全力为客户打造安全的解决方案。