云安全服務:WAF和DDoS攻擊預防
對于云安全的服務,WAF和DDoS攻擊預防。現今有許多基于云服務提供的安全,包括Web和郵件過濾、網絡流量訪問控制和監控以及用于支付卡業務的標記化。不同安全服務的一個重要區別是“在云中”的、或“為了云”的,即那些集成到云環境中作為虛擬設備提供給用戶使用和控制的安全服務。安全即服務(SaaS),是為了確保其他云服務提供商傳輸流量和數據通過。在本文中,我們將集中關注基于云的Web應用過濾和監控以及DDoS攻擊預防服務,并可能提供兩者的模型。
Web應用防火墻
目前可以提供幾種類型的基于云的Web應用防火墻(WAF)服務。第一類屬于“在云中的安全”,使用當前硬件和基于軟件的WAF提供虛擬設備,在云服務提供商環境中,作為平臺服務(Platform as a Service 、PaaS)和基礎設施服務(Infrastructure as a Service 、IaaS)使用。這些廠商包括Imperva公司和Art of Defence 公司,同時,像知名的云環境Amazon 的EC2、GoGrid和Terremark也可以提供服務。一般實施這些虛擬設備的費用比較合理,且為云服務客戶提供非常寶貴的能力,如針對常見Web應用攻擊附加的過濾,對有限的行為進行分析。許多數據泄漏都源于SQL注入或類似的攻擊,因此這是一項應該進行研究的服務,特別是對于處理敏感數據的云設備。不過,性能可能會受到影響,因此需要具備十分高性能的設備。
在任何WAF設備上徹底啟用規則集前,進行重要的測試。
Art of Defence有些獨特,因為它在EC2云中負責所有的WAF服務,使Amazon的顧客實施起來非常簡單。此外,Amazon向那些不愿意自己專門管理一臺WAF虛擬設備的AWS(Amazon Web Service)的客戶提供Citrix公司的NetScaler產品的WAF。
服務提供商們已經創建了多個安全服務,作為“用于云的安全”的WAF交付。Imperva公司已經創辦名為Incapsula的基于云的WAF服務公司,主要針對那些想走捷徑、通過WAF管理Web應用流量,而不是在公司內或在云環境管理一臺設備的中小企業。開始只需要改變一些DNS設置,而且看來Incapsula公司主要關注于偵測和預防基于Web的主要威脅和問題,包括SQL注入、跨站點腳本攻擊(XSS)和其它OWASP排名前10的漏洞,還包括關注于內容緩存和減少流量開銷方面。
從2009年以來,Akamai科技有限公司一直提供基于云的WAF能力,開始時,它提供基于開源的ModSecurity WAF平臺的應用過濾,盡管進行了定制化來運行在Akamai的Edge平臺網絡上。目前它的能力包括IP地址白名單和黑名單,還有定制化的規則來偵測和阻擋協議異常、SQL注入和XSS攻擊、內容泄漏和其它安全破壞。Akamai公司最近宣布,他們會和Qualys及其它公司在新的開源WAF項目上進行合作。
DDoS攻擊預防
對于DDoS預防,有幾家“在云中”的服務提供商可供選擇,像Terremark、Rackspace和NaviSite公司。用戶可以把DDoS預防作為附加的管理服務,并將它添加到云管理規劃中。DDoS預防服務在價格和范圍上不等,這取決于需要的定制化水平。對于簡單的冗余和DNS“防護”服務來說費用通常很少,但是對于擁有大量站點和虛擬主機的客戶來說費用會增加,因為服務提供商的運營開銷增加了。大多數的顧客不需要DDoS預防,但是那些有嚴格的正常運行時間需求、或者是容易遭受DDoS攻擊的組織應該評估,看看這些服務在云管理環境中是否可用且可滿足他們特定的需要。
其他公司提供“用于云安全”的DDoS預防,云服務的客戶或者自我管理數據的客戶,能通過他們的基礎設施來發送流量,進行監控和管理。Akamai公司提供被稱為DDoS防護的服務,包括DNSSEC、流量優化、帶寬控制、Web加速、服務器公網偽裝及其它功能。另一家提供基于云的DDoS預防的公司是DOSarrest。它的代理防護和個性化服務為站點提供DDoS“緩存”,當顧客遭受攻擊時,可非常有效地處理流量和控制帶寬。對于像eBay、Amazon和其它高訪問量的站點來說,這是一個重要的安全交付,因為DDoS攻擊對于合作的攻擊者來說是小事一樁,并且能有效地讓基于Web的業務停止一段時間。
基于云的WAF和DDoS預防服務在安全實施的便捷性方面,是向前的一步。WAF產品傳統上被看作是非常難實施和管理的。使用虛擬設備簡化集成和外包大部分的運營配置,為云服務提供商的員工管理是非常有意義的,可以減少費用和專門的技術人員。DDoS預防是一項高度專業化的安全能力,對處在云模型中的顧客來說變得更加觸手可得,并且能從云平臺和數據中心天生的可擴展性和冗余性中受益。
【編輯推薦】
