傳統(tǒng)應用安全防護模式和不足
傳統(tǒng)的應用安全產品——WAF�����,是基于攻擊簽名����、黑白名單模式的被動安全防護模型���,在過去網絡編輯清晰、攻擊方式單一���、攻擊對象明確的攻防對抗中,有比較好的防護效果��。傳統(tǒng)WAF通常部署在應用前端,開啟相應的特征庫����,即可防護大部分的軟件代碼漏洞�、SQL注入、跨站腳本攻擊等等�。
但是���,當今的應用形態(tài)和部署環(huán)境發(fā)生了很大的變化��,應用從過去高度集成的單體應用�����,演進到更靈活部署�����、敏捷迭代的微服務,網絡的邊界變得非常模糊�����,應用的接口變得非常開放��,傳統(tǒng)基于邊界和應用對象的防護變得捉襟見肘。同時�����,攻擊方法也發(fā)生了很多改變�����,高度仿真的BOT、應用層的DDoS使得傳統(tǒng)WAF難以識別這些高級別的攻擊行為。
(資料圖片僅供參考)
此外��,在應用演進到微服務架構的過程中����,應用安全需要更動態(tài)�����、更易于部署的方式去保護這些原生應用。云原生應用安全通常是輕量化的產品��,具備微服務���、容器化的部署方式����,從而為這些動態(tài)部署的應用程序提供近源防護模式���。除了提供傳統(tǒng)應用安全能力外,也需要對微服務API的認證、風險識別做出響應�����。這些也是傳統(tǒng)WAF所不具備的能力�����。
One WAAP構建統(tǒng)一的應用安全體系
應用的云原生改造是一個漫長的過程����,在此期間,傳統(tǒng)應用和云原生應用的混合架構將是主要形態(tài)��。隨著應用逐步從傳統(tǒng)架構遷移到云原生架構����,應用安全防護措施也會逐步遷移到云原生安全模式,因此企業(yè)需要在多云和混合架構中建設一套統(tǒng)一的應用安全體系�����,包括傳統(tǒng)WEB應用防護���、應用層DDoS防護、高級別BOT防護和API安全保護����,實現(xiàn)“四位一體“的現(xiàn)代應用安全體系。
F5 One WAAP架構��,通過多種交付模式和統(tǒng)一的策略管理平臺����,提供多云混合云中一致的應用安全服務能力。企業(yè)可以為不同形態(tài)的應用選擇合適的安全防護組件�����,并利用統(tǒng)一的策略管理平臺����,簡化安全策略的部署、遷移和優(yōu)化過程����,減少安全策略轉換中遺漏和遲滯造成的業(yè)務損失。
F5 One WAAP 靈活的方案組合
面向傳統(tǒng)應用�,可以選擇本地部署的AWAF,實現(xiàn)高強度攻防對抗能力的同時����,提供一部分的自動化能力,包括策略的自動化更新�����,應用自動化發(fā)布和SaaS自動化對接能力��。
面向云原生應用���,可以選擇NGINX App Protect�����,以輕量化的方式集成到DevOps流程中��,為微服務和API應用提供動態(tài)的防護能力���。
面向海外應用和SaaS應用�����,可以選擇分布式云服務�����,利用強大的AI學習能力和事件分析能力�,提供更多的主動防護手段的同時��,簡化應用安全策略管理����。
通過不用的產品形態(tài),解決了應用在不同環(huán)境中的安全訴求�����,但是,如何確保應用安全策略在幾個平臺之間的無縫遷移���,是現(xiàn)代應用安全體系面臨的下一個挑戰(zhàn)��。
應用安全策略一致性管理
F5策略轉換器policy supervisor,利用一個平臺���,對多套安全產品做統(tǒng)一的策略管理����,從而實現(xiàn)應用安全策略一致性�。
Policy Supervisor架構示意圖
在策略轉換器的架構里,管理員只需要維護一臺安全策略��,利用策略轉換器實現(xiàn)各個安全產品之間統(tǒng)一的策略管理�����,包括策略編輯���、策略推送和更新�����,以及安全節(jié)點維護�����。
以本次Demo演示為例�����,介紹下F5 WAAP和Policy Supervisor的工作過程�����。
首先我們模擬API攻擊���,傳統(tǒng)WAF根據對參數(shù)類型的防護���,WAF設置參數(shù)類型為整型。通過訪問API訪問參數(shù)設置為整型時���,訪問正常���。參數(shù)為非整型時,訪問失敗���,傳統(tǒng)WAF檢測到攻擊后��,認為是不合規(guī)的訪問�����,被WAF攔截�����,并產生supportID�����。訪問黑名單的URL時�����,傳統(tǒng)WAF檢測到不合規(guī)也是直接攔截產生supportID�����?�?筛鶕a生的supportID看到傳統(tǒng)WAF日志信息�����。傳統(tǒng)WAF很好地保護了這個應用��。
F5 AWAF 攔截日志
到某個階段�����,應用需要遷移到云原生環(huán)境��,我們選擇輕量化的NAP做防護�,同時希望應用在不同環(huán)境之間遷移保持一致的安全防護能力。過去我們需要手動將策略從傳統(tǒng)WAF移植到云原生WAF��,今天可以借助F5策略轉換器��,將傳統(tǒng)WAF策略導入后���,轉換成云原生WAF策略�,然后推送到NAP�。
我們再次模擬云原生環(huán)境里的API 攻擊,可以看到NAP仍然可以對參數(shù)為非整型和黑名單URL進行精準攔截并產生相對應的supportID���?�?赏ㄟ^日志查詢到相對應的攻擊類型�,攻擊源,命中的策略等內容��。
F5 NAP 攔截日志
因此����,當應用同時部署在傳統(tǒng)架構、云原生架構和F5 分布式云中���,或者應用在這些環(huán)境之間遷移時��,都可以利用policy supervisor將同一條策略推送至上述任意環(huán)境,從而實現(xiàn)One WAAP理念中的策略一致性管理����。
