傳統(tǒng)應(yīng)用安全防護(hù)模式和不足
傳統(tǒng)的應(yīng)用安全產(chǎn)品——WAF����,是基于攻擊簽名��、黑白名單模式的被動(dòng)安全防護(hù)模型�����,在過去網(wǎng)絡(luò)編輯清晰�����、攻擊方式單一����、攻擊對象明確的攻防對抗中�����,有比較好的防護(hù)效果。傳統(tǒng)WAF通常部署在應(yīng)用前端����,開啟相應(yīng)的特征庫,即可防護(hù)大部分的軟件代碼漏洞�、SQL注入、跨站腳本攻擊等等��。
但是�,當(dāng)今的應(yīng)用形態(tài)和部署環(huán)境發(fā)生了很大的變化,應(yīng)用從過去高度集成的單體應(yīng)用���,演進(jìn)到更靈活部署����、敏捷迭代的微服務(wù)�����,網(wǎng)絡(luò)的邊界變得非常模糊�,應(yīng)用的接口變得非常開放,傳統(tǒng)基于邊界和應(yīng)用對象的防護(hù)變得捉襟見肘�����。同時(shí),攻擊方法也發(fā)生了很多改變�����,高度仿真的BOT�����、應(yīng)用層的DDoS使得傳統(tǒng)WAF難以識(shí)別這些高級別的攻擊行為�。
(資料圖片僅供參考)
此外,在應(yīng)用演進(jìn)到微服務(wù)架構(gòu)的過程中�,應(yīng)用安全需要更動(dòng)態(tài)、更易于部署的方式去保護(hù)這些原生應(yīng)用��。云原生應(yīng)用安全通常是輕量化的產(chǎn)品����,具備微服務(wù)、容器化的部署方式����,從而為這些動(dòng)態(tài)部署的應(yīng)用程序提供近源防護(hù)模式����。除了提供傳統(tǒng)應(yīng)用安全能力外����,也需要對微服務(wù)API的認(rèn)證�、風(fēng)險(xiǎn)識(shí)別做出響應(yīng)。這些也是傳統(tǒng)WAF所不具備的能力���。
One WAAP構(gòu)建統(tǒng)一的應(yīng)用安全體系
應(yīng)用的云原生改造是一個(gè)漫長的過程�,在此期間�,傳統(tǒng)應(yīng)用和云原生應(yīng)用的混合架構(gòu)將是主要形態(tài)。隨著應(yīng)用逐步從傳統(tǒng)架構(gòu)遷移到云原生架構(gòu)�����,應(yīng)用安全防護(hù)措施也會(huì)逐步遷移到云原生安全模式��,因此企業(yè)需要在多云和混合架構(gòu)中建設(shè)一套統(tǒng)一的應(yīng)用安全體系�����,包括傳統(tǒng)WEB應(yīng)用防護(hù)����、應(yīng)用層DDoS防護(hù)、高級別BOT防護(hù)和API安全保護(hù)�,實(shí)現(xiàn)“四位一體“的現(xiàn)代應(yīng)用安全體系���。
F5 One WAAP架構(gòu),通過多種交付模式和統(tǒng)一的策略管理平臺(tái)���,提供多云混合云中一致的應(yīng)用安全服務(wù)能力����。企業(yè)可以為不同形態(tài)的應(yīng)用選擇合適的安全防護(hù)組件����,并利用統(tǒng)一的策略管理平臺(tái),簡化安全策略的部署���、遷移和優(yōu)化過程�,減少安全策略轉(zhuǎn)換中遺漏和遲滯造成的業(yè)務(wù)損失�。
F5 One WAAP 靈活的方案組合
面向傳統(tǒng)應(yīng)用,可以選擇本地部署的AWAF����,實(shí)現(xiàn)高強(qiáng)度攻防對抗能力的同時(shí),提供一部分的自動(dòng)化能力����,包括策略的自動(dòng)化更新,應(yīng)用自動(dòng)化發(fā)布和SaaS自動(dòng)化對接能力��。
面向云原生應(yīng)用���,可以選擇NGINX App Protect���,以輕量化的方式集成到DevOps流程中,為微服務(wù)和API應(yīng)用提供動(dòng)態(tài)的防護(hù)能力�。
面向海外應(yīng)用和SaaS應(yīng)用,可以選擇分布式云服務(wù)���,利用強(qiáng)大的AI學(xué)習(xí)能力和事件分析能力����,提供更多的主動(dòng)防護(hù)手段的同時(shí)��,簡化應(yīng)用安全策略管理�。
通過不用的產(chǎn)品形態(tài),解決了應(yīng)用在不同環(huán)境中的安全訴求�����,但是,如何確保應(yīng)用安全策略在幾個(gè)平臺(tái)之間的無縫遷移�,是現(xiàn)代應(yīng)用安全體系面臨的下一個(gè)挑戰(zhàn)。
應(yīng)用安全策略一致性管理
F5策略轉(zhuǎn)換器policy supervisor�,利用一個(gè)平臺(tái),對多套安全產(chǎn)品做統(tǒng)一的策略管理�,從而實(shí)現(xiàn)應(yīng)用安全策略一致性。
Policy Supervisor架構(gòu)示意圖
在策略轉(zhuǎn)換器的架構(gòu)里�,管理員只需要維護(hù)一臺(tái)安全策略,利用策略轉(zhuǎn)換器實(shí)現(xiàn)各個(gè)安全產(chǎn)品之間統(tǒng)一的策略管理����,包括策略編輯、策略推送和更新��,以及安全節(jié)點(diǎn)維護(hù)�����。
以本次Demo演示為例����,介紹下F5 WAAP和Policy Supervisor的工作過程。
首先我們模擬API攻擊����,傳統(tǒng)WAF根據(jù)對參數(shù)類型的防護(hù),WAF設(shè)置參數(shù)類型為整型。通過訪問API訪問參數(shù)設(shè)置為整型時(shí)�����,訪問正常�。參數(shù)為非整型時(shí)���,訪問失敗����,傳統(tǒng)WAF檢測到攻擊后�����,認(rèn)為是不合規(guī)的訪問����,被WAF攔截,并產(chǎn)生supportID���。訪問黑名單的URL時(shí)����,傳統(tǒng)WAF檢測到不合規(guī)也是直接攔截產(chǎn)生supportID?�?筛鶕?jù)產(chǎn)生的supportID看到傳統(tǒng)WAF日志信息����。傳統(tǒng)WAF很好地保護(hù)了這個(gè)應(yīng)用。
F5 AWAF 攔截日志
到某個(gè)階段�����,應(yīng)用需要遷移到云原生環(huán)境����,我們選擇輕量化的NAP做防護(hù),同時(shí)希望應(yīng)用在不同環(huán)境之間遷移保持一致的安全防護(hù)能力�����。過去我們需要手動(dòng)將策略從傳統(tǒng)WAF移植到云原生WAF���,今天可以借助F5策略轉(zhuǎn)換器����,將傳統(tǒng)WAF策略導(dǎo)入后�,轉(zhuǎn)換成云原生WAF策略�,然后推送到NAP�����。
我們再次模擬云原生環(huán)境里的API 攻擊��,可以看到NAP仍然可以對參數(shù)為非整型和黑名單URL進(jìn)行精準(zhǔn)攔截并產(chǎn)生相對應(yīng)的supportID����?���?赏ㄟ^日志查詢到相對應(yīng)的攻擊類型����,攻擊源,命中的策略等內(nèi)容����。
F5 NAP 攔截日志
因此,當(dāng)應(yīng)用同時(shí)部署在傳統(tǒng)架構(gòu)���、云原生架構(gòu)和F5 分布式云中����,或者應(yīng)用在這些環(huán)境之間遷移時(shí),都可以利用policy supervisor將同一條策略推送至上述任意環(huán)境��,從而實(shí)現(xiàn)One WAAP理念中的策略一致性管理�����。
