趙明

2017年將是網(wǎng)絡(luò)安全行業(yè)高速發(fā)展的一年，WebRAY（盛邦安全）副總裁嚴(yán)雷表示，盛邦安全將建設(shè)更多辦事處，發(fā)展渠道伙伴，深耕市場(chǎng)。同時(shí)， 盛邦安全將繼續(xù)研發(fā)新產(chǎn)品，開(kāi)發(fā)新技術(shù)，保持技術(shù)領(lǐng)先。在2017年，盛邦安全將發(fā)布更多新產(chǎn)品為用戶提供更好的服務(wù)。

隨著云計(jì)算產(chǎn)業(yè)的不斷成熟，越來(lái)越多的企業(yè)用戶選擇將業(yè)務(wù)系統(tǒng)遷移至云和虛擬化平臺(tái)中。但是，在關(guān)注云和虛擬化基礎(chǔ)設(shè)施安全的同時(shí)，防網(wǎng)頁(yè)篡改、防網(wǎng)頁(yè)掛馬等Web應(yīng)用安全防護(hù)也需要得到充分的重視。

近期，盛邦安全推出了可以部署于云和虛擬化環(huán)境的WAF產(chǎn)品，能夠防范黑客利用 Web 應(yīng)用天然缺陷對(duì)業(yè)務(wù)進(jìn)行惡意攻擊，并及時(shí)發(fā)現(xiàn)傳統(tǒng)防火墻不能檢查出的 Web 安全問(wèn)題。

威脅云端Web服務(wù)

由于云服務(wù)具備敏捷、低成本等優(yōu)勢(shì)，很多企業(yè)用戶都選擇將Web服務(wù)轉(zhuǎn)移到云端。然而，Web應(yīng)用安全問(wèn)題卻并不會(huì)隨著云化進(jìn)程而自然化解，即使企業(yè)用戶通過(guò)云本身的安全防護(hù)功能解決了病毒感染、APT攻擊等網(wǎng)絡(luò)層面的安全問(wèn)題，但頁(yè)面篡改、CC攻擊、信息泄露、后門(mén)控制、跨站腳本等應(yīng)用安全風(fēng)險(xiǎn)依然威脅著Web服務(wù)的完整性、合規(guī)性。

近兩年，國(guó)家顯著強(qiáng)化了對(duì)于Web服務(wù)的監(jiān)管力度，要求Web服務(wù)提供商確保Web內(nèi)容的安全性、合規(guī)性，避免出現(xiàn)色情、暴力等非法信息，或是被不法分子篡改網(wǎng)頁(yè)內(nèi)容，否則將可能導(dǎo)致網(wǎng)站面臨關(guān)停等處罰。

為了規(guī)避相關(guān)風(fēng)險(xiǎn)，部署Web應(yīng)用安全防護(hù)產(chǎn)品顯然是最好的應(yīng)對(duì)之道，而傳統(tǒng)的Web應(yīng)用安全防護(hù)產(chǎn)品并不能有效適配云與虛擬化環(huán)境，所以用戶急需能夠完美適配云與虛擬化環(huán)境的Web應(yīng)用安全防護(hù)產(chǎn)品。

在此背景下，云或虛擬化WAF應(yīng)運(yùn)而生，它在適配云和虛擬化環(huán)境的同時(shí)，可以為云用戶提供Web應(yīng)用安全防護(hù)功能。權(quán)威咨詢機(jī)構(gòu) Gartner 預(yù)測(cè)，到2020年年底，60%以上受WAF保護(hù)的公有Web應(yīng)用，將采用云WAF或虛擬化WAF交付方案。

那么，Web服務(wù)提供商又該如何選擇云或虛擬化WAF產(chǎn)品呢？

按需選擇是最佳解決之道

目前，可以適配云環(huán)境的WAF產(chǎn)品可以分為云WAF和虛擬化WAF。云WAF通過(guò)改變DNS解析，將訪問(wèn)Web應(yīng)用服務(wù)器的域名解析權(quán)移交到云端節(jié)點(diǎn)，以過(guò)濾非法的網(wǎng)絡(luò)需求。而虛擬化WAF則是將傳統(tǒng)硬件WAF的功能適配虛擬化環(huán)境，采用傳統(tǒng)的代理技術(shù)，以確保虛擬Web應(yīng)用服務(wù)器的安全，防止跨站、注入等Web攻擊行為。

盛邦安全產(chǎn)品經(jīng)理徐景育表示：“這兩種WAF產(chǎn)品并沒(méi)有絕對(duì)的優(yōu)劣之分，對(duì)于強(qiáng)調(diào)業(yè)務(wù)敏捷性與快速交付，降低運(yùn)維成本的Web用戶來(lái)說(shuō)，選擇云WAF產(chǎn)品能夠提供其所需的彈性、可擴(kuò)展性，以及按需的防護(hù)；而對(duì)于有較多的定制化Web安全防護(hù)需求，希望對(duì)Web應(yīng)用進(jìn)行嚴(yán)格控制與審計(jì)的用戶來(lái)說(shuō)，選擇虛擬化WAF則能夠提供與基于物理環(huán)境的WAF產(chǎn)品基本無(wú)異的Web應(yīng)用安全防護(hù)服務(wù)?！?/p>

面向云與虛擬化環(huán)境，盛邦安全推出了銳御RayWAF，它以虛擬化鏡像方式提供，完全兼容VM、KVM、XEN等多種虛擬化平臺(tái)，可以為虛擬機(jī)配置提供與底層硬件上存在的物理組件完全不同的虛擬組件。

它不僅能用于保護(hù)面向互聯(lián)網(wǎng)的 Web 應(yīng)用，還可以被部署在內(nèi)部 Web 應(yīng)用服務(wù)器之前，對(duì)內(nèi)部 Web 服務(wù)器的惡意訪問(wèn)行為進(jìn)行訪問(wèn)控制和業(yè)務(wù)審計(jì)，防范來(lái)自內(nèi)部的威脅。

目前，銳御RayWAF已經(jīng)在QingCloud中成功上線，為云租戶提供可以信賴的Web應(yīng)用安全服務(wù)。未來(lái)，銳御RayWAF還計(jì)劃登錄阿里云、華為云等公有云平臺(tái)，并通過(guò)與中國(guó)聯(lián)通、中國(guó)電信等私有云廠商的合作，保護(hù)云用戶重要信息系統(tǒng)不受 Web 應(yīng)用攻擊的影響。