在第一天的下午專場(chǎng)一會(huì)場(chǎng)，來自上海有云信息技術(shù)有限公司CTO江均勇帶來了《云計(jì)算中的網(wǎng)絡(luò)功能虛擬化及安全應(yīng)用解決方案》主題演講。

 

　　江均勇介紹到，傳統(tǒng)WAF采用的是軟硬件一體化的模式實(shí)現(xiàn)，在部署方案中，采用串聯(lián)或者旁路部署的方式，對(duì)被保護(hù)的WEB服務(wù)器的流量進(jìn)行安全檢測(cè)。WAF的功能包括防止黑客進(jìn)行SQL注入、XSS跨站、畸形報(bào)文、文件注入、系統(tǒng)命令注入、網(wǎng)頁(yè)篡改、信息泄露等攻擊，來實(shí)現(xiàn)保障WEB服務(wù)應(yīng)用安全。但傳統(tǒng)WAF在如今的安全形勢(shì)下有非常多的缺點(diǎn)，軟硬件一體化，可靠性同時(shí)依賴于硬件與軟件;二是升級(jí)與維護(hù)復(fù)雜，缺少集中的管理平臺(tái)，硬件一旦出現(xiàn)故障，必須要廠家更換設(shè)備或重新購(gòu)買;三是擴(kuò)容復(fù)雜，需要重新制定解決方案;四是運(yùn)維成本高，增加數(shù)據(jù)中心(或普通機(jī)房)內(nèi)對(duì)設(shè)備類型的管理和監(jiān)控。

 

　　為了解決傳統(tǒng)WAF的這些缺點(diǎn)，業(yè)界又出現(xiàn)了云WAF，但云WAF依然有不足。江均勇講到，云WAF的主要原理就是通過訪問路徑變更，通過DNS重定向的方式，將需要防護(hù)的WEB服務(wù)器的DNS定向到“WAF”上，WAF再通過反向代理的方式訪問WEB服務(wù)器。但這就又有了新的安全問題，首先是云WAF不在需要保護(hù)的WEB Server用戶管理的范疇，所有WEB訪問數(shù)據(jù)經(jīng)過云WAF是否放心數(shù)據(jù)安全?二是云WAF到WEB Server的后端訪問路徑，安全性如何保障?在技術(shù)實(shí)現(xiàn)方案上，云WAF是否真正的云呢?傳統(tǒng)軟硬件一體化設(shè)備、軟件反向代理等WAF同樣可以實(shí)現(xiàn)，沒有體現(xiàn)出云的特征！

 

　　江均勇總結(jié)到，傳統(tǒng)的云WAF采用了互聯(lián)網(wǎng)的軟件服務(wù)模式，提供了“SecAAS”(安全作為服務(wù))需求的特性，而并未根除WEB應(yīng)用安全的最終需求，云的宣傳只是一種噱頭。

 

　　對(duì)于傳統(tǒng)數(shù)據(jù)中心應(yīng)用，大規(guī)模Web集群的訪問數(shù)據(jù)量超過每秒數(shù)GB，傳統(tǒng)的WAF無法進(jìn)行部署防護(hù)，且管理維護(hù)復(fù)雜。江均勇介紹到，基于此有云推出了CloudASG：

有云CloudASG

SACC2014:Web安全從傳統(tǒng)到云計(jì)算的演進(jìn)1

有云CloudASG

 

 

　　有云CloudASG有以下特點(diǎn)：

 

　　部署簡(jiǎn)易：

 

　　有云CloudASG通過集中部署安全防護(hù)云的方式，用戶環(huán)境只需將Web流量通過簡(jiǎn)單的策略路由的形式引入到CloudASG中，CloudASG通過ASG實(shí)例對(duì)Web流量進(jìn)行安全檢測(cè)，實(shí)現(xiàn)Web應(yīng)用安全的防護(hù)。同時(shí)，CloudASG還可以與數(shù)據(jù)中心管理聯(lián)動(dòng)，對(duì)持續(xù)攻擊的IP地址等實(shí)現(xiàn)黑名單阻斷，即在核心路由側(cè)對(duì)惡意IP執(zhí)行阻斷，防止DOS攻擊；

 

　　擴(kuò)容方便：

 

　　客戶業(yè)務(wù)增加，Web流量隨之增大，對(duì)于安全防護(hù)來說，僅需要在CloudASG中增加通用服務(wù)器資源，采用云計(jì)算典型的硬件即插即用的方式即可，無需額外的配置；

 

　　CloudASG與業(yè)務(wù)完全解耦：

 

　　出現(xiàn)故障時(shí)，客戶可以通過對(duì)交換機(jī)策略路由的配置，直接跳過CloudASG，恢復(fù)與部署簡(jiǎn)便；

 

　　集中管理與開放接口：

 

　　大規(guī)模應(yīng)用安全防護(hù)，CloudASG提供集中地管理平臺(tái)ASGM，可以方便安全防護(hù)的配置，同時(shí)ASGM開放接口，用戶可通過開放接口查詢安全攻擊日志數(shù)據(jù)和報(bào)表等；

 

　　在數(shù)據(jù)中心云計(jì)算環(huán)境中，有云CloudASG通過插件式管理方式，利用云平臺(tái)的自動(dòng)化部署特性，將Web應(yīng)用防護(hù)實(shí)例動(dòng)態(tài)的關(guān)聯(lián)部署到待防護(hù)的Web服務(wù)器前端，在虛擬化環(huán)境中采用SDN引流的方式實(shí)現(xiàn)對(duì)Web服務(wù)的安全防護(hù)。

 

　　江均勇談到，有云Cloud ASG提供了靈活的部署框架模型，極大的降低了運(yùn)維管理成本，較傳統(tǒng)軟硬件一體機(jī)及傳統(tǒng)云WAF方案，安全性、可靠性、可維護(hù)性和可操作性具備絕對(duì)的優(yōu)勢(shì)，對(duì)傳統(tǒng)數(shù)據(jù)中心演進(jìn)以及云計(jì)算數(shù)據(jù)中心增擴(kuò)容能夠平滑過渡和支持。