SACC2014 Web安全從傳統到雲計算的演進

本文講的是sacc2014:web安全從傳統到雲計算的演進，2023年9月17日-19日，2014 中國系統

架構師大會

(sacc 2014)在北京五洲皇冠國際酒店盛大開幕。作為中國規模最大的架構師豪門盛會，本屆中國系統

架構師大會

以「發現架構之美」為主題，**最具前瞻性的行業趨勢與技術熱點，分享架構在企業中的最佳實踐，共同領略架構之美。

▲上海有云資訊科技****cto江均勇

在第一天的下午專場一會場，來自上海有云資訊科技****cto江均勇帶來了《雲計算中的網路功能虛擬化及安全應用解決方案》主題演講。

江均勇介紹到，傳統waf採用的是軟硬體一體化的模式實現，在部署方案中，採用串聯或者旁路部署的方式，對被保護的web伺服器的流量進行安全檢測。waf的功能包括防止黑客進行sql注入、xss跨站、畸形報文、檔案注入、系統命令注入、網頁篡改、資訊洩露等攻擊，來實現保障web服務應用安全。但傳統waf在如今的安全形勢下有非常多的缺點，軟硬體一體化，可靠性同時依賴於硬體與軟體;二是公升級與維護複雜，缺少集中的管理平台，硬體一旦出現故障，必須要廠家更換裝置或重新購買;三是擴容複雜，需要重新制定解決方案;四是運維成本高，增加資料中心(或普通機房)內對裝置型別的管理和監控。

▲傳統waf

為了解決傳統waf的這些缺點，業界又出現了雲waf，但雲waf依然有不足。江均勇講到，雲waf的主要原理就是通過訪問路徑變更，通過dns重定向的方式，將需要防護的web伺服器的dns定向到「waf」上，waf再通過反向**的方式訪問web伺服器。但這就又有了新的安全問題，首先是雲waf不在需要保護的web server使用者管理的範疇，所有web訪問資料經過雲waf是否放心資料安全?二是雲waf到web server的後端訪問路徑，安全性如何保障?在技術實現方案上，雲waf是否真正的雲呢?傳統軟硬體一體化裝置、軟體反向**等waf同樣可以實現，沒有體現出雲的特徵！

▲雲waf

江均勇總結到，傳統的雲waf採用了網際網路的軟體服務模式，提供了「secaas」(安全作為服務)需求的特性，而並未**web應用安全的最終需求，雲的宣傳只是一種噱頭。

對於傳統資料中心應用，大規模web集群的訪問資料量超過每秒數gb，傳統的waf無法進行部署防護，且管理維護複雜。江均勇介紹到，基於此有雲推出了cloudasg：

▲有云cloudasg

有云cloudasg有以下特點：

部署簡易：有云cloudasg通過集中部署安全防護雲的方式，使用者環境只需將web流量通過簡單的策略路由的形式引入到cloudasg中，cloudasg通過asg例項對web流量進行安全檢測，實現web應用安全的防護。同時，cloudasg還可以與資料中心管理聯動，對持續攻擊的ip位址等實現黑名單阻斷，即在核心路由側對惡意ip執行阻斷，防止dos攻擊；

擴容方便：客戶業務增加，web流量隨之增大，對於安全防護來說，僅需要在cloudasg中增加通用伺服器資源，採用雲計算典型的硬體即插即用的方式即可，無需額外的配置；

cloudasg與業務完全解耦：出現故障時，客戶可以通過對交換機策略路由的配置，直接跳過cloudasg，恢復與部署簡便；

集中管理與開放介面：大規模應用安全防護，cloudasg提供集中地管理平台asgm，可以方便安全防護的配置，同時asgm開放介面，使用者可通過開放介面查詢安全攻擊日誌資料和報表等；

在資料中心雲計算環境中，有云cloudasg通過外掛程式式管理方式，利用雲平台的自動化部署特性，將web應用防護例項動態的關聯部署到待防護的web伺服器前端，在虛擬化環境中採用sdn引流的方式實現對web服務的安全防護。

江均勇談到，有云cloud asg提供了靈活的部署框架模型，極大的降低了運維管理成本，較傳統軟硬體一體機及傳統雲waf方案，安全性、可靠性、可維護性和可操作性具備絕對的優勢，對傳統資料中心演進以及雲計算資料中心增擴容能夠平滑過渡和支援。

董建偉

SACC2014 Web安全從傳統到雲計算的演進

從「黑掉Github」學Web安全開發

Web安全防禦從WAF到應用閘道器

Web安全從入門到「放棄」之pikachu環境部署

SACC2014 Web安全從傳統到雲計算的演進

從「黑掉Github」學Web安全開發

Web安全防禦從WAF到應用閘道器

Web安全從入門到「放棄」之pikachu環境部署

相關推薦