告别云化安全“囧途”,企业应用安全防护的最佳拍档 – 作者:北京长亭科技有限公司

当前各行业头部企业的数字化转型步入深水区,数字化优势愈发明显,“数字经济”加速发展。同时技术持续迭代更新,云计算得到大规模应用,在数据中心架构的选择中,兼具弹性拓展和数据私密性的私有云架构备受企业青睐。

“上云”成为数字化转型关键词

然而企业基于传统架构建设的安全防护体系,与私有云优势特性格格不入,已经成为了阻滞企业上云转型的绊脚石。同时在各种APT攻击和攻防演练的促进下,当前企业防护向实战化转变,流量巨大且对外开放的Web站点成为了攻击者最方便访问与攻击尝试的靶点,亟需“一夫当关,万夫莫开”的应用层安全防护能力。

上云之旅需要靠谱的“安全拍档”

那么如何选择一个靠谱拍档,选择一款 “万夫莫敌”且弹性适配私有云的应用层防护设备?关于这个问题,我们不妨听听某数字化转型深水区选手的应对之道。


令 “深水区选手”头疼的问题!令 “深水区选手”头疼的问题!

某世界五百强集团,业务覆盖城建、能源等多个领域,为适应业务发展,逐步向私有云架构转型,此时原有的两台规则型WAF出现了一些问题:

硬件部署限制,不能弹性适配业务
已有的硬件WAF部署较早,以透明串联形式防护既定流量,随着业务迁移上云,流量迅速增长,硬件部署的WAF反而成为链路中阻碍性能扩展的瓶颈,无法对弹性变化的云端业务进行有效防护。

依赖规则防护,实战场景易被绕过
近年来随着攻防演练活动的普及和规范化,攻击队更加专业;在APT攻击中,使用的攻击手段也在不断迭代,传统的规则型WAF已经难以阻挡攻击者的步伐。

缺乏拓展能力,无法进行多样防护
随着企业数字化转型加速和Web应用场景的不断拓展,仅支持HTTP/HTTPS流量检测的应用防护体系,无法满足API防护与BOT管理等新的需求。

作为全国数字化转型明星企业的某集团是如何解决上述诸多问题的呢?万夫莫敌且适配私有云的应用安全防护设备又是什么呢?

答案就是——采用软件集群反向代理部署方式的雷池(SafeLine)。雷池(SafeLine)底层容器架构使其能更灵活的适配私有云环境,软件集群反向代理的部署方式则满足了私有云安全防护高可用和弹性拓展的需求。

在部署前,用户请求(HTTP/HTTPS流量)由汇聚负载均衡设备牵引至Web服务器集群处理。部署时,雷池(SafeLine)集群以物理旁路的形式链接核心交换机,并通过修改负载均衡设备配置的方式,实现逻辑串联。部署后,用户请求由汇聚负载均衡设备牵引至对应的雷池(SafeLine)集群,检测所有流量,拦截并记录攻击请求,将正常请求转发至Web服务器集群。

图片[1]-告别云化安全“囧途”,企业应用安全防护的最佳拍档 – 作者:北京长亭科技有限公司-安全小百科

VPC 1/2对应的雷池(SafeLine)集群,包含1个管理节点和4个检测节点;VPC 3(因特殊防护需求,单独划分空间)对应的雷池(SafeLine)集群则包含1个管理节点和2个检测节点。在雷池(SafeLine)集群中检测节点负责接收、检测和转发HTTP/HTTPS请求,管理节点负责对检测节点进行统一管理,包括策略下发、日志收集存储等。

在企业上云之旅中,雷池(SafeLine)有何优势?

适配私有云,支持无缝拓展
雷池(SafeLine)采用容器架构,灵活嵌入私有云环境。反向代理集群部署的方式,能够配合负载均衡实现WAF的高可用,保障业务持续稳定运行。当业务流量接近集群承受峰值时,可以通过直接在集群中增加检测节点的方式,实现性能的弹性拓展。

语义分析,提高绕过成本
与规则型WAF不同,雷池(SafeLine)以语义分析技术为核心,辅助机器学习检测机制,提高非法请求的检测和拦截效率,显著增加攻击者绕过WAF进行攻击的难度。

开放拓展,支持API与BOT需求
除了进行HTTP/HTTPS流量的检测之外,雷池(SafeLine)也支持API流量的安全检测,识别并阻断攻击行为。且能够通过多项主动检验,识别和管理BOT请求,提高恶意BOT攻击成本。


避免上云之旅成为“囧途”,
雷池(SafeLine)是值得拥有的好拍档!

来源:freebuf.com 2021-07-01 11:22:36 by: 北京长亭科技有限公司

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论