阿里云政务混合云 WAF:复杂场景 Web 攻击防御最佳实践
|
如何在流量不上云、IT架构不变动、过往投入价值最大化前提下,实现统一管控,提升Web攻击防御能力?
全面对接客户需求 了解到. . .
本着“让数据多跑路,让群众少跑腿”的原则,客户还开放了全国一体化在线政务服务平台,具有信息查询、问题咨询、网上预约与办理进度跟踪等功能模块,让公众可以通过电脑、手机等各类移动终端,随时随地办理业务。
此外,大量核心业务仍跑在线下IDC,各地机构通过内网本地化访问。
混合云架构将长期存在,寻求云上云下统一的高效防护方案; 信息保密等级高,除了Web攻击还要应对恶意爬虫抓取; 希望简便运维,提升安全人员工作效率; 参与国家级攻防演练及重大活动,日常防护之余,WAF还要抵御高强度攻击。
一边是与时俱进的数字转型需要高等级安全防护,一边是混合复杂的IT架构与部分早期业务系统,期待与现实的割裂断层之上,阿里云WAF混合云解决方案一展身手。
-❶- 云端+软件WAF,统一高效的防护架构
混合云解决方案主要由云WAF、软件WAF和云中控制台三部分组成。控制台通过把云端模型、情报资源和云下请求头部日志汇聚处理,形成贴合业务场景的防护策略,再借由软件模块把高等级安全能力输送到本地机房,用架构优势满足了客户的云上云下多层防护需求。
早期业务系统防护能力接入
对于仅可IP访问的内网业务系统,阿里云WAF可把软件模块部署在负载均衡后,从而破解因无公开域名或DNS无法变更,导致传统WAF无法接入的难题。
加密流量证书卸载
根据监管要求,客户的业务流量需进行国密算法加密。通过把软件模块串联部署在加密机与负载均衡之后,混合云解决方案又一次以架构创新满足了客户需求。
全局态势的统一观察、配置、呈现
阿里云WAF默认提供集中控制台,客户可统一管理所有节点/集群的策略下发、配置调整,在混合复杂的IT架构中收获全局状态观察。
-❷- 客户收益
部署后,高峰期阿里云WAF可平滑应对近十万QPS的大流量业务请求,即使在高强度的攻防对抗场景,也实现了零绕过。
云下流量
告别海量安全日志的人工审查
云端海量历史数据产出了阿里云智能防护模型及数十万条检测策略。模型自主生成的对抗规则,加上基于实时样本的深度学习检测引擎,双重判断保证了阿里云WAF面向本地数据流,具备快速准确的Web攻击识别能力。
智能模型打造了贴合业务场景的防御体系,使得漏报误报显著降低,最明显的改变是WAF敢开了,全局态势可以集中看到了。
实时威胁情报,快速应急
云端具有数以百万计的恶意IP库、恶意指纹库,本地流量也可享受深厚的威胁情报积累。对于新增的0day漏洞,阿里云WAF平均1.5小时即可完成全部节点防护策略更新;检测到新增攻击IP,可通过毫秒级全球区域封禁切断攻击源头。
Bot及爬虫管理,守护业务安全
阿里云WAF支持CC攻击防护,具备丰富的爬虫情报库与爬虫智能算法,帮助客户保护高价值敏感信息不被泄露,网上办事大厅业务正常开展。
云上流量
对外公开的互联网业务往往潜藏着更加复杂的攻击行为,因此对于云上业务流量,阿里云WAF实施了更加严格的主动防御策略应对未知攻击,并通过自定义解密插件识别恶意加密流量,化解高级变异攻击。
面对散落各地的访问需求,全球化的基础设施保证了用户无论身处何地,都能享受快速、便捷的线上服务。当业务高峰来临时,云服务天然具备的弹性伸缩,使业务低延时和高可用成为可能。部署以来,未发生因WAF导致的宕机状况。
简便运维
攻防演练或重大活动时,阿里云WAF不但可以做到全节点协同防护,还可以自动化生成应急策略,全托管模式实现了2020攻防演练期间0攻破。客户无需操作。
日常运维时,智能模型根据异常行为、威胁情报、恶意流量指纹,自动化生成实时防护模型,客户可进行灵活配置调整。阿里云提供全天候在线运营和实时应急,在此案例中做到了分钟级响应需求,保障防护效果的同时降低运维负担。
-❸- 复杂场景验证,多行业落地应用
在云上云下一体化防护架构的支撑下,阿里云WAF混合云解决方案具有更加广阔的发挥空间——不但落地了业务更分散、IT设施更庞杂的能源行业,还在业务请求QPS更高、对延时要求更苛刻的传媒行业取得了最佳实践。
能源企业 观察模式下准确检测恶意请求; 护网场景中高效协同防护与0day漏洞应急; 在庞杂IT环境中实现跨核心数据区集中管理。
传媒企业 VPC专线防护,创新解决合作方来源的Web攻击识别难题; 互联网访问延时低于10毫秒,用户无感知; 面对高达数十万QPS的业务请求仍实现高可用。
|
有话要说