随着云计算产业的不断成熟,越来越多的企业用户选择将业务系统迁移至云和虚拟化平台中。但是,在关注云和虚拟化基础设施安全的同时,防网页篡改、防网页挂马等Web应用安全防护也需要得到充分的重视。近期,WebRAY推出了可以部署于云和虚拟化环境的WAF产品,能够防范黑客利用 Web 应用天然缺陷对业务进行恶意攻击,并及时发现传统防火墙不能检查出的 Web 安全问题。
Web应用安全问题威胁云端Web服务
由于云服务具备敏捷、低成本等优势,很多企业用户都选择将Web服务转移到云端。然而,Web应用安全问题却并不会随着云化进程而自然化解,即使企业用户通过云本身的安全防护功能解决了病毒感染、APT攻击等网络层面的安全问题,但页面篡改、CC攻击、信息泄露、后门控制、信息泄露、跨站脚本等应用安全风险依然威胁着Web服务的完整性以及合规性。
特别是近两年,国家显著强化了对于Web服务的监管力度,要求Web服务提供商确保Web内容的安全性、合规性,避免出现色情、暴力等非法信息,或是被不法分子篡改网页内容,否则将可能导致网站面临关停等风险。为了规避相关风险,部署Web应用安全防护产品显然是最好的应对之道,而传统的Web应用安全防护产品并不能有效适配云与虚拟化环境,所以用户亟需能够完美适配云与虚拟化环境的Web应用安全防护产品。
在此背景下,云或虚拟化WAF应运而生,其在适配云和虚拟化环境的同时,可以为云用户提供Web应用安全防护功能。权威咨询机构 Gartner 预测,到2020年年底,60%以上受WAF保护的公有Web应用,将采用云WAF或虚拟化WAF交付方案。那么,Web服务提供商又该如何选择云或虚拟化WAF产品呢?
云WAF OR虚拟化WAF 按需选择是最佳解决之道
目前,可以适配云环境的WAF产品可以分为云WAF及虚拟化WAF。其中,云WAF通过改变DNS解析,将访问Web应用服务器的域名解析权移交到云端节点,以过滤非法的网络需求。而虚拟化WAF则是将传统硬件WAF的功能适配虚拟化环境,采用传统的代理技术,以确保虚拟Web应用服务器的安全,防范Web语义解析,防止跨站、注入等Web攻击行为。
WebRAY产品经理徐景育表示:“这两种WAF产品并没有绝对的优劣之分,对于强调业务敏捷性与快速交付,降低运维成本的Web用户来说,选择云WAF产品能够提供其所需的弹性、可扩展以及按需的防护;而对于有较多的定制化Web安全防护需求,希望对Web应用进行严格控制与审计的用户来说,选择虚拟化WAF则能够提供与基于物理环境的WAF产品基本无异的Web应用安全防护服务。
面向云与虚拟化环境,WebRAY推出了锐御RayWAF,其以虚拟化镜像方式提供,完全兼容VM、KVM、XEN等多种虚拟化平台,可以为虚拟机配置与底层硬件上存在的物理组件完全不同的虚拟组件。其不仅能用于保护面向互联网的Web 应用,还可以被部署在内部 Web 应用服务器之前,对内部 Web 服务器的恶意访问行为进行访问控制和业务审计,防范来自内部的威胁。
目前,锐御RayWAF已经在QingCloud中成功上线,为云租户提供可以信赖的Web应用安全服务。未来,锐御RayWAF还计划登录阿里云、华为云等公有云平台,并通过与中国联通、中国电信等私有云厂商的合作,保护云用户重要信息系统不受 Web 应用攻击的影响。