概述:
隨著企業(yè)在 Web 應(yīng)用的日益增多,客戶機(jī)密數(shù)據(jù)也更容易泄漏給網(wǎng)絡(luò)黑客或遭受身份竊賊的攻擊。現(xiàn)在,許多身份盜竊事件的發(fā)生源于 web 應(yīng)用的各種漏洞,因而這些應(yīng)用受到惡意用戶的攻擊。基于瀏覽器的應(yīng)用系統(tǒng)隧道穿透了一個(gè)企業(yè)的安全防線,使用戶得以訪問企業(yè)內(nèi)部系統(tǒng)。對(duì)于大多數(shù)企來說,Web應(yīng)用本身已經(jīng)成為了安全邊緣,那么唯一可 確保這些應(yīng)用系統(tǒng)安全的方法就是使用“應(yīng)用防火墻”。
但是,只有將應(yīng)用防火墻按應(yīng)用需求量身定制時(shí),才可有效的發(fā)揮作用,否則將不可避免的會(huì)發(fā)生阻隔了合法用戶或客戶,卻放進(jìn)了黑客的情況。
F5 的 TrafficShield 是一款新型應(yīng)用防火墻,可保護(hù)應(yīng)用系統(tǒng)免受黑客及其它的惡意攻擊。該設(shè)備精細(xì)的安全策略可以保護(hù) web 應(yīng)用系統(tǒng)及用戶機(jī)密,使其免受針對(duì)應(yīng)用安全的隨機(jī)及目標(biāo)攻擊。借助突破性的技術(shù),TrafficShield 能夠完全滿足這些安全策略,從而適用于每一應(yīng)用所需的安全狀況。
挑戰(zhàn):
|
今天,商業(yè)交易的各個(gè)部分都正在向 Web 中轉(zhuǎn)移,但每增加一個(gè)新的基于 web 的應(yīng)用系統(tǒng),都會(huì)導(dǎo)致之前處于保護(hù)狀態(tài)下的后端系統(tǒng)直接連接到互聯(lián)網(wǎng)上了。隨之而來的結(jié)果是,將公司的關(guān)鍵數(shù)據(jù)置于外界攻擊之下。 |
解決方案:
F5 TrafficShield 是一款獨(dú)具特色的應(yīng)用防火墻,能夠?yàn)?web 服務(wù)器和 web 應(yīng)用提供全面的保護(hù)——既可防范已知的對(duì) web 應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施漏洞的攻擊,也可抵御更多的惡意及目標(biāo)攻擊。與從不同之處在于,TrafficShield 可阻止市場(chǎng)中其它解決方案無法抵御的攻擊。例如,兩種普通的黑客技術(shù)就可直接通過目前的安全解決方案侵入系統(tǒng)——雖然這些解決方案宣稱是實(shí)現(xiàn)了“應(yīng)用安全”或“內(nèi)容識(shí)別”阻隔:
☆ 黑客以用戶的身份進(jìn)入,然后修改他們的 ID 或篡改權(quán)限,以通過認(rèn)證。
市場(chǎng)中幾乎每種解決方案都無法檢測(cè)到這種最為復(fù)雜的形式(動(dòng)態(tài)參數(shù)篡改)。
☆ 黑客更改 Web 應(yīng)用的 URL或?qū)⑵湓O(shè)置為書簽,以便進(jìn)入受到限制的訪問區(qū)域。
通常,僅需將 URL 從 .../webapp/user 更改為 ...webapp/admin 即可。更常見的情況是,錯(cuò)綜復(fù)雜的路徑、或者路徑被應(yīng)用系統(tǒng)隱藏起來。但是,對(duì)應(yīng)用了如指掌的用戶一般能夠猜出或檢測(cè)到去向。
只有 TrafficShield 能夠保護(hù)系統(tǒng)免受針對(duì)這些漏洞的攻擊,因?yàn)樗堑谝豢顚?duì)用戶與防火墻的交互具有全面了解的交互安全解決方案。這意味著,它不僅對(duì)合法的活動(dòng)實(shí)施精細(xì)地控制,并且對(duì)于任意特定時(shí)刻的用戶環(huán)境(或狀態(tài))也具有深入的了解。
不僅如此,TrafficShield 的精確安全策略基于其專用的模型(稱為應(yīng)用流程模型),這種模型可將 Web 頁(yè)面內(nèi)容的自動(dòng)分析與基于真實(shí)流量分析的反復(fù)調(diào)整完美結(jié)合。
應(yīng)用流量模型
實(shí)施安全策略的最佳方式是,為用戶與應(yīng)用系統(tǒng)間的交互設(shè)定一個(gè)詳細(xì)模型(或策略)。一旦您已定義合法活動(dòng),那么,其它活動(dòng)就會(huì)被視為非法活動(dòng)而被禁止訪問。這樣,用戶活動(dòng)的精確模型對(duì)于安全策略的實(shí)施便至關(guān)重要。否則,安全策略容易放入攻擊或阻止用戶的合法訪問。
F5 的應(yīng)用流程模型是對(duì)合法用戶與 web 應(yīng)用間交互的邏輯表述。在呈現(xiàn)在用戶面前的每一個(gè) web 頁(yè)面中,該模型描述了由客戶端網(wǎng)頁(yè)源代碼發(fā)出的 HTTP 請(qǐng)求及合法的跳轉(zhuǎn)頁(yè)面之間的結(jié)構(gòu)。構(gòu)建模型或策略可通過僅采用幾種關(guān)鍵因素(以便降低復(fù)雜性),或利用非常詳盡的描述(以便提高精細(xì)度),或根據(jù)所需的應(yīng)用安全狀態(tài)在二者之間加以選擇。策略可包括以下所有或一些屬性:
△ RFC 標(biāo)準(zhǔn)和請(qǐng)求長(zhǎng)度限制
△ 已知對(duì)象類型
△ 已知對(duì)象名稱
△ 已知參數(shù)名稱
△ 已知參數(shù)值限制
△ 對(duì)象請(qǐng)求的流程(或順序)
應(yīng)用流量模型是應(yīng)用模型技術(shù)上的一個(gè)突破,因?yàn)橹爸皇窃趻呙栌脩袅髁康幕A(chǔ)上創(chuàng)建用戶請(qǐng)求的模型。F5 公司的應(yīng)用流量模型可自動(dòng)“搜尋”整個(gè)應(yīng)用系統(tǒng),映射用戶與網(wǎng)站間的互動(dòng)流程或全部模式。除跟蹤流量模式以外,可映射應(yīng)用系統(tǒng)的能力遠(yuǎn)比之前為用戶互動(dòng)制定模型的方法更為精確。這種模型具有以下三點(diǎn)優(yōu)勢(shì):
△ 脫機(jī)策略審核與分析
由于安全策略為應(yīng)用的脫機(jī)模型或規(guī)劃,因此可采用模板或“假設(shè) (what if)”分析對(duì)其進(jìn)行審核、導(dǎo)出,從而逐步提高安全性。這種策略為應(yīng)用的可讀規(guī)劃,而非僅僅為一套規(guī)則或常規(guī)表達(dá)式。
△ 靈活性
借助提供的工具,客戶能夠立即開始保護(hù)其應(yīng)用,隨著他們?cè)谝褎?chuàng)建的策略中贏得自信,安全粒度也將逐步得以增強(qiáng)。
△ 精細(xì)控制
僅 TrafficShield 能夠在每個(gè)頁(yè)面(還包括每個(gè)對(duì)象,每個(gè)對(duì)象的每個(gè)參數(shù),每個(gè)對(duì)象參數(shù)中的每個(gè)合法值)轉(zhuǎn)換時(shí)創(chuàng)建一個(gè)完整的邏輯結(jié)構(gòu)。
采用這種模型構(gòu)建的安全策略支持 TrafficShield 根據(jù) web 應(yīng)用設(shè)計(jì)來驗(yàn)證用戶與 web 應(yīng)用間的互動(dòng),并支持其阻擋所有別于這種設(shè)計(jì)的流量。
換言之,應(yīng)用流程模型將問題由應(yīng)用安全轉(zhuǎn)變?yōu)閰f(xié)議執(zhí)行,而此功能過去一直都是由防火墻來完成的。
應(yīng)用流程模型是如何生成的
要生成一個(gè)精確的模型及限制流量的安全策略,TrafficShield 可利用一切可用信息,包括頁(yè)面源代碼及與其相關(guān)的流量,對(duì)應(yīng)用系統(tǒng)的表示層自動(dòng)進(jìn)行非常詳細(xì)的審計(jì)。這要求對(duì)大量的信息進(jìn)行精確的記錄并設(shè)定模型。
TrafficShield之所以能利用一項(xiàng)創(chuàng)新的方法實(shí)現(xiàn)這一目的,主要通過以下兩個(gè)步驟:
☆ 自動(dòng)分析應(yīng)用網(wǎng)頁(yè)內(nèi)容
TrafficShield 利用脫機(jī)工具構(gòu)建將要保護(hù)的應(yīng)用的初始配置文件。這些工具包括,直接訪問應(yīng)用服務(wù)器元數(shù)據(jù)的接口以及可映射指定用戶活動(dòng)的完善的搜索工具。Web 頁(yè)面內(nèi)容,包括如 JavaScript 等動(dòng)態(tài)程序代碼進(jìn)行分析,也使得 TrafficShield “學(xué)會(huì)”應(yīng)用邏輯,包括用戶與 web 應(yīng)用之間的所有詳細(xì)互動(dòng)。
☆ 循環(huán)策略調(diào)整
TrafficShield 獲得了 Web 頁(yè)面內(nèi)容的“快照”,并持續(xù)在實(shí)際流量中檢查用戶如何與 web 應(yīng)用進(jìn)行互動(dòng)。對(duì)這個(gè)過程加以劃分,以便自動(dòng)調(diào)整至“可信賴”或預(yù)先記錄的流量,或基于正常生產(chǎn)流量進(jìn)行調(diào)整。TrafficShield 前瞻性地建議根據(jù)這些流量調(diào)整當(dāng)前策略。
TrafficShield 的“循環(huán)分析和調(diào)整”機(jī)制的優(yōu)勢(shì)之一是能夠最大程度地減少阻擋合法用戶流量的可能性。.從應(yīng)用的現(xiàn)有安全狀況開始,TrafficShield 可在安全管理員確保限制因素不會(huì)影響正常的用戶活動(dòng)時(shí),逐漸引入限制因素。管理員可在 TrafficShield 處于“學(xué)習(xí)”模式時(shí),對(duì)其警報(bào)進(jìn)行監(jiān)控,并在完全確定無誤報(bào)情況時(shí),才將其切換到“阻隔”模式。
一個(gè)普遍存在的問題是,TrafficShield 如何處理 web 應(yīng)用的更新。TrafficShield 策略生成器:
☆ 持續(xù)監(jiān)控 web 站點(diǎn)內(nèi)容,以便自動(dòng)檢測(cè)變化
☆ 分析變化情況,并將其轉(zhuǎn)化為一系列策略更新建議
☆ 應(yīng)用推薦的自動(dòng)應(yīng)用更新,或支持管理員對(duì)其手動(dòng)管理
請(qǐng)注意,TrafficShield 可前瞻性地建議進(jìn)行策略修改。管理員無需手動(dòng)配置所有參數(shù)及策略流程。
此外,TrafficShield 的創(chuàng)新型多層檢查機(jī)制使其僅阻止不符合應(yīng)用系統(tǒng)安全策略的請(qǐng)求。目前應(yīng)用單層檢測(cè)的解決方案都是屏蔽全部IP地址或泛泛的阻止對(duì)象訪問。但是,TrafficShield 可確保 web 安全和可用性,即便在這些資源面臨攻擊時(shí)也十分奏效。
全面抵御外部攻擊
為了向企業(yè) web 基礎(chǔ)設(shè)施提供完善的保護(hù),TrafficShield 將強(qiáng)大的應(yīng)用層過濾與一流的網(wǎng)絡(luò)與加密技術(shù)融為一體,形成一套完善的 web 安全解決方案。
TrafficShield 特性
防御隨機(jī)攻擊的消極安全攻擊過濾器
☆ 初級(jí)黑客
☆ 已知的蠕蟲和漏洞
☆ 對(duì)受限對(duì)象與文件類型的請(qǐng)求
☆ 其它已知的攻擊方法
防御目標(biāo)攻擊的積極安全保護(hù)
☆ 無效輸入處理
☆ 中斷訪問控制(強(qiáng)制瀏覽)
☆ 緩沖區(qū)溢出
☆ 跨網(wǎng)站指令碼攻擊
☆ SQL 代碼/操作系統(tǒng)注入
☆ Cookie 中毒
☆ HTTP 請(qǐng)求走私
清除內(nèi)容
☆ 防御 web 服務(wù)器上的身份盜用
☆ 確保清除 web 頁(yè)面上的用戶信息
☆ 配置清除一切可識(shí)別身份的信息,如:
☆ 社會(huì)保險(xiǎn)號(hào)碼
☆ 信用卡號(hào)碼
☆ 帳號(hào)
☆ 病歷數(shù)據(jù)
☆ 電話號(hào)碼
網(wǎng)絡(luò)安全服務(wù)
☆ SSL 加速器
☆ IP/端口過濾
☆ 反向代理
☆ 密匙管理和故障切換處理
☆ SSL 終止和 Web 服務(wù)器重新加密
隱藏
☆ 防止操作系統(tǒng)和 Web 服務(wù)器的探測(cè)
☆ 隱藏用戶的所有 HTTP 錯(cuò)誤信息
☆ 從用戶頁(yè)面中清除應(yīng)用錯(cuò)誤信息
☆ 防止泄漏服務(wù)器代碼
僅 TrafficShield 能夠?qū)⑺羞@些功能集成至一個(gè)易于管理的設(shè)備中,從而確保 web 應(yīng)用完善的安全性。
部署方式
在企業(yè)或大型政府環(huán)境中部署 TrafficShield 時(shí),需將部署過程的安全性作為更廣泛的風(fēng)險(xiǎn)業(yè)務(wù)中的一部分加以管理。某些應(yīng)用系統(tǒng)需要即時(shí)嚴(yán)格的策略執(zhí)行,而其它的系統(tǒng)需要的是更為快速的部署。
TrafficShield 能夠根據(jù)客戶需求部署于各種安全級(jí)別下。TrafficShield 的標(biāo)準(zhǔn)實(shí)施時(shí)間不超過一天,卻能夠抵御大多數(shù)普通的應(yīng)用攻擊。先進(jìn)的策略定制支持用戶全面滿足其所需策略,提供市場(chǎng)上最周密的保護(hù)。TrafficShield 還可在多種不同安全等級(jí)上進(jìn)行配置,并具有為安全管理員提供靈活性的能力,以確保立即實(shí)現(xiàn)企業(yè)范圍內(nèi)的保護(hù),卻絲毫不會(huì)降低大多數(shù)敏感型應(yīng)用的安全性。
企業(yè)級(jí)系統(tǒng)架構(gòu)
TrafficShield 的多層系統(tǒng)架構(gòu)是基于硬件安全防護(hù)設(shè)計(jì)的,用以滿足企業(yè)對(duì)基礎(chǔ)設(shè)施安全的所有需求,包括:
☆ 可忽略的延遲(少于 1 毫秒)及高吞吐率
☆ 可升級(jí)的架構(gòu)——可添加額外的部件,用于處理更大的流量
☆ 高可用性——部件可配置為支持耦合服務(wù)器對(duì)(在線服務(wù)器與備用服務(wù)器)間的熱狀態(tài)故障切換這意味著,當(dāng)偶然發(fā)生服務(wù)器故障時(shí),所有的會(huì)話數(shù)據(jù)都將得到保留,并切換到用戶不可見的備用設(shè)備上。
☆ 零故障配置,易于部署和維持——TrafficShield 由可優(yōu)化的預(yù)配置設(shè)備組成,可有效地滿足配置、部署及維護(hù)事宜
☆ 集中與安全管理
☆ 易于與企業(yè)安全信息管理或管理框架系統(tǒng)集成
TrafficShield 業(yè)務(wù)優(yōu)勢(shì)
將 web 攻擊拒之門外
TrafficShield 解決方案最主要的優(yōu)勢(shì)是可幫助公司網(wǎng)絡(luò)應(yīng)用系統(tǒng)抵御網(wǎng)絡(luò)攻擊。隨著更多的系統(tǒng)向網(wǎng)絡(luò)開放,越來越多的敏感的客戶數(shù)據(jù)暴露在攻擊面前,而目前的安全系統(tǒng)是無法抵御這種攻擊的。一旦被黑客闖入,則將造成無可估量的損失,并滋生高額的保險(xiǎn)費(fèi)用與相應(yīng)的法律責(zé)任。
身份盜竊及其它法規(guī)標(biāo)準(zhǔn)
目前,諸如Basel Accords, HIPAA, California’s SB 1386 及其它的國(guó)家或跨國(guó)規(guī)定的出臺(tái),使得制定客戶私人數(shù)據(jù)保護(hù)策略勢(shì)在必行。現(xiàn)在,黑客主要通過網(wǎng)絡(luò)應(yīng)用系統(tǒng)竊取客戶資料。企業(yè)每年因應(yīng)用層攻擊造成的損失高達(dá)數(shù)億美元。F5的TrafficShield產(chǎn)品企業(yè)保護(hù)客戶敏感信息的必備設(shè)備。
縮短上市時(shí)間
除防御攻擊外,TrafficShield可切實(shí)提高對(duì)新應(yīng)用系統(tǒng)的開發(fā)周期。現(xiàn)在,新應(yīng)用的部署受到應(yīng)用安全掃描工具“掃描與修復(fù) (scan-and-fix)”開發(fā)周期的影響。寫出代碼后,在眾多產(chǎn)品中抽出一款對(duì)其進(jìn)行掃描,然后,再返回給開發(fā)人員修正代碼。這個(gè)過程不僅浪費(fèi)時(shí)間與金錢,效率也不高,因?yàn)閽呙杵饕仓荒苷业綆讉€(gè)有限的漏洞而已。借助如 TrafficShield 等出色的產(chǎn)品,開發(fā)團(tuán)隊(duì)就可以迅速的開發(fā)出新的應(yīng)用系統(tǒng)與功能,因?yàn)樗麄兊某绦虼a有了強(qiáng)大的安全外圍做后盾。
即插即保護(hù)
TrafficShield 解決方案為用戶設(shè)備提供即插即保護(hù)的承諾。TrafficShield 是一款網(wǎng)絡(luò)設(shè)備,安裝在企業(yè)的 web 基礎(chǔ)架構(gòu)中非常簡(jiǎn)便。安裝后,設(shè)備會(huì)自動(dòng)學(xué)習(xí)機(jī)制并迅速、準(zhǔn)確的為其保護(hù)的系統(tǒng)制定特定的安全策略。將策略管理與配置簡(jiǎn)化到最低點(diǎn),TrafficShield 可自動(dòng)生成建議配置或策略,無需等待手動(dòng)配置。
輕松地計(jì)算出投資回報(bào)率
可輕松的計(jì)算出使用 TrafficShield 應(yīng)用層安全解決方案的利潤(rùn)回報(bào)率。TrafficShield 將大幅削減企業(yè)的安全執(zhí)行、攻擊損失與賠償響應(yīng)的開支。具體情況如下:
減少攻擊事故
除攻擊本身的損失(資金被盜、收入損失)外,企業(yè)還要響應(yīng)賠付與攻擊造成的相關(guān)費(fèi)用,以及支付攻擊修復(fù)費(fèi)用。而且,此種響應(yīng)不僅限于IT部門,還牽涉到公共關(guān)系、訴訟甚至是法規(guī)成本。
無需重寫代碼
如果沒有對(duì)應(yīng)用系統(tǒng)做出精確的保護(hù),則程序開發(fā)者必需盡可多的消除程序中的安全漏洞,應(yīng)用掃描器僅能探測(cè)出部分漏洞,因此,必須頻繁進(jìn)行嚴(yán)格的代碼審查和改寫。一旦應(yīng)用了TrafficShield,程序開發(fā)者可全心投入到對(duì)新系統(tǒng)與功能的快速部署中去了。
無需反復(fù)修復(fù)
由于知道系統(tǒng)經(jīng)常會(huì)遭到直接攻擊,因此 IT 經(jīng)理們不得不經(jīng)常查詢網(wǎng)站或公告,以立即安裝最新補(bǔ)丁。如上所述,一個(gè)安全的應(yīng)用防火墻可實(shí)現(xiàn)僅允許應(yīng)用系統(tǒng)中的合法活動(dòng),以降低對(duì)打補(bǔ)丁的依賴性。
無誤報(bào)
如果阻隔客戶的合法訪問,則很容易造成客戶流失。沒有精確的安全模型(如,應(yīng)用流程模型)來定義合法活動(dòng),企業(yè)則不得不面對(duì)客戶與黑客的雙重壓力,即:放松安全協(xié)議則易放入黑客,加強(qiáng)安全協(xié)議則易將合法用戶阻隔在外。
