◆何 军
基于云计算的Web防御系统研究
◆何 军1,2
(1.上海科技网络通信有限公司 上海 200233;2.上海大数据试验场工程技术研究中心 上海 200233)
云安全是目前云计算面临的最大痛点,云安全问题的解决决定着云计算的未来。云WAF已经成为一种商业化得云安全SaaS服务,其具备完整的功能和优秀的商业模式。云WAF提升了云技术的安全能力,其正处于快速变革期。本文对云WAF的技术原理及其演进进行了深入分析,并指明了未来的发展方向,
云安全;云WAF;云计算;WAF
云计算[1]在近年得到极大普及,产业结构日趋清晰,商业模式逐步成熟。云计算在CPU虚拟化、内存虚拟化、存储虚拟化方面逐步稳定,目前安全虚拟化成为制约云计算爆发的主要障碍。
Web服务是目前云计算平台上的主要企业应用,云平台上Web服务易受攻击、访问速度慢等问题影响企业向云平台迁移的信心。Web防御系统(Web Application Fireall,WAF)[2]是企业级Web应用的标配,技术已经进入成熟期。WAF工作在OSI模型的应用层,用于解决针对Web应用的众多网络攻击引发的安全问题。目前推出云WAF服务的国内云计算厂商主要有阿里、百度等,用户无需再采购WAF硬件,直接在云计算厂商按需采购云WAF服务即可。无需改变用户网络拓扑,可以防御DDoS,SQL注入,跨站脚本[3]等攻击模式。
云WAF是云厂商提供的安全服务之一,无需部署物理安全设备,无需改变网络拓扑,只需用户配置DNS的CNAME或NS记录,将流量先引导到云WAF即可,立即生效。云WAF一般同时具有DDoS,CDN功能,企业可按需使用,提升Web用户体验。
云WAF是一种新型的云安全服务模式,它的出现改变了行业格局,它使各家安全厂商通过出售安全硬件给企业盈利的模式在新的安全业态下难有发展空间,转而由云安全平台集中采购或自主研发,最终向企业以安全服务的方式提供云WAF服务。云WAF使用户脱离了繁琐的设备运维、设备配置操作,由云安全平台统一进行云WAF设备的管理,用户只要按需进行最简配置。
云WAF的所有功能都是通过云服务商来提供,它通过与CDN相似的技术来实现,主要是通过更改DNS的配置,比如增加一条CNAME记录,使Web流量先指向云WAF服务商,在云WAF上进行了流量清洗后再将流量引回到Web应用。云WAF是云平台提供的一个SaaS云安全服务,其主要特点:
(1)安全SaaS服务化。免安装、免部署、免运维[4],用户只要按云WAF的基本要求配置DNS即可,无需配备运维人员、无需手动更新特征库等。
(2)扩展性强。云WAF具有很强的弹性,用户可以随意按需扩展云WAF的规模便即刻生效。
(3)高可靠性。云WAF构建与云平台之上,重复利用了云平台的高可靠性,如负载均衡、异地双活、数据冗余、在线迁移等,其可靠性要大大高于传统的安全硬件设备。
(4)规模效应。云WAF利用规模效应可提供廉价、高效的安全服务。按照硬件成本不断下降的趋势,云WAF的服务价格会不断向下调整。
(5)功能整合性。因云WAF的实现原理与CDN、抗DDoS类似,故在云WAF中可以同时开通CDN,抗DDoS,流量统计等功能。
云WAF与物理WAF主要从如下几个方面进行比较:
(1)安装模式。传统物理WAF进行安装部署时需要重新进行网络拓扑设计,在安装时需进行网络断网,登入网络设备进行端口配置。而云WAF则只要在DNS中加入一条CNAME记录,无需再配置安全策略。
(2)运维模式。传统物理WAF设备昂贵,体积庞大,企业得租用机房空间同时配备专职网络工程师进行日常维护和安全策略配置。云WAF免安装、免部署、免配置,用户只要按需使用云WAF提供的安全能力即可。
(3)附加能力CDN,抗DDoS。云WAF可提供传统物理WAF不具备的CDN,抗DDoS能力,用户可以按需在云WAF平台配置使用,简化了Web应用的部署流程。
云WAF系统构建复杂,要建设一套高效的云WAF系统必须突破如下几个核心技术:
(1)高并发[5].为众多用户提供云WAF服务,将面对超大规模的并发连接。云服务上必须解决高并发的问题,否则云WAF服务无从谈起。目前主要通HAProxy等开源方案来实现负载均衡技术,负载均衡是解决高并发需求的一个成熟的解决方案。
(2)Cache技术。Cache技术是计算机系统的一个通用加速方案,比如CPU,网卡,硬盘等都可以看到Cache的身影。云WAF通过Redis,Memcache等开源方案实现对静态资源(网页、视频、脚本)进行缓存,提升Web服务器的响应速度。
(3)网络攻防经验。要构建一个稳定的云WAF平台,必须积累一定的Web攻防及Web加固经验,及时监控安全状态,快速定位漏洞和病毒,针对漏洞和病毒建立完善的规则库。
(4)DNS问题。因云WAF是通过设置DNS来实现流量牵引到云平台,要防止直接通过IP地址访问Web应用。目前主要的使用方法是Web服务器配置禁止IP方式直接访问。
云WAF的用户只要对DNS增加一条CNAME记录就可以实现预防和监控基于Web的安全威胁,包括SQL注入,XSS,IP地址黑白名单及其他OWASP中的漏洞,还可实现CDN、抗DDoS、内容过滤等功能。
(1)整体设计思路
针对目前Web服务面临的威胁和出口带宽的限制[6],仅仅在出口部署安全设备起不到有效的保护作用.而链路上行的主干网络节点拥有大带宽,即可将防线拉到整个骨干网络节点,形成一个分布式的云WAF防御系统,提升Web服务的安全性,避免Web服务承受网络攻击.同时实现CDN对Web服务进行加速,提升用户体验。
图1 云服务运营商的安全体系架构
(2)云WAF系统架构
图2 云WAF系统架构图
云WAF面对大规模并发访问请求处理,故要求云WAF系统配备高性能CPU、配置大容量RAM、具备负载均衡能力等。在软件架构上需配备高可靠操作系统、高性能Web服务器。云WAF的数据流路径:
(1)用户通过配置DNS,添加一条CNAME或NS记录,将DNS解析权力交给云WAF控制中心.DNS配置完成后用户发起Web请求。
(2)云WAF控制中心返回云WAF引擎的IP地址给用户。
(3)用户的浏览器自动访问云WAF引擎,云WAF引擎根据配置的安全规则进行安全清洗。
(4)云WAF引擎将清洗过后的Web请求,转发给Web服务器。
(5)Web服务器响应用户请求。
Linux是成熟的开源操作系统,云WAF引擎可选Linux作为操作系统平台.HAProxy已经过工业级验证,可作为负载均衡系统。Nginx为开源Web服务器,具备高并发、低内存等功能,可作为反向代理服务器.Memcache,Redis具有高效的缓存功能,可配置为缓存服务器。
云WAF作为一项安全SaaS服务,处于新生阶段,有诸多问题要进行改进和加强。云安全问题的解决是云计算行业是否能发展壮大的关键。国际国内都通过国家政策强力支持云计算的发展,云WAF要借政策之便加快解决自身问题。云WAF目前面临的最主要的威胁是绕过DNS域名解析,直接通过IP地址访问的问题。针对这个问题目前主要的解决方案是Web服务器配置禁止IP方式访问,但并没有完全解决威胁。在下一步发展中要加强安全策略的研究,突破这一技术难点。Oday攻击是云WAF面临的另一个安全威胁,必须通过组建安全策略及安全算法团队实现事先预防Oday攻击。总体来说云WAF改变了安全生态,升级了安全服务方式,减少了用户的安全支出,获得了高安全品质。
[1]刘鹏.云计算[M].北京:电子科技出版社,2013.
[2]范红,冯国登,吴亚非.信息安全风险评估方法与应[M].北京:清华大学出版社,2006.
[3]张弘.软件定义的新型网络节点设计研究[D].成都:电子科技大学,2013.
[4]池水明,周苏杭.DDoS攻击防御技术研究[J].信息网络安全,2012.
[5]龚向阳.一种面向多样化网络业务融合的SDN网络架构[J].北京:北邮,2013.
[6]雷万云.信息安全保卫战[M].北京:清华大学出版社,2013.
上海大数据试验场工程技术研究中心课题(课题编号:16DZ2250200)。