现今有许多基于云服务提供的安全,包括Web和邮件过滤、网络流量访问控制和监控以及用于支付卡业务的标记化。不同安全服务的一个重要区别是“在云中”的、或“为了云”的,即那些集成到云环境中作为虚拟设备提供给用户使用和控制的安全服务。安全即服务(SaaS),是为了确保其他云服务提供商传输流量和数据通过。在本文中,我们将集中关注基于云的Web应用过滤和监控以及DDoS攻击预防服务,并可能提供两者的模型。
Web应用防火墙
目前可以提供几种类型的基于云的Web应用防火墙(WAF)服务。第一类属于“在云中的安全”,使用当前硬件和基于软件的WAF提供虚拟设备,在云服务提供商环境中,作为平台服务(Platform as a Service 、PaaS)和基础设施服务(Infrastructure as a Service 、IaaS)使用。这些厂商包括Imperva公司和Art of Defence 公司,同时,像知名的云环境Amazon 的EC2、GoGrid和Terremark也可以提供服务。一般实施这些虚拟设备的费用比较合理,且为云服务客户提供非常宝贵的能力,如针对常见Web应用攻击附加的过滤,对有限的行为进行分析。许多数据泄漏都源于SQL注入或类似的攻击,因此这是一项应该进行研究的服务,特别是对于处理敏感数据的云设备。不过,性能可能会受到影响,因此需要具备十分高性能的设备。
在任何WAF设备上彻底启用规则集前,进行重要的测试。
Art of Defence有些独特,因为它在EC2云中负责所有的WAF服务,使Amazon的顾客实施起来非常简单。此外,Amazon向那些不愿意自己专门管理一台WAF虚拟设备的AWS(Amazon Web Service)的客户提供Citrix公司的NetScaler产品的WAF。
服务提供商们已经创建了多个安全服务,作为“用于云的安全”的WAF交付。Imperva公司已经创办名为Incapsula的基于云的WAF服务公司,主要针对那些想走捷径、通过WAF管理Web应用流量,而不是在公司内或在云环境管理一台设备的中小企业。开始只需要改变一些DNS设置,而且看来Incapsula公司主要关注于侦测和预防基于Web的主要威胁和问题,包括SQL注入、跨站点脚本攻击(XSS)和其它OWASP排名前10的漏洞,还包括关注于内容缓存和减少流量开销方面。
从2009年以来,Akamai科技有限公司一直提供基于云的WAF能力,开始时,它提供基于开源的ModSecurity WAF平台的应用过滤,尽管进行了定制化来运行在Akamai的Edge平台网络上。目前它的能力包括IP地址白名单和黑名单,还有定制化的规则来侦测和阻挡协议异常、SQL注入和XSS攻击、内容泄漏和其它安全破坏。Akamai公司最近宣布,他们会和Qualys及其它公司在新的开源WAF项目上进行合作。
DDoS攻击预防
对于DDoS预防,有几家“在云中”的服务提供商可供选择,像Terremark、Rackspace和NaviSite公司。用户可以把DDoS预防作为附加的管理服务,并将它添加到云管理规划中。DDoS预防服务在价格和范围上不等,这取决于需要的定制化水平。对于简单的冗余和DNS“防护”服务来说费用通常很少,但是对于拥有大量站点和虚拟主机的客户来说费用会增加,因为服务提供商的运营开销增加了。大多数的顾客不需要DDoS预防,但是那些有严格的正常运行时间需求、或者是容易遭受DDoS攻击的组织应该评估,看看这些服务在云管理环境中是否可用且可满足他们特定的需要。
其他公司提供“用于云安全”的DDoS预防,云服务的客户或者自我管理数据的客户,能通过他们的基础设施来发送流量,进行监控和管理。Akamai公司提供被称为DDoS防护的服务,包括DNSSEC、流量优化、带宽控制、Web加速、服务器公网伪装及其它功能。另一家提供基于云的DDoS预防的公司是DOSarrest。它的代理防护和个性化服务为站点提供DDoS“缓存”,当顾客遭受攻击时,可非常有效地处理流量和控制带宽。对于像eBay、Amazon和其它高访问量的站点来说,这是一个重要的安全交付,因为DDoS攻击对于合作的攻击者来说是小事一桩,并且能有效地让基于Web的业务停止一段时间。
基于云的WAF和DDoS预防服务在安全实施的便捷性方面,是向前的一步。WAF产品传统上被看作是非常难实施和管理的。使用虚拟设备简化集成和外包大部分的运营配置,为云服务提供商的员工管理是非常有意义的,可以减少费用和专门的技术人员。DDoS预防是一项高度专业化的安全能力,对处在云模型中的顾客来说变得更加触手可得,并且能从云平台和数据中心天生的可扩展性和冗余性中受益。