传统应用安全防护模式和不足
传统的应用安全产品——WAF,是基于攻击签名、黑白名单模式的被动安全防护模型,在过去网络编辑清晰、攻击方式单一、攻击对象明确的攻防对抗中,有比较好的防护效果。传统WAF通常部署在应用前端,开启相应的特征库,即可防护大部分的软件代码漏洞、SQL注入、跨站脚本攻击等等。
但是,当今的应用形态和部署环境发生了很大的变化,应用从过去高度集成的单体应用,演进到更灵活部署、敏捷迭代的微服务,网络的边界变得非常模糊,应用的接口变得非常开放,传统基于边界和应用对象的防护变得捉襟见肘。同时,攻击方法也发生了很多改变,高度仿真的BOT、应用层的DDoS使得传统WAF难以识别这些高级别的攻击行为。
(资料图片仅供参考)
此外,在应用演进到微服务架构的过程中,应用安全需要更动态、更易于部署的方式去保护这些原生应用。云原生应用安全通常是轻量化的产品,具备微服务、容器化的部署方式,从而为这些动态部署的应用程序提供近源防护模式。除了提供传统应用安全能力外,也需要对微服务API的认证、风险识别做出响应。这些也是传统WAF所不具备的能力。
One WAAP构建统一的应用安全体系
应用的云原生改造是一个漫长的过程,在此期间,传统应用和云原生应用的混合架构将是主要形态。随着应用逐步从传统架构迁移到云原生架构,应用安全防护措施也会逐步迁移到云原生安全模式,因此企业需要在多云和混合架构中建设一套统一的应用安全体系,包括传统WEB应用防护、应用层DDoS防护、高级别BOT防护和API安全保护,实现“四位一体“的现代应用安全体系。
F5 One WAAP架构,通过多种交付模式和统一的策略管理平台,提供多云混合云中一致的应用安全服务能力。企业可以为不同形态的应用选择合适的安全防护组件,并利用统一的策略管理平台,简化安全策略的部署、迁移和优化过程,减少安全策略转换中遗漏和迟滞造成的业务损失。
F5 One WAAP 灵活的方案组合
面向传统应用,可以选择本地部署的AWAF,实现高强度攻防对抗能力的同时,提供一部分的自动化能力,包括策略的自动化更新,应用自动化发布和SaaS自动化对接能力。
面向云原生应用,可以选择NGINX App Protect,以轻量化的方式集成到DevOps流程中,为微服务和API应用提供动态的防护能力。
面向海外应用和SaaS应用,可以选择分布式云服务,利用强大的AI学习能力和事件分析能力,提供更多的主动防护手段的同时,简化应用安全策略管理。
通过不用的产品形态,解决了应用在不同环境中的安全诉求,但是,如何确保应用安全策略在几个平台之间的无缝迁移,是现代应用安全体系面临的下一个挑战。
应用安全策略一致性管理
F5策略转换器policy supervisor,利用一个平台,对多套安全产品做统一的策略管理,从而实现应用安全策略一致性。
Policy Supervisor架构示意图
在策略转换器的架构里,管理员只需要维护一台安全策略,利用策略转换器实现各个安全产品之间统一的策略管理,包括策略编辑、策略推送和更新,以及安全节点维护。
以本次Demo演示为例,介绍下F5 WAAP和Policy Supervisor的工作过程。
首先我们模拟API攻击,传统WAF根据对参数类型的防护,WAF设置参数类型为整型。通过访问API访问参数设置为整型时,访问正常。参数为非整型时,访问失败,传统WAF检测到攻击后,认为是不合规的访问,被WAF拦截,并产生supportID。访问黑名单的URL时,传统WAF检测到不合规也是直接拦截产生supportID。可根据产生的supportID看到传统WAF日志信息。传统WAF很好地保护了这个应用。
F5 AWAF 拦截日志
到某个阶段,应用需要迁移到云原生环境,我们选择轻量化的NAP做防护,同时希望应用在不同环境之间迁移保持一致的安全防护能力。过去我们需要手动将策略从传统WAF移植到云原生WAF,今天可以借助F5策略转换器,将传统WAF策略导入后,转换成云原生WAF策略,然后推送到NAP。
我们再次模拟云原生环境里的API 攻击,可以看到NAP仍然可以对参数为非整型和黑名单URL进行精准拦截并产生相对应的supportID。可通过日志查询到相对应的攻击类型,攻击源,命中的策略等内容。
F5 NAP 拦截日志
因此,当应用同时部署在传统架构、云原生架构和F5 分布式云中,或者应用在这些环境之间迁移时,都可以利用policy supervisor将同一条策略推送至上述任意环境,从而实现One WAAP理念中的策略一致性管理。