[关闭]
@Rays 2017-08-09T23:11:06.000000Z 字数 2032 阅读 1948

AWS Web Application Firewall:加固不安全Web网站的安全性

Amazon 架构&设计


摘要: AWS Web Application Firewall(WAF)检查用户Web应用的传入流量,从中查找异常行为。正常请求才会传递给应用,而匹配了通用攻击向量的异常请求则被阻碍,例如SQL注入等。WAF在不更改应用的情况下对现有应用添加了一层安全性。

作者: Elton Stoneman

正文:

Web Application Firewall(WAF)是AWS的一个新特性,它部署在用户公开网站的前端,保护网站免受异常流量的侵扰。WAF的工作机制类似于反向代理,对传入的HTTP请求进行检查,查找其中活动可疑的模式。正常的请求才会被传递给用户的Web应用做处理,而异常的请求则会被阻塞。WAF是一种无需更改现有应用即可为应用添加一层安全的工具。

通过设置一些用于识别并管理可疑流量的策略,我们可以配置WAF的行为。Amazon已发布了PDF格式的白皮书,阐述了如何使用WAF去规避在Web应用中最广为出现的“OWASP十大安全漏洞”。对于所请求的传入请求(例如安全令牌),或是受限的传入请求(例如SQL关键字),不少推荐方法使用字符串匹配去检查请求的头部或主体内容。为实现更多的威胁检测,还有一些方法建议将WAF与Lambda或CloudFront组合。

WAF是一种通用工具,它对于部分类型的攻击的成功率,要远高于其它类型的攻击。通过分析请求,相对易于规避注入攻击,这无需知道应用的上下文。用户可以配置WAF去检查请求查询字符串中的SQL关键字,实现对可疑活动的阻止。但是对于那些借助于颠覆应用上下文内安全的攻击,则是难以规避的。如果用户应用使用了独特的跨站请求伪造(Cross-Site Request Forgery,CSRF)令牌,我们无法配置WAF去拒绝一个重放已用令牌的请求,这需要在WAF和用户应用间构建一个用户定制的集成。

就WAF这类通用工具是否可以成功地加固那些不安全的Web应用这一问题,InfoQ采访了Mark Nunnikhoven。Mark是Trend Micro云技术研究部门的副总,也是一位AWS社区英雄(Community Hero)。

InfoQ:你认为近期高调出现的一些违规行为是否能被WAF这样的工具所阻止?

Mark Nunnikhoven:违规行为的发生是有一系列的原因,但常见的是利用Web应用的漏洞。跨站脚本攻击(Cross Site Scripting)和SQL注入攻击持续是被攻击者所采用的一些特别有效的方法。AWS WAF对这些攻击方法非常有效。WAF在设计上就是分析Web应用流量并查找异常,它对于用户的Web应用是一种简单并有效的防御层。

InfoQ:“OWASP的十大安全漏洞”是很多安全规划、审计和WAF等工具的关注点。是否能解决这十大安全漏洞就足矣?或者为了加固Web应用,还需要考虑更多的问题?

Nunnikhoven:“OWASP的十大安全漏洞”近期做了一些更新,但令人沮丧的是改动并不大。开发人员继续在犯着同样的错误,平台也继续在暴露类似的问题。安全问题具有长尾效应,十大安全漏洞只是给出一些最大的关注点。如果一个应用能很好地解决这十个领域问题,那么该应用就具有着坚实的安全基础。如果用户还没有率先解决这些基础的问题,那么完全没有必要去操心那些不太可能会影响到自身应用及用户的未知攻击。

InfoQ:我们可以使用WAF的工作流为模型创建自己定制的代理,在不改变应用的情况下增加安全。这是否有可能?或者还是需要通过修改应用才能解决安全缺陷?

Nunnikhoven:任何第三方的安全控制都是设计用于强化应用,AWS WAF也是如此。安全控制是一种安全的网络,那些破坏了良好设计的应用及其支撑平台的问题会落在网中,并被安全网络所捕获。

InfoQ:安全正成为云的一个特性。AWS提供了WAF和Amazon Inspector特性,后者检查部署中的不安全配置。Azure提供了Security Center特性,自动规避安全攻击,并给出增加安全的推荐。安全是否能构成了迁移到云端的一个正当理由?

Nunnikhoven:安全绝对是迁移到云的一个理由。各大云服务提供商,例如提供全球范围服务的AWS、Microsoft和Google,提供了强大的基础服务,用户可以在此上构建自己的应用,这些应用都运行于共享责任模型下。这就是用户和云服务提供商间在六个主要领域(即物理、架构、虚拟化、操作系统、应用和数据)上划分日常职责之处。

这一模型意味着用户可聚焦于更少的领域。用户将部分工作代理给服务提供商,仅需验证所提供的服务是否适合自身的需求。使用云技术,我们可以花用很少的精力完成很多的事情。这对于构建安全应用是一个非常好的环境。

查看英文原文: AWS Web Application Firewall: Bolt-on Security for Insecure Websites

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注