如何基于云原生安全打造全新一代WAF?
阅读本文大约需要3分钟
中国Web安全现状
可以看一下2019年上半年的网站安全现状,外部漏洞占整个CNVD漏洞的24.9%。另外我们整个网站的仿冒页面,包括被篡改,除了这些数据,其实还有一些等保合规,包括像一些自动化流量攻击,所有这些攻击的行为都造成整个运营安全防护的需求增长非常迅速,在一些分析机构的报告里面,其实整个应用安全防护的市场,尤其是云上应用安全防护的市场,基本上是以年100%~200%的增速在增长。
腾讯云WAF产品架构
接下来看一下我们腾讯云WAF在应用安全防护的这种架构和创新有哪些?我先简单介绍一下我们产品的架构,那传统接入、云原生接入是两种不同的接入方式。大家可以看右边,我们整个腾讯云Web应用防护的一个架构,首先是用户接入层,那这里面其实我们有这种传统的私有化的形式,然后有的形式,然后还有一种就是云原生的,相当于是我们云原生的集成到这种云的网络加速的基础设施里面,像我们的CLB、CDN,因为CLB和CDN它其实都是作为云上的一个流量入口或者基础的网络设施而存在的,那所以我们是利用他们的这种网络接入能力,把客户的流量接入进来,这个是我们的一个用户接入层。
然后核心的能力层其实更多是说我们这个WAF的一些核心功能,包括我们这里面的规则引擎,然后包括我们的基于这个用户建模、异常检测、攻击分类的AI引擎,也就是人工智能引擎。还有我们通过这种流量分析,包括我们一些预定的策略,然后进行这种自动化流量管理,去区分到底有哪些自动化的流量是 good bot,有哪些自动化的流量是bad bot,去把它进行分类、治理,去设置相应的策略,就是 good bot我们就放过,bad bot我们就进行一定的惩罚。然后还有包括像我们的自动化的CC,就是当客户遭受SCP层面的威胁时,我们可以自适应地去做一些防御。还有我们的API安全,对API的规范内容去做一些校验以及对API的这些接口的安全性提供保护。
那业务场景其实更多是我们去集成一些上层的安全功能,与此同时我们的产品还有一个协同层,我们会跟我们腾讯其他的一些安全产品,包括安全能力,比如说我们的SOC、微信情报,并且我们会跟我们的大禹,就是腾讯的DDoS产品去做一个联动,去完成一个纵深的防御体系。比如说我们首先在DDOS上,会有大禹先去抵挡这种大流量的攻击,再由WAF应用安全防火墙去抵御一些精细化的这种应用层的攻击。那与此同时我们会跟我们相当于是云安全的眼睛SOC,以及我们的情报去做一些整合,去把我们的日志展现出来,同时利用这些情报提供更多的能力,同时跟我们其他的一些安全产品去做一些整合,去形成一个联动的防御。
简单来说就是我们本身分三层去提供一些应急安全措施,与此同时我们再跟腾讯运营的这些安全产品去形成一个联动的防御体系,这就是我们产品简要的架构。
温馨提示:本期直播课中还重点介绍了应用安全防护成功案例及应用安全防护未来发展,建议感兴趣的同学观看完整课程视频进行学习,点击文末“阅读原文”即可跳转观看噢~
腾讯云大学公众号
长按识别二维码关注??
“腾讯云大学”? ?
了解更多免费、专业??
行业最新技术动态分享??
戳“阅读原文”即可观看课程视频!