對于中小企業(yè)而言,上云后業(yè)務(wù)的穩(wěn)定運作需要安全的環(huán)境。而目前網(wǎng)絡(luò)環(huán)境復(fù)雜、網(wǎng)絡(luò)安全風(fēng)險事件頻發(fā),一旦出現(xiàn)嚴重的安全問題,輕則業(yè)務(wù)中斷數(shù)據(jù)外泄,重則可能直接擊垮一個企業(yè),特別是那些初創(chuàng)或是成長期的中小企業(yè),遇到這類安全問題無疑是滅頂之災(zāi)。
目前信息安全領(lǐng)域超過 75% 的網(wǎng)絡(luò)攻擊事件都是發(fā)生在 Web 應(yīng)用層,主要包括數(shù)據(jù)泄露、數(shù)據(jù)篡改、網(wǎng)站篡改、域名劫持、DDoS 攻擊、黑客攻擊導(dǎo)致的網(wǎng)站無法訪問或業(yè)務(wù)中斷等情形。
以上安全問題應(yīng)該如何應(yīng)對?華為云針對不同業(yè)務(wù)規(guī)模企業(yè)提供了諸多網(wǎng)站安全解決方案。目前提供服務(wù)包括四類,有針對應(yīng)用安全的 DDoS 高防 AAD、Web 應(yīng)用防火墻 WAF,有針對負載安全的企業(yè)主機安全 HSS、云堡壘機 CBH,有針對數(shù)據(jù)安全治理的數(shù)據(jù)庫安全服務(wù) DBSS、云證書管理服務(wù) CCM、數(shù)據(jù)安全中心 DSC,有全方位管理系統(tǒng)安全態(tài)勢的漏洞掃描服務(wù) VSS、安全云腦(態(tài)勢感知 SA)、威脅檢測服務(wù) MTD。現(xiàn)階段,對于大部分企業(yè)而言,AAD、WAF、HSS 是構(gòu)建業(yè)務(wù)安全的核心工具,特別是對于初創(chuàng)和成長型中小企業(yè)而言,這三板斧對于業(yè)務(wù)安全的維護至關(guān)重要。接下來,我們通過體驗和實際測試來看看華為云網(wǎng)站安全解決方案的表現(xiàn)如何。
服務(wù)體驗
華為云提供的 AAD、WAF、HSS 服務(wù)都可以在華為云網(wǎng)站安全解決方案控制臺中選購。接下來,我們看看這三板斧是如何保護用戶業(yè)務(wù)安全的。
DDoS 高防 AAD
AAD 作為華為云推出的一款抗 DDoS 攻擊類防護服務(wù),匯集了華為云 10 多年來的安全攻防經(jīng)驗和實踐。目前針對華為云上的 IP 提供原生高級防護,用戶無需更換 IP 地址,只需要簡單的配置就能直接將 DDoS 原生高級防護提供的安全能力加載到云服務(wù)上。AAD 服務(wù)能有效的應(yīng)對各類 DDoS 攻擊,以此保護業(yè)務(wù)的連續(xù)性。
現(xiàn)階段 DDoS 攻擊是網(wǎng)站很容易遭受的一類網(wǎng)絡(luò)安全攻擊,這類攻擊通過受控的“肉機”惡意向業(yè)務(wù)主機發(fā)起大規(guī)模的請求,導(dǎo)致業(yè)務(wù)突然出現(xiàn)巨量的網(wǎng)絡(luò)請求,造成服務(wù)器網(wǎng)絡(luò)擁堵,影響正常用戶對應(yīng)用的正常訪問。
我們測試過程中,采用的是華為云云耀云服務(wù)器 L 實例(HECS L 實例),這一輕量級云服務(wù)器能幫助初創(chuàng)及成長型中小企業(yè)和個人開發(fā)者快速構(gòu)建自己的業(yè)務(wù),并實現(xiàn)分鐘級部署。云耀云服務(wù)器 L 實例將云服務(wù)器、網(wǎng)絡(luò)、存儲、安全整合在一起,再進一步精簡參數(shù)和選項,并提供多種應(yīng)用鏡像和系統(tǒng)鏡像,不需要特別多運維方面的知識,就可以通過可視化頁面實現(xiàn)對資源的部署、管理和使用。
這里,我們通過華為云云耀云服務(wù)器 L 實例提供的 WordPress 鏡像快速搭建了業(yè)務(wù)網(wǎng)站,以此模擬被攻擊應(yīng)用。用戶只需選配、購買、設(shè)置管理員用戶名和密碼三步,就可以快速搭建完 WordPress 建站系統(tǒng),這個過程不需要用戶手動安裝 Nginx、PHP 環(huán)境以及 MySQL 數(shù)據(jù)庫,全程不需要命令行就可以實現(xiàn)一鍵部署,更加便捷高效。
在華為云云耀云服務(wù)器 L 實例部署完 WordPress 建站系統(tǒng)后,我們將其 IP 加入到 AAD 原生高防中,網(wǎng)絡(luò)攻擊事件無時無刻不在進行,業(yè)務(wù)部署的華為云云耀云服務(wù)器 L 實例很快就遭受了一小波 DDoS 攻擊,AAD 原生高防迅速監(jiān)測到異常,并對攻擊流量進行清洗。目前華為云 DDoS 高防服務(wù)器提供 4-7 層攻擊防御,針對異常流量可以做到實時監(jiān)測和攔截,通過機器學(xué)習(xí)、業(yè)務(wù)風(fēng)控大數(shù)據(jù)智能隔離等 AI 技術(shù),可以實現(xiàn)實時的攻擊流量清洗,以此避免突發(fā)惡意攻擊對業(yè)務(wù)站點造成的影響,保障用戶的正常使用。
華為云 AAD 服務(wù)提供 5T 以上的 DDoS 高防總體防御能力,單個 IP 最高 600G 防護能力,可以很好的抵御網(wǎng)絡(luò)層和應(yīng)用層的各類 DDoS 攻擊,這種低時延高可用的應(yīng)對能力,可以實時對 DDoS 攻擊進行監(jiān)控,并通過 AnyCast 技術(shù)實現(xiàn)近源清洗,通過 AI 自適應(yīng)防護基線學(xué)習(xí),可以自動學(xué)習(xí)業(yè)務(wù)和攻擊類型,支持超百種防護類型,很好地做到高效防護,零誤報。
目前 AAD 原生高防只需要綁定華為云上購買的 IP 就能使用,這對于初創(chuàng)及成長型中小企業(yè)而言非常友好,性價比較高。對于有更大業(yè)務(wù)場景需求的大型站點,可以在此基礎(chǔ)上選購原生防護或 DDoS 高防其他產(chǎn)品。
Web 應(yīng)用防火墻 WAF
華為云 WAF 主要針對網(wǎng)站業(yè)務(wù)流量進行多維度的檢測和防護,通過機器學(xué)習(xí)智能識別惡意請求特征和防御未知威脅,避免網(wǎng)站被惡意攻擊和入侵。該服務(wù)選購后,網(wǎng)站所有公網(wǎng)流量會先經(jīng)過 WAF,惡意攻擊流量會被檢測過濾,正常流量則會返回源站 IP。
WAF 主要應(yīng)對四大核心挑戰(zhàn),包括數(shù)據(jù)泄露、0day 漏洞、CC 攻擊、網(wǎng)頁篡改。其中,數(shù)據(jù)泄漏一般通過 SQL 注入、網(wǎng)頁木馬等手段攻擊業(yè)務(wù)網(wǎng)站,往往造成數(shù)據(jù)庫被入侵,核心業(yè)務(wù)數(shù)據(jù)被盜取。還有一些惡意攻擊者通過第三方框架或插件爆發(fā)的 0day 漏洞進行攻擊。
另外還有常見的 CC 攻擊,通過發(fā)起大量惡意 CC 請求,長期占用核心資源,讓服務(wù)器算力無法釋放,導(dǎo)致業(yè)務(wù)運行緩慢或中斷。
網(wǎng)頁篡改則是攻擊者通過相關(guān)技術(shù)在網(wǎng)站服務(wù)器上留下后門或篡改網(wǎng)頁內(nèi)容,造成業(yè)務(wù)中斷或其他負面影響。
首先來看如何應(yīng)對數(shù)據(jù)泄漏問題,這里華為云 WAF 服務(wù)通過語義分析 + 正則表達式對惡意流量進行精準檢測識別攻擊流量,支持 11 種編碼還原,識別更多變形攻擊,降低惡意攻擊繞過 WAF 的風(fēng)險。這里我們通過 SQLMap 模擬進行對云耀云服務(wù)器 L 實例的 SQL 注入攻擊。
我們看到在 WAF 控制臺中,SQL 注入攻擊發(fā)生后,WAF 迅速監(jiān)測到這次攻擊,并對受攻擊的站點、原始 IP 和被攻擊的 URL 進行定位,精準阻止攻擊。
針對 0day 攻擊,WAF 支持最快兩小時修復(fù)高危漏洞,云端自動更新最新防護規(guī)則,保障業(yè)務(wù)安全。
WAF 對大規(guī)模的 CC 請求攻擊應(yīng)對上,采用對惡意 IP 或 Cookie 進行限速策略,精準識別 CC 攻擊,以此保障業(yè)務(wù)安全;WAF 同樣對網(wǎng)頁篡改有專門檢測,防止網(wǎng)站服務(wù)器被注入惡意代碼,保護網(wǎng)站訪問者和頁面內(nèi)容安全。
相比于其他 Web 應(yīng)用防火墻產(chǎn)品,WAF 還提供全量的攻擊日志、訪問日志和請求日志,這些日志中的敏感數(shù)據(jù)也會被屏蔽,避免泄露用戶隱私信息。
企業(yè)主機安全 HSS
惡意攻擊一旦取得了主機的控制權(quán),對于企業(yè)業(yè)務(wù)無疑是最為致命的打擊,華為云企業(yè)主機安全服務(wù) HSS 是保障工作負載安全的服務(wù),通過主機管理、風(fēng)險預(yù)防、入侵檢測、高級防御、安全運營、網(wǎng)頁防篡改功能,全面識別并管理主機中的信息資產(chǎn),實時監(jiān)測主機中的風(fēng)險并阻止非法入侵行為,幫助企業(yè)構(gòu)建服務(wù)器安全體系,降低當前服務(wù)器面臨的主要安全風(fēng)險。
針對不同需求的用戶,華為云提供 HSS 基礎(chǔ)版、專業(yè)版、企業(yè)版、旗艦版、容器版、網(wǎng)頁防篡改版多個版本供用戶選擇。華為云最新推出的云耀云服務(wù)器 L 實例則可選 HSS 基礎(chǔ)版。HSS 通過統(tǒng)一的資產(chǎn)管理,可實現(xiàn)對同一區(qū)域內(nèi)主機各項風(fēng)險進行檢測處理,快速分析同一區(qū)域主機的風(fēng)險,有效的抵擋勒索病毒、網(wǎng)頁篡改、非法入侵等關(guān)鍵攻擊事件。
這里我們使用 Hydra 模擬字典攻擊暴力破解云耀云服務(wù)器 L 實例,針對這些攻擊,在命令執(zhí)行后極短時間內(nèi),華為云 HSS 就阻止了 Hydra 的破解。
華為云 HSS 控制臺迅速做出響應(yīng),提示云耀云服務(wù)器 L 實例正在遭受暴力破解。同時,華為云 HSS 也對暴力破解的來源信息進行記錄。
華為云 HSS 提供應(yīng)用安全入侵檢測、中間件漏洞掃描、威脅阻斷等能力,幫助客戶在業(yè)務(wù)開發(fā)階段、運行階段快速識別威脅、溯源定位,及時阻斷和加固。應(yīng)用安全方面,華為云 HSS 自研 RASP 技術(shù),通過驅(qū)動級文件目錄鎖定、篡改檢測自動恢復(fù)、遠端備份恢復(fù),精準識別應(yīng)用代碼、中間件的漏洞、攻擊,自動檢測與防護。通過華為云 HSS,用戶可以更好地實現(xiàn)等保合規(guī),并有效避免黑客入侵造成的勒索、數(shù)據(jù)泄漏、網(wǎng)頁篡改等風(fēng)險。
以上 AAD、WAF、HSS 是華為云網(wǎng)絡(luò)安全解決方案針對不同規(guī)模企業(yè)最為通用的三個安全工具,另外針對更高安全需求,華為云還有云堡壘機 CBH、數(shù)據(jù)安全中心 DSC、數(shù)據(jù)庫安全服務(wù) DBSS、云證書管理服務(wù) CCM、安全云腦(態(tài)勢感知 SA)等適合大量云資產(chǎn)安全管理需求的企業(yè)選擇。
CBH 主要通過建立主賬號與資源從賬號的一一對應(yīng)關(guān)系,實現(xiàn)對人、資源賬號及訪問過程的精細化管理。幫助客戶建立事前規(guī)劃、事中控制及事后審計的安全管理體系,降低因內(nèi)部人為原因造成的數(shù)據(jù)泄漏及 IT 事故的風(fēng)險,開啟高效運維。
DSC 則提供數(shù)據(jù)分類、數(shù)據(jù)安全風(fēng)險識別、數(shù)據(jù)水印溯源、數(shù)據(jù)脫敏等基礎(chǔ)數(shù)據(jù)安全能力,通過數(shù)據(jù)安全總覽整合數(shù)據(jù)安全生命周期各階段狀態(tài),對外整體呈現(xiàn)云上數(shù)據(jù)安全態(tài)勢。
DBSS 是一項智能的數(shù)據(jù)庫安全服務(wù),基于機器學(xué)習(xí)和大數(shù)據(jù)分析,提供數(shù)據(jù)庫審計、SQL 注入攻擊檢測、風(fēng)險操作智能識別等功能,支持對 RDS、ECS / BMS 自建數(shù)據(jù)庫進行審計,提供用戶行為發(fā)現(xiàn)審計、多維度分析、實時告警和報表功能,保障敏感數(shù)據(jù)安全。
CCM 則是華為云聯(lián)合 GeoTrust、DigiCert、GlobalSign、CFCA、vTrus、TrustAisa 多家數(shù)字證書機構(gòu)提供的一站式證書全生命周期管理服務(wù),證書類型包括 DV (Basic)、DV、OV、OV Pro、EV、EV Pro,用戶無需構(gòu)建和維護復(fù)雜的 CA 基礎(chǔ)設(shè)施,在華為云上按需付費即可輕松獲得 CA 管理和證書管理服務(wù)能力,并支持創(chuàng)建靈活的 CA 層次結(jié)構(gòu),包括根 CA 和從屬 CA,同時支持外部 CA,滿足更多應(yīng)用場景部署,目前支持 RSA2048、RSA4096、EC256、EC384 等多種密鑰算法以及 x.509v3 證書格式。
安全云腦(態(tài)勢感知 SA)提供統(tǒng)一的威脅檢測和風(fēng)險處置能力,統(tǒng)一檢測用戶云上資產(chǎn)遭受到的典型安全風(fēng)險,還原攻擊歷史,感知攻擊現(xiàn)狀,預(yù)測攻擊態(tài)勢,并提供強大的事前、事中、事后安全管理能力。
目前這項服務(wù)覆蓋檢測 8 大類、200 + 子類威脅告警,迅速分析攻擊源,預(yù)置安全編排策略,實時發(fā)現(xiàn)告警,觸達用戶防御處置風(fēng)險。另外還有專門的大屏、報告體系化指標實時查看,幫助有著較多云上資產(chǎn)的企業(yè),實現(xiàn)統(tǒng)一安全運營。
總結(jié)
華為云網(wǎng)站安全解決方案適用于政府 / 事業(yè)單位、泛互聯(lián)網(wǎng)企業(yè)、銀行系統(tǒng) / 金融機構(gòu)、游戲 / 電商等企事業(yè)單位,其中,大部分也同樣適用于初創(chuàng)及成長型企業(yè)。
這些安全方案組合拳能很好的幫助客戶預(yù)防 Web 攻擊、網(wǎng)頁篡改、數(shù)據(jù)泄密、SQL 注入、DDoS 攻擊伴隨大量 CC 攻擊造成的業(yè)務(wù)中斷、爬蟲刷單等惡意流量,同時通過統(tǒng)一的管理和安全審計,能很好滿足等保合規(guī) 2.0、網(wǎng)絡(luò)安全保護相關(guān)法律中的相關(guān)規(guī)定和要求,另外相關(guān)安全資源服務(wù)支持彈性擴容,方便業(yè)務(wù)進行升級擴展,更好確保資源無浪費。
對于初創(chuàng)及成長型企業(yè)而言,往往依靠單一業(yè)務(wù)來維持整個公司的生存,這時候安全問題自然是一個不可忽視的重要議題,企業(yè)業(yè)務(wù)更需要網(wǎng)站安全解決方案來守護。
目前,華為云 828 營銷季正在火熱進行中,并提供上云好禮,網(wǎng)站安全相關(guān)服務(wù)也有大幅優(yōu)惠。對于初創(chuàng)及成長型企業(yè)而言,正是采購安全產(chǎn)品的好時機。
另外,針對初創(chuàng)和成長型企業(yè)以及個人開發(fā)者,華為云云耀云服務(wù)器 L 實例也同樣提供豐厚的優(yōu)惠,2 核 2G 3M,領(lǐng)券后 3 個月只要 29 元,優(yōu)惠多多,感興趣的朋友們馬上行動起來吧。
活動地址:點此進入
相關(guān)閱讀:《三步建站,兩倍性能:華為云云耀云服務(wù)器 L 實例體驗》
廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。