对于中小企业而言,上云后业务的稳定运作需要安全的环境。而目前网络环境复杂、网络安全风险事件频发,一旦出现严重的安全问题,轻则业务中断数据外泄,重则可能直接击垮一个企业,特别是那些初创或是成长期的中小企业,遇到这类安全问题无疑是灭顶之灾。
目前信息安全领域超过 75% 的网络攻击事件都是发生在 Web 应用层,主要包括数据泄露、数据篡改、网站篡改、域名劫持、DDoS 攻击、黑客攻击导致的网站无法访问或业务中断等情形。
以上安全问题应该如何应对?华为云针对不同业务规模企业提供了诸多网站安全解决方案。目前提供服务包括四类,有针对应用安全的 DDoS 高防 AAD、Web 应用防火墙 WAF,有针对负载安全的企业主机安全 HSS、云堡垒机 CBH,有针对数据安全治理的数据库安全服务 DBSS、云证书管理服务 CCM、数据安全中心 DSC,有全方位管理系统安全态势的漏洞扫描服务 VSS、安全云脑(态势感知 SA)、威胁检测服务 MTD。现阶段,对于大部分企业而言,AAD、WAF、HSS 是构建业务安全的核心工具,特别是对于初创和成长型中小企业而言,这三板斧对于业务安全的维护至关重要。接下来,我们通过体验和实际测试来看看华为云网站安全解决方案的表现如何。
服务体验
华为云提供的 AAD、WAF、HSS 服务都可以在华为云网站安全解决方案控制台中选购。接下来,我们看看这三板斧是如何保护用户业务安全的。
DDoS 高防 AAD
AAD 作为华为云推出的一款抗 DDoS 攻击类防护服务,汇集了华为云 10 多年来的安全攻防经验和实践。目前针对华为云上的 IP 提供原生高级防护,用户无需更换 IP 地址,只需要简单的配置就能直接将 DDoS 原生高级防护提供的安全能力加载到云服务上。AAD 服务能有效的应对各类 DDoS 攻击,以此保护业务的连续性。
现阶段 DDoS 攻击是网站很容易遭受的一类网络安全攻击,这类攻击通过受控的“肉机”恶意向业务主机发起大规模的请求,导致业务突然出现巨量的网络请求,造成服务器网络拥堵,影响正常用户对应用的正常访问。
我们测试过程中,采用的是华为云云耀云服务器 L 实例(HECS L 实例),这一轻量级云服务器能帮助初创及成长型中小企业和个人开发者快速构建自己的业务,并实现分钟级部署。云耀云服务器 L 实例将云服务器、网络、存储、安全整合在一起,再进一步精简参数和选项,并提供多种应用镜像和系统镜像,不需要特别多运维方面的知识,就可以通过可视化页面实现对资源的部署、管理和使用。
这里,我们通过华为云云耀云服务器 L 实例提供的 WordPress 镜像快速搭建了业务网站,以此模拟被攻击应用。用户只需选配、购买、设置管理员用户名和密码三步,就可以快速搭建完 WordPress 建站系统,这个过程不需要用户手动安装 Nginx、PHP 环境以及 MySQL 数据库,全程不需要命令行就可以实现一键部署,更加便捷高效。
在华为云云耀云服务器 L 实例部署完 WordPress 建站系统后,我们将其 IP 加入到 AAD 原生高防中,网络攻击事件无时无刻不在进行,业务部署的华为云云耀云服务器 L 实例很快就遭受了一小波 DDoS 攻击,AAD 原生高防迅速监测到异常,并对攻击流量进行清洗。目前华为云 DDoS 高防服务器提供 4-7 层攻击防御,针对异常流量可以做到实时监测和拦截,通过机器学习、业务风控大数据智能隔离等 AI 技术,可以实现实时的攻击流量清洗,以此避免突发恶意攻击对业务站点造成的影响,保障用户的正常使用。
华为云 AAD 服务提供 5T 以上的 DDoS 高防总体防御能力,单个 IP 最高 600G 防护能力,可以很好的抵御网络层和应用层的各类 DDoS 攻击,这种低时延高可用的应对能力,可以实时对 DDoS 攻击进行监控,并通过 AnyCast 技术实现近源清洗,通过 AI 自适应防护基线学习,可以自动学习业务和攻击类型,支持超百种防护类型,很好地做到高效防护,零误报。
目前 AAD 原生高防只需要绑定华为云上购买的 IP 就能使用,这对于初创及成长型中小企业而言非常友好,性价比较高。对于有更大业务场景需求的大型站点,可以在此基础上选购原生防护或 DDoS 高防其他产品。
Web 应用防火墙 WAF
华为云 WAF 主要针对网站业务流量进行多维度的检测和防护,通过机器学习智能识别恶意请求特征和防御未知威胁,避免网站被恶意攻击和入侵。该服务选购后,网站所有公网流量会先经过 WAF,恶意攻击流量会被检测过滤,正常流量则会返回源站 IP。
WAF 主要应对四大核心挑战,包括数据泄露、0day 漏洞、CC 攻击、网页篡改。其中,数据泄漏一般通过 SQL 注入、网页木马等手段攻击业务网站,往往造成数据库被入侵,核心业务数据被盗取。还有一些恶意攻击者通过第三方框架或插件爆发的 0day 漏洞进行攻击。
另外还有常见的 CC 攻击,通过发起大量恶意 CC 请求,长期占用核心资源,让服务器算力无法释放,导致业务运行缓慢或中断。
网页篡改则是攻击者通过相关技术在网站服务器上留下后门或篡改网页内容,造成业务中断或其他负面影响。
首先来看如何应对数据泄漏问题,这里华为云 WAF 服务通过语义分析 + 正则表达式对恶意流量进行精准检测识别攻击流量,支持 11 种编码还原,识别更多变形攻击,降低恶意攻击绕过 WAF 的风险。这里我们通过 SQLMap 模拟进行对云耀云服务器 L 实例的 SQL 注入攻击。
我们看到在 WAF 控制台中,SQL 注入攻击发生后,WAF 迅速监测到这次攻击,并对受攻击的站点、原始 IP 和被攻击的 URL 进行定位,精准阻止攻击。
针对 0day 攻击,WAF 支持最快两小时修复高危漏洞,云端自动更新最新防护规则,保障业务安全。
WAF 对大规模的 CC 请求攻击应对上,采用对恶意 IP 或 Cookie 进行限速策略,精准识别 CC 攻击,以此保障业务安全;WAF 同样对网页篡改有专门检测,防止网站服务器被注入恶意代码,保护网站访问者和页面内容安全。
相比于其他 Web 应用防火墙产品,WAF 还提供全量的攻击日志、访问日志和请求日志,这些日志中的敏感数据也会被屏蔽,避免泄露用户隐私信息。
企业主机安全 HSS
恶意攻击一旦取得了主机的控制权,对于企业业务无疑是最为致命的打击,华为云企业主机安全服务 HSS 是保障工作负载安全的服务,通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能,全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。
针对不同需求的用户,华为云提供 HSS 基础版、专业版、企业版、旗舰版、容器版、网页防篡改版多个版本供用户选择。华为云最新推出的云耀云服务器 L 实例则可选 HSS 基础版。HSS 通过统一的资产管理,可实现对同一区域内主机各项风险进行检测处理,快速分析同一区域主机的风险,有效的抵挡勒索病毒、网页篡改、非法入侵等关键攻击事件。
这里我们使用 Hydra 模拟字典攻击暴力破解云耀云服务器 L 实例,针对这些攻击,在命令执行后极短时间内,华为云 HSS 就阻止了 Hydra 的破解。
华为云 HSS 控制台迅速做出响应,提示云耀云服务器 L 实例正在遭受暴力破解。同时,华为云 HSS 也对暴力破解的来源信息进行记录。
华为云 HSS 提供应用安全入侵检测、中间件漏洞扫描、威胁阻断等能力,帮助客户在业务开发阶段、运行阶段快速识别威胁、溯源定位,及时阻断和加固。应用安全方面,华为云 HSS 自研 RASP 技术,通过驱动级文件目录锁定、篡改检测自动恢复、远端备份恢复,精准识别应用代码、中间件的漏洞、攻击,自动检测与防护。通过华为云 HSS,用户可以更好地实现等保合规,并有效避免黑客入侵造成的勒索、数据泄漏、网页篡改等风险。
以上 AAD、WAF、HSS 是华为云网络安全解决方案针对不同规模企业最为通用的三个安全工具,另外针对更高安全需求,华为云还有云堡垒机 CBH、数据安全中心 DSC、数据库安全服务 DBSS、云证书管理服务 CCM、安全云脑(态势感知 SA)等适合大量云资产安全管理需求的企业选择。
CBH 主要通过建立主账号与资源从账号的一一对应关系,实现对人、资源账号及访问过程的精细化管理。帮助客户建立事前规划、事中控制及事后审计的安全管理体系,降低因内部人为原因造成的数据泄漏及 IT 事故的风险,开启高效运维。
DSC 则提供数据分类、数据安全风险识别、数据水印溯源、数据脱敏等基础数据安全能力,通过数据安全总览整合数据安全生命周期各阶段状态,对外整体呈现云上数据安全态势。
DBSS 是一项智能的数据库安全服务,基于机器学习和大数据分析,提供数据库审计、SQL 注入攻击检测、风险操作智能识别等功能,支持对 RDS、ECS / BMS 自建数据库进行审计,提供用户行为发现审计、多维度分析、实时告警和报表功能,保障敏感数据安全。
CCM 则是华为云联合 GeoTrust、DigiCert、GlobalSign、CFCA、vTrus、TrustAisa 多家数字证书机构提供的一站式证书全生命周期管理服务,证书类型包括 DV (Basic)、DV、OV、OV Pro、EV、EV Pro,用户无需构建和维护复杂的 CA 基础设施,在华为云上按需付费即可轻松获得 CA 管理和证书管理服务能力,并支持创建灵活的 CA 层次结构,包括根 CA 和从属 CA,同时支持外部 CA,满足更多应用场景部署,目前支持 RSA2048、RSA4096、EC256、EC384 等多种密钥算法以及 x.509v3 证书格式。
安全云脑(态势感知 SA)提供统一的威胁检测和风险处置能力,统一检测用户云上资产遭受到的典型安全风险,还原攻击历史,感知攻击现状,预测攻击态势,并提供强大的事前、事中、事后安全管理能力。
目前这项服务覆盖检测 8 大类、200 + 子类威胁告警,迅速分析攻击源,预置安全编排策略,实时发现告警,触达用户防御处置风险。另外还有专门的大屏、报告体系化指标实时查看,帮助有着较多云上资产的企业,实现统一安全运营。
总结
华为云网站安全解决方案适用于政府 / 事业单位、泛互联网企业、银行系统 / 金融机构、游戏 / 电商等企事业单位,其中,大部分也同样适用于初创及成长型企业。
这些安全方案组合拳能很好的帮助客户预防 Web 攻击、网页篡改、数据泄密、SQL 注入、DDoS 攻击伴随大量 CC 攻击造成的业务中断、爬虫刷单等恶意流量,同时通过统一的管理和安全审计,能很好满足等保合规 2.0、网络安全保护相关法律中的相关规定和要求,另外相关安全资源服务支持弹性扩容,方便业务进行升级扩展,更好确保资源无浪费。
对于初创及成长型企业而言,往往依靠单一业务来维持整个公司的生存,这时候安全问题自然是一个不可忽视的重要议题,企业业务更需要网站安全解决方案来守护。
目前,华为云 828 营销季正在火热进行中,并提供上云好礼,网站安全相关服务也有大幅优惠。对于初创及成长型企业而言,正是采购安全产品的好时机。
另外,针对初创和成长型企业以及个人开发者,华为云云耀云服务器 L 实例也同样提供丰厚的优惠,2 核 2G 3M,领券后 3 个月只要 29 元,优惠多多,感兴趣的朋友们马上行动起来吧。
编辑:齐少恒
相关热词搜索: 华为云网站安全解决方案体验