智能WAF助力云中的应用安全

概述

随着互联网的发展，企业开始逐步将关键的业务功能迁移到了 Web 应用，虽然迁移到 Web 应用带来了经济利益并提高了业务的灵活性，但同时也带来了新的安全风险和合规性方面的需求，而近些年来，针对 Web 应用的攻击越来越多，新型的攻击手段层出不穷，传统的防火墙技术已经无法针对这些 Web 应用提供安全防护能力。在这种情况下，WAF 成为了抵御应用层攻击强有力的工具。当前越来越多应用开始迁移到云端，应用的形态也开始向微服务架构进行转变，采用传统的 WAF 为这些应用提供防护能力也变得越来越力不从心，它在面对复杂多变的 Web 应用攻击时，存在着明显的不足。

传统WAF解决方案的弊端

传统 WAF 策略配置管理复杂

传统 WAF 配置相当复杂，每次配置 WAF 规则时需要多个步骤才能完成。当应用发生了变更，需要手工对 WAF 策略进行调整。同时，很难实现针对每应用级别的 WAF 策略配置。

传统 WAF 无可视化和智能性

传统 WAF 解决方案缺少安全的可视性，当应用受到攻击时，没有一个可视化的界面让安全管理员了解到更多的攻击行为，也无法实现攻击行为的统计。同时，传统 WAF 解决方案也缺少攻击行为的建模和应用的学习能力，无法对新的威胁做出响应。

传统 WAF 存在性能瓶颈

传统 WAF 采用集中式部署并独立进行管理，WAF 的性能通常情况下依赖于 CPU，性能存在瓶颈，当负载均衡和 WAF 功能同时开启时，性能受到极大的影响，没有弹性扩缩能力，无法实现可变工作负载对 WAF 性能的需求。

NSX ALB应用交付提供智能WAF解决方案

NSX ALB 提供了全面的应用安全解决方案，不仅提供了应用安全的可见性，应用的速率限制、 SSL/TLS 加密、ACL 以及应用的 DDoS 防护能力外，还提供了应用所需要的 WAF 功能，可以轻松抵御 OWASP 中所列举的攻击类型，同时适用于各种类型的应用形态，并适合多云部署，提供一致的安全运维的体验。

NSX ALB 中的智能 WAF，采用纯软件架构设计，并且实现了控制和转发分离，除了针对 Web 应用防护能力外，还可以针对业务对性能方面的要求，实现灵活的 WAF 智能扩缩容能力，并实现端到端延时的可视性。

从上图中我们可以看到，NSX ALB 中的智能 WAF 对比传统的 WAF 解决方案具有明显的技术优势，所以我们接下来将从各个维度来介绍一下 NSX ALB 中的智能 WAF 解决方案的技术优势，以适应云环境下 Web 应用对安全的需求。

多云环境中简化了 Web 应用安全的运维管理

当前的越来越多的应用开始采用多云环境部署，并且进行了微服务的改造，这些应用极易受到安全的威胁，例如 SQL 注入、XSS 跨站、命令注入等，所以需要通过 WAF 对这些 Web 应用进行安全的防护。NSX ALB 智能 WAF 启用 WAF 策略非常的简单，它内置了默认的 WAF 策略，只需要通过鼠标点击几次就可以为某一个特定的应用开启 WAF 功能，实现基于应用的智能 WAF，如下所图所示：

WAF 策略在默认的情况下，只开启了检测模式，只对检测到的安全威胁进行标记，而不对其进行阻止，我们可以针对模认的 WAF 策略开启阻止模式。

NSX ALB 智能 WAF同时使用机器学习进行异常的检测，它会自动的学习流量的行为特征，并且在应用运行的一段时间里为其行为设定基线，随后， NSX ALB 智能 WAF 就可以识别行为中的变化，一旦发生了行了为变化，就会将其识别为异常，简化了 WAF 策略的配置。

针对 Kubernetes/OpenShift 环境，NSX ALB 提供了 ingress 能力，实现了服务暴露，通过 CRDs 也可以为基于容器的服务自动关联 WAF 策略。通过此种方式，实现了在一个架构之下，为虚拟机的应用和基于容器的应用同时提供 WAF 安全策略，实现了在云中一致的安全运维体验。

应用安全的可视化以及安全分析

NSX ALB 智能 WAF 内置了针对 Web 应用攻击行为的可视性分析和日志分析能力，让安全管理员更加了解应用受到攻击的趋势。

如上图所示，我们可以在一个界面上查看到某个特定应用受到攻击的趋势，匹配 WAF 规则的次数以及客户端 IP 的统计以及调用的应用路径，应现应用级别的分析。同时，我们可以每一笔交易的端到端延时的分析，用于应用性能方面的排错，我们还可以让安全管理员了解客户端的详细信息以及针对这个应用的攻击的详细信息，如下图所示：

为应用安全提供了弹性扩展的架构

随着云内的 Web 应用的不断扩张，对 WAF 的性能要求越来越高，传统的 WAF 采用集中式部署，更多的是采用硬件方式，无法实现在应用扩张时提供弹性的容量。NSX ALB 智能 WAF 配合负载均衡实现了服务引擎的自动扩缩容能力，分布式的架构保证了多个服务引擎在控制器上统一进行管理和 WAF 策略的下发，所有的服务引擎可同时为应用提供服务，而非传统的主备模式，解决了传统 WAF 性能瓶颈的问题。

总结

前面我们介绍了 NSX ALB 智能 WAF 的优势和特性，它是一个纯软件的解决方案，并且采用了控制和转发分离的架构实现了 WAF 的创新，同时内置丰富的日志和分析能力，提升了安全运维的效率。在云时代，NSX ALB 智能 WAF 为关键业务提供了更加高效的安全防御能力。