在我第一天接觸安全時,就被告之,沒有絕對的安全,再經過一段時間深入學習後,又深刻的體會到,安全是以犧牲效率為代價的。想要既高效又安全,就需要有超強的處理性能。現在看來,要讓安全真正起到其應有的作用,關鍵要看應用。以waf為例,在當今的企業安全架構下,企業不但想要能看清楚通路我這個人是誰,還可以知道這個人在幹些什麼,正常通路的我們開門歡迎,搞破壞、偷東西的拒之門外。那麼,雲waf安全技術在雲計算的網絡系統中,是如何實作的呢?下面讓我來具體分析一下,如何通過雲安全,對企業業務進行深度安全管理控制。今天我會用阿裡雲雲盾waf來做示範。
以前的ddos攻擊,通常采用syn flood udp flood等形式,攻擊包的格式固定,攻擊流量十分容易判斷,相對也很好進行攔截。現在則有不同,cc攻擊的方式與正常網絡應用通路很難區分,隻有通過一些細節才能準确進行斷定,一但判斷失誤,反而會影響網絡應用業務的正常營運。下面我們就來看一下雲盾waf在應對cc攻擊的具體表現。
還有一種威脅行為,也是很讨厭,那就是我也不進門,我就是往你們家裡扔垃圾,生成一堆沒用的使用者資訊在網站上進行注冊,使用者猛的一看很高興,有這麼多使用者都過來了,實際一瞧,一個有用的都沒有。而且有用沒用的混雜在一起,你是清也不是,不清也不是,白白浪費資源。另外,在類似雙十一這樣的銷售時間點,商家往往會發放一些優惠券、或組織很多優惠活動。而現在,這些優惠也已經成為黑客的關注目标。通過組織大規模的“薅羊毛”來非法獲利。此外還有搶紅包、惡意搶注等等一系列的惡意行為,往往會給商家帶來了重大的經濟損失。下面我們就來看一下 雲盾waf中的資料風控防護功能,是如何對這種行為進行阻止的。
有些同學會問,我把上面的安全措施都做好後,我的網絡就安全了嗎?也不一定,隻不過搞起來要相對複雜些罷了。還是打個比方,溜門撬鎖這樣的事情太明顯,很容易就被發現,但是黑客裝扮成正常使用者,進你門後給你上點迷魂藥,照樣可以把你迷昏了,然後取而代之。這些迷魂藥就是利用系統漏洞進行腳本注入。當然現在還有更進階的,通過指令行手工進行注入,那更是無色無味一般人根本查覺不了。對于這個威脅,就需要對深度内容進行分析,還需要有更加智能的邏輯判斷能力,才可以進行防禦。這也正是雲盾waf智能語義功能的特長所在。下面我們就來看一下,雲盾waf的智能語議功能,是如何對手工的指令行注入等payload行為,進行防護的。
行為分析、行為分析,我可以看到你的行為,才能對你進行分析。目前有很多加密傳輸協定也是如此。不加密吧,明文傳輸誰都可以看的見,不安全。加密吧,好的壞的又無法分辨,也是不行。怎麼辦?對加密内容同樣進行分析!讓我們最後來看一下雲盾waf是如何對加密内容進行分析的。
雲計算的安全,給使用者提供的不會再是單純的防護,而是在不斷的對網絡應用行為進行深度分析後,對應用進行歸納、處理。對于正常的應用保持其正常營運,對惡意行為進行攔截、判斷乃至于去溯源。隻有抓住了網絡威脅幕後的黑手,未來的網絡才會有真正的安全可言。雲盾的waf還隻是阿裡雲抓“黑手”的一個組成部分,以後我們把更多阿裡雲 雲盾的安全防護手段介紹給大家,使得更多阿裡雲使用者,可以通過聘請阿裡雲 雲盾這個安全保镖,可以更好、更安全的實作雲計算網絡業務應用。
<b>來源:zd至頂網 作者:楊昀煦 </b>