隨著越來越多的用戶將傳統(tǒng)的業(yè)務系統(tǒng)遷移至虛擬化環(huán)境或者一些云服務商提供的云平臺中，而目前眾多云平臺企業(yè)關注的更多是基礎實施的完善和業(yè)務的開展，對于安全層面的關注較少。云平臺存在網(wǎng)站多、環(huán)境復雜的問題，同時也面臨大量的Web安全以及數(shù)據(jù)安全問題，其遭受著最新的Web攻擊安全威脅。Web應用攻擊作為一種新的攻擊技術，其在迅速發(fā)展過程中演變出各種各樣、越來越復雜的攻擊手法。新興的Web應用攻擊給Web系統(tǒng)帶來了巨大的安全風險。

安全問題尤其在云平臺中更加突出，云平臺中有不同行業(yè)的云租戶，不同的云租戶對于安全的需求也不一樣，游戲和電商用戶關注CC攻擊、信息泄露、后門控制、同行惡意攻擊等安全風險，金融用戶關注信息泄露、跨站腳本等安全風險，政務用戶關注網(wǎng)頁掛馬、Webshell、頁面被篡改等安全風險。

根據(jù)不同云租戶的Web應用安全需求，本文提供了基于虛擬化的云WAF解決方案，幫助用戶解決面臨的Web攻擊(跨站腳本攻擊、注入攻擊、緩沖區(qū)溢出攻擊、Cookie假冒、認證逃避、表單繞過、非法輸入、強制訪問)、頁面篡改(隱藏變量篡改、頁面防篡改)和CC攻擊等安全問題。

云環(huán)境Web應用安全解決方案

在傳統(tǒng)數(shù)據(jù)中心機房中可將安全設備隨意插入到用戶網(wǎng)絡中，而在云網(wǎng)絡中采用虛擬化，用戶的應用節(jié)點甚至可遷移到不同的計算節(jié)點上， WAF無法通過傳統(tǒng)的盒子方式進行部署。

1、公有云解決方案

為公有云租戶提供安全解決方案，需要考慮方案的便利性、通用性和可實施性，下面的WAF虛擬化解決方案，通過把WAF的安全檢測模塊以鏡像的方式作為應用發(fā)布在應用市場(VWAF)，用戶像選擇手機APP一樣方便選擇VWAF。

用戶所有操作簡便快捷，均由用戶自行操作，VWAF提供管理接口，用戶可自行登陸到VWAF管理平臺上配置策略和查看攻擊趨勢、報表數(shù)據(jù)、設備狀態(tài)等信息，用戶只要4步操作即可完成整個VWAF的部署：

方案優(yōu)勢：

■支持市面上主流虛擬化環(huán)境和云環(huán)境，只需安裝在指定的操作系統(tǒng)上即可;

■保留傳統(tǒng)WAF所有功能和特性，可滿足不同云租戶的安全需求;

■部署簡便快捷，云租戶上手快;

■VWAF性能損耗小，經(jīng)ucloud云環(huán)境虛擬主機測試，性能較硬件WAF幾乎沒有損耗;

■云租戶使用成本低廉，可按需購買。

2、私有云解決方案

針對私有云數(shù)據(jù)大集中、高效、彈性空間等特點，我們可以采用云WAF清洗中心方案，通過WAF虛擬化+集群方式進行部署，云計算中心的前端LB將業(yè)務流量分發(fā)到多臺VWAF，即使是在沒有LB的情況下，也可以將VWAF切換為LB，然后將業(yè)務流量先轉(zhuǎn)發(fā)到VWAF-LB 上，由LB分發(fā)給多個VWAF進行清洗后，再重新發(fā)回LB，LB再統(tǒng)一轉(zhuǎn)發(fā)給后端Web服務器。云WAF清洗中心物理示意圖如下：

云安全管理中心同時管理對LB和VWAF集群進行集中管理，云安全管理中心根據(jù)用戶的需求負責對業(yè)務流量進行牽引，確保檢測的流量能到達LB，同時云安全管理中心負責對多臺VWAF下發(fā)策略，可精細到不同云租戶配置的策略組和例外策略，VWAF定期將日志和報告輸送到云安全管理中心。

此方案作為整個云平臺的總體安全方案，目前已用于私有云計算中心中。

方案優(yōu)勢：

■支持市面上主流虛擬化環(huán)境和云環(huán)境，只需安裝在指定的操作系統(tǒng)上即可;

■一旦完成部署后，后面的維護相對簡單，擴容通常只需要新增VWAF即可。資源也能得到充分的利用;

■VWAF集群方案，具備數(shù)據(jù)大集中、高效、彈性等特性;

■私有云租戶只需關注自身的業(yè)務即可，無需專注于安全建設，只需定時關注Web安全報表信息;

■防護策略精細化，可針對不同云租戶區(qū)分配置和例外配置;

■云租戶使用成本低廉，可按需購買。

原文鏈接;http://www.youxia.org/cloud-waf.html?utm_source=tuicool