如何基于云原生安全打造全新一代WAF?
发布日期:2021-07-22中国Web安全现状
可以看一下2019年上半年的网站安全现状,外部漏洞占整个CNVD漏洞的24.9%。另外我们整个网站的仿冒页面,包括被篡改,除了这些数据,其实还有一些等保合规,包括像一些自动化流量攻击,所有这些攻击的行为都造成整个运营安全防护的需求增长非常迅速,在一些分析机构的报告里面,其实整个应用安全防护的市场,尤其是云上应用安全防护的市场,基本上是以年100%~200%的增速在增长。
云WAF产品架构
接下来看一下我们云WAF在应用安全防护的这种架构和创新有哪些?我先简单介绍一下我们产品的架构,那传统接入、云原生接入是两种不同的接入方式。大家可以看右边,我们整个云Web应用防护的一个架构,首先是用户接入层,那这里面其实我们有这种传统的私有化的形式,然后有的形式,然后还有一种就是云原生的,相当于是我们云原生的集成到这种云的网络加速的基础设施里面,像我们的CLB、CDN,因为CLB和CDN它其实都是作为云上的一个流量入口或者基础的网络设施而存在的,那所以我们是利用他们的这种网络接入能力,把客户的流量接入进来,这个是我们的一个用户接入层。
然后核心的能力层其实更多是说我们这个WAF的一些核心功能,包括我们这里面的规则引擎,然后包括我们的基于这个用户建模、异常检测、攻击分类的AI引擎,也就是人工智能引擎。还有我们通过这种流量分析,包括我们一些预定的策略,然后进行这种自动化流量管理,去区分到底有哪些自动化的流量是 good bot,有哪些自动化的流量是bad bot,去把它进行分类、治理,去设置相应的策略,就是 good bot我们就放过,bad bot我们就进行一定的惩罚。然后还有包括像我们的自动化的CC,就是当客户遭受SCP层面的威胁时,我们可以自适应地去做一些防御。还有我们的API安全,对API的规范内容去做一些校验以及对API的这些接口的安全性提供保护。
那业务场景其实更多是我们去集成一些上层的安全功能,与此同时我们的产品还有一个协同层,我们会跟我们其他的一些安全产品,包括安全能力,比如说我们的SOC、微信情报,并且我们会跟我们的大禹,就是我们的DDoS产品去做一个联动,去完成一个纵深的防御体系。比如说我们首先在DDOS上,会有大禹先去抵挡这种大流量的攻击,再由WAF应用安全防火墙去抵御一些精细化的这种应用层的攻击。那与此同时我们会跟我们相当于是云安全的眼睛SOC,以及我们的情报去做一些整合,去把我们的日志展现出来,同时利用这些情报提供更多的能力,同时跟我们其他的一些安全产品去做一些整合,去形成一个联动的防御。
简单来说就是我们本身分三层去提供一些应急安全措施,与此同时我们再跟运营的这些安全产品去形成一个联动的防御体系,这就是我们产品简要的架构。