六种接入方式,终结云上WEB应用防护困扰
过去几年国内云计算市场高速发展,可以说未来的软件一定是“生长”于云上的。基础设施变化,是对企业安全体系影响最大的变量,安全和业务速度保持一致,才能应对云上的攻击不确定性、对抗复杂性,提升用户体验。
PART.01
“云化”重塑IT体系后的Web防护
WAF是保障Web应用安全的基础性核心产品,在IDC最新公布的2023年市场份额中,云WAF整体市场规模已经超过传统硬件WAF市场,达到21.0亿元人民币,WAF云化的优势进一步凸显。
然而,云上的产品和以前的硬件产品形态截然不同,当面临新旧基础设施的迭代,大部分企业会选择以下几种云环境WAF建设方案,它们各有利弊:
01 云外硬件串联
优势
- 可直接复用原有云外硬件方案,无需适配
- 无需改变运维习惯
劣势
- 流量串联,存在吞吐瓶颈
- 传统HA,无法弹性扩展,高可用不足
02 云内虚机化串联
优势
- 可直接复用原有云外硬件方案,少量适配
- 无需改变运维习惯
劣势
- 无法实现透明接入,只支持反向代理
- 代理能力弱,必须使用”三明治“架构
03 云平台自有能力
04 公有云方案
优势
- 一站式SaaS解决方案
- 高可用性
劣势
- 采购成本高
- 售后维护无专人对接
也就是说,除了公有云运营商提供的WAF服务外,市面上主流的云环境WAF部署方案都是把采集和检测能力打包,整体部署在云内/外,这样必然会存在高可用不足、资源扩缩受限以及容灾问题。
💡Q:
那么,是否存在一种方案,既能利用云底座的弹性扩缩容能力,又能完美保留传统WAF的防护效果和自定义能力,还能一举三得地实现混合环境的统一管理?
💡A:
答案是有的。长亭科技雷池(SafeLine)下一代Web应用防火墙经过全面云化改造,已形成成熟的云环境多形态WEB应用防护接入方案,满足用户“既要又要还要”的多重需求。
PART.02
破局关键思路:两个解耦
要想让WAF吃透“云属性”,破局的关键是“解耦融云”。长亭云环境多形态WEB应用防护接入方案中将WAF做了两个重要的解耦。
一是将软件服务与操作系统解耦。不仅仅简单地与硬件解耦,而是进一步与操作系统解耦,这样我们可以将服务部署在任意的云主机中;此外,我们继续对WAF服务进行拆分,将管理服务与流量服务解耦,实现分布式集群能力。
二是将流量转发服务和流量检测服务解耦。解耦后,用户现有网络环境中的负载均衡/流量中间件/服务器代码可以承担流量采集的工作,采集完成后转发给WAF的检测接口,对这些流量进行检测并返回给对方结果,这个标准接口即雷池(SafeLine)的T1K接口。在这一过程中由于直接复用了现有链路中的流量转发组件,WAF是不可见的,可以被认为是“软件透明”。这个解耦一方面使得原有网络环境中的高可用和故障Bypass机制仍可自动沿用,另一方面便于“无损化”地实现检测、转发、分析节点的水平扩展。
PART.03
云环境多形态WEB应用防护方案
按照这种“解耦引流”的思路,长亭科技根据不同客户的网络结构特点及业务需求,构建了五种流量转发与检测解耦的实现方案,和一种转发与检测一体化的优化方案,让每个客户都能少改动、低成本地应用最适合自身网络环境的方案。
01 动态模块引流
特性
- 以Nginx为代表,可复用现有Nginx集群
- Nginx中加载so动态模块
- 支持Nginx衍生的tengine、openresty、kong、apisix 等网关
02 网关SDK的引流
特性
- 可嵌入自研网关中实现流量检测
- 多语言支持
- 不改变网络拓扑,无感接入
- 自主可控,拥有业务级细粒度bypass机制
03 服务端SDK引流
特性
- 可嵌入业务端代码,实现业务加密流量检测
- 多种对接语言,可嵌入任何业务
- 可自由编排检测/拦截逻辑
04 K8S引流
特性
- 可与Ingress、istio等K8S云原生组件联动进行流量检测
- 可在k8s内部署,自动扩缩容和服务降级
- 可在k8s外部署,复用软件检测集
05 mPaaS引流
特性
- 可与MGS网关联动进行流量检测
- MGS原生支持,无需额外适配
- 不改变网络拓扑,不成为单点故障点
- 解决移动app加密数据检测的问题
06 集群反向代理
特性
- 提供基于tengine的LB+WAF一体化能力
- 分布式部署+集中管理
- 检测服务可水平扩展
- 支持对后端业务负载均衡(自带Tengine集群)
得益于雷池(SafeLine)接口设计的标准化和开放性,长亭与很多云基础架构达成了生态合作,包括获得Nginx认证安全模块、APISIX社区默认集成插件、BFE的商业合作等。多样的生态使得方案能更广泛快速地兼容客户的多样环境,让云下全线防护能力得以平滑迁移至云上,实现检测能力的弹性扩缩容和统一管理,真正做到“功能不受损,服务不降级”的全场景守护。
