凡使用阿裡雲的,就必須進行相應的安全防護,當然裸奔的除外。現在網際網路沒有安全服務,就好比18歲的妙齡少女躺在床上,家中大門敞開(自己還蒙了眼...)。
作為一個阿裡雲的深度使用使用者。我和團隊分享一些阿裡雲的安全産品的使用體驗,希望給後續者一點指引和分享。
阿裡雲安全産品有着自己的安全防護機制,分為情報、感覺、防禦三個次元,通過威脅情報共享和産品關聯,來控制風險。雲盾WAF就屬于其中的“防禦”關卡。 雲盾WAF是一個必用的安全産品,我們簡單總結了下它的和Imperva,國際主流的WEB防火牆的之間的功能特點和不足。
功能特點:
1、 Web應用攻擊防護:内置多種防護政策,可一鍵開啟OWASP常見威脅防護(SQL注入、XSS跨站、Webshell上傳等)。
2、 URL自定義規則:針對特定URL設定白名單,解決誤攔截的問題。
3、 CC攻擊防護:針對請求中常見頭部字段,如IP、User-Agent,Referer等參數的特征配置通路控制;可設定針對某具體URL業務的通路頻率規則。
4、 操作簡單,沒有太多配置項,大部分功能隻需選擇開啟或關閉。
不足之處:
1、 安全政策具體規則都不可見,無法判斷哪些規則會對應用産生影響,一旦觸發阻攔政策,需要阿裡雲去查詢确認;
2、 預設阿裡雲WAF根據域名(含二級域名)選擇防護模式,由于彙付通常使用二級目錄切分應用,是以如果無法合理拆分域名,應用疊代後一旦促發阻攔政策會影響該域名下的所有應用;
3、 阿裡雲WAF預設政策包含阻攔模式,開啟防護仿真(warning)需要按照防護域名關閉阻攔模式
4、 阿裡雲主機安全檢測漏洞,漏洞誤報/忽略操作,不能批量操作(隻能全局加白名單或單台操作)
5、 彈性的功能略有不足,Web防火牆WAF降配隻能阿裡雲背景操作,不便捷
6、 阿裡雲背景更新WAF防護政策,無法提前預知政策是否對公司的web應用産生影響
Imperva 硬體WAF 産品對别差異
1、 HTTP漏洞防護:導入政策模闆,可針對漏洞進行定制(如0day漏洞等),可先開啟觀察模式,确定無誤殺情況下,再開啟阻攔模式
2、 URL,服務端口可自定義,支援任意可用端口
3、 Imperva waf支援阻攔實時郵件告警,可自定義報表并定期發送
4、 Imperva waf支援防護非web層面應用攻擊
5、 可直接導入漏洞報告,根據掃描報告中漏洞資訊,自動生成防護政策
1、 裝置政策下發需要在兩台叢集裝置上分别下發政策和配置IP和服務端口
2、 裝置部署環境,需要依賴網絡架構
3、 裝置部署,需要考慮高可用性
阿裡雲盾WAF基礎功能介紹
目前我們使用的是企業版。除了企業版之外,也可以選擇“旗艦版”,其差異主要在于支援QPS流量達到10000(企業版為5000);CC防護QPS 500000(企業版為100000);通路控制規則支援200條(企業版為50條);帶寬更大;另外旗艦版的安全防護可做參數規格定制。其他包括支援的業務、域名等都是一緻的。
阿裡雲雲盾WAF安全總覽
**阿裡雲雲盾WAF安全報表
**
阿裡雲雲盾WAF添加防護網站配置
通過頁面可以檢視/搜尋已經接入的防護域名,并顯示最近2天受攻擊的資訊,非常好用基本初級安全人員或有些安全常識的技術人員就可使用,門檻比較低。
缺點是每一頁隻能顯示10個域名,像我們200多個域名,遷移上雲那次配的真心是要吐。
防護配置中有各類防護開關,包括Web應用攻擊防護、惡意IP懲罰(某個IP在短時間内多次Web攻擊,則可設定封禁該IP一段時間)、封禁地區、CC安全防護、“精準通路控制”、資料風控和“新智能防護引擎”,預設啟用阿裡雲防護規則,同時支援自定義規則。
相比傳統的硬體WEB防火牆WAF,阿裡雲雲盾WAF操作簡單便捷。添加配置防護域名隻需要填入相關域名資訊,回源IP位址資訊,就可開啟阿裡雲雲盾WAF防護,預設政策基本能夠阻攔網際網路上大部分WEB攻擊。
缺點是不夠能精細化制定一些特殊規則,比較簡單粗暴,新業務或者遷移上雲的朋友要小心中招,建議循序漸進,我們曾經踩過的坑後續給大家一起分享分享。
Imperva 硬體Waf 基礎功能介紹
ImpervaWAF一個創新是基于應用層互動内容的安全檢測。對通路的URL、動态頁面傳遞參數、Cookie傳遞的參數等進行監測并輔以自學習算法,可以生成通路網站的正常基線模型。将使用者的通路請求對比正常的通路行為基線;明顯偏離正常行為模式則可産生告警和即時阻斷。政策的産生可由裝置的自學習功能完成,還可以根據Web應用的變化進行自适應調整。能夠針對新上線的web網站進行學習觀察模式,對觸發防護規則的疑似攻擊進行告警提示,待系統确認後開啟阻攔模式,有效的防止新業務上線後,被web應用防火牆誤攔截。
Imperva WAF 仿真學習模式
Imperwa WAF 政策集
Imperva WAF 告警
Web漏洞掃描工具內建
Web漏洞掃描工具(比如IBM Appscan、HP Web Inspect、Cenzic、NT Objective、Acunetix WVS、WhiteHat等)進行內建。Imperva WAF可以導入這掃描Web系統的漏洞結果檔案,根據這個漏洞結果,直接動态生産安全政策,可以友善快捷的修補這種漏洞
Web掃描程式內建。一般公司都會買這類工具內建到開發流水線上,實際效果是非常雞肋,初創公司不建議,如果是過檢可以考慮忽下老師還是很好滴。
Imperva 硬體防火牆可以通過動态模組化來防止未知攻擊,同時也可關聯網頁應用的應用使用者,并将使用者資訊和後續網頁活動進行關聯,可基于使用者設定安全政策。據有關聯規則能力,可将多個告警事件關聯起來進行統一分析。同時支援在log中記錄詳細的http請求、http響應内容,對安全事件應急響應很有幫助。彙付目前有多台imperva裝置,對于組成叢集的imperva裝置政策需要同時分開配置,統一配置政策下發和統一裝置關聯需要另購買imperva 統一管理産品。
阿裡雲雲盾WAF CC攻擊防禦
雲盾WAF的一個功能是CC攻擊防禦:WAF對單一來源IP的通路頻率進行控制、重定向跳轉驗證、人機識别等。針對海量慢速請求攻擊、識别異常referer、User-agent等資訊的請求,可結合精确通路控制過濾。CC防禦是很多網站關心的内容,作為一款線上WAF,阿裡雲雲盾可以利用雲上的資源彈性伸縮的特點,更好地防禦攻擊。這個非常推薦,現在基本正常的都是DDOS+CC,建議一并啟用。
CC攻擊配置簡單便捷,便于安全人員進行操作和管理;目前隻支援URL比對規則,基于URL、時間段内和頻率次元,阻止分為立即封禁和人機識别。配置操作支援單一,在有大量域名和url複雜情況下,業務量突發情況下,易造成政策觸發,進行業務阻斷。 阻斷日志中标記未tmd,無法對應到具體政策規則。CC報表中,也隻能看到報表曲線圖,無法定位具體是什麼政策觸發。
”這裡圖,就不放了帶有太多的公司内部資訊“
安全報表 CC攻擊
Imperva Waf cc攻擊防禦
Imperva 硬體防火牆Waf 可配置CC攻擊防護政策,進行多政策關聯。将多元度的日志資訊輸出至安全大資料平台,借助機器學習進行深度分析和告警。我們目前是吧WAF NS 内部交換機 IPS NG 蜜罐等流量
都統一接入我們的大資料ELK平台,集合威脅情報,可以做到事後可溯源,事中快速發現和排查 預警。
智能語義檢測-阿裡雲特色
這裡屬于廣告部分,大家看看看就好,後續應用效果我們再補充。
阿裡雲WAF的宣傳中提到,通過技術創新使得規則條數下降70%,營運成本降低50%,WAF使用了智能語義檢測來識别風險。防護引擎全面更新,提供更全面的防護能力和更便捷的操作體驗。
對于産品介紹中提到更新後可支援分類聚會防護子產品,從web入侵防護、Bot管理、通路控制/限流等多元度為業務提供全面防護,提供更細化的政策定制和規則數,能夠滿足多業務下的非法請求管理,支援一鍵基于IP,IP段以及IP地區屬性的黑名單,實作通路控制操作更便捷。
最後針對阿裡雲的産品,我們期望更新前能夠對測試到位,并且留足時間給到我們使用者。各位兄弟在使用相關産品做好評估,特别是評估更新前後安全政策規則不會有誤判,觸發阻攔規則,造成生産線上業務無法正常使用。我們吃過幾次虧,建議阿裡雲産品更新還是要時刻保持關注和警覺,雖然出錯很少,但一次踩坑就是跪舔。