隨著企業基於WEB的業務模式快速發展,IT管理者正在考慮這樣一個問題:如何保障企業業務更加順暢健康的發展?我們都註意到,應用交付技術可以解決業務連續性、擴展性的問題。然而每一種新的技術產生,都會帶來新的挑戰,應用交付也不例外。
最新映入我們眼中的是負載均衡技術。不可否認,負載均衡技術幫助我們完成瞭應用系統的優化,不過很快我們發現,單純的負載均衡並不能稱為“完整”的應用交付。
首先困擾我們的是DDoS,針對四層的TCP FLOOD、UDP FLOOD攻擊還可以依靠傳統防火墻來抵禦,然而隱藏在合理應用訪問中的HTTP FLOOD攻擊,讓傳統的防火墻、IPS都很難發現並檢測,而不加加以區分的負載設備,更是將攻擊流量也分擔到瞭服務器上。更可怕的是,應用交付自身被DDoS攻擊出現問題後,處於中樞調度的負載設備一旦出現故障,將導致網絡整體癱瘓。事實上,在2012年,90%以上的電子商務網站都受到過DDoS的攻擊,其中有三分之一的網站的網絡受到較大影響。作為應用交付產品,我們需要更“安全”的負載均衡,能夠識別攻擊流量,將攻擊流量阻止在交付給應用服務之前。
其次是WEB安全,應用層的安全面臨多種挑戰:Cookie偽裝、非法掃描、SQL註入、跨站腳本攻擊、緩沖區溢出。面對這些基於WEB頻繁發生的攻擊行為,應用交付產品首當其沖。七層應用交付產品工作在全代理模式,用戶發送的訪問請求會先在應用交付產品上截止,通過協議解析功能,應用交付系統能夠識別應用協議的具體內容,理所當然的能夠在與服務器建立連接前將攻擊報文攔截下來,而不是不加區分的將合法請求與非法訪問轉發到後端服務器。
還有DNS攻擊,在應用交付產品中,針對服務器的入站訪問,都會通過應用交付的DNS解析功能。應用交付產品替代DNS服務器完成對域名的DNS解析及響應。事實上,近幾年針對DNS的攻擊屢屢發生,包括DNS FLOOD、DNS“投毒”。DNS攻擊最頻繁也最難於抵禦,一旦攻擊成功對企業的影響也是巨大的。比如,當我們打開網銀時,卻被錯誤的定向到釣魚站點。行業調查顯示,DNS和加密數據攻擊影響瞭各個行業,每年給企業平均造成近70萬美元的損失。DNSSEC技術可以有效的為域名解析提供安全防護,作為DNS基礎設施,通過將DNS安全能力集成在應用交付產品上,可以大幅度減少緩存投毒、域名劫持、中間人攻擊和DNS FLOOD攻擊的威脅。
最後是應用交付產品自身的安全。2012年,F5 BIG-IP被披露設備文件系統存在一組公開的SSH公私密鑰對,利用該漏洞可以獲得遠程設備的管理權(CNVD-2012-12481),並能進一步發起針對相關網絡的攻擊。作為應用業務的核心,應用交付可以監控2到7層的完整信息,應用交付甚至可以將用戶的文件緩存到其內存中。由此可見一旦應用交付產品自身出現安全問題,那意味著攻擊者可以隨意查看業務內容,隨時修改、終止業務的傳輸,給用戶帶來的損失是毀滅性的。應用交付自身的安全無法依靠其他設備保證,這需要應用交付廠商在設計產品時就要考慮到足夠的安全功能。
在我們眼中,作為完整的應用交付產品,負載技術是底座,應用加速是中堅,而傳遞到最終用戶之前的則是可靠、效率與安全。
作為國內領先的信息安全廠商,啟明星辰擁有完整的業務安全解決方案。從DDoS防禦到WAF(Web應用防火墻),深厚的安全技術底蘊使啟明星辰可以輕松應對各種安全問題。與傳統信息安全廠商不同的是,啟明星辰還擁有不遜於數據通信廠商的、構建高性能轉發平臺的技術能力,並對應用交付進行瞭持續深入的研究。因此,啟明星辰可以將安全和應用交付進行完美的整合,讓應用交付變得更安全。
Orignal From: 安全漫談:誰來保護我的“應用交付”
留言列表
