隨著互聯(lián)網(wǎng)的發(fā)展，企業(yè)開始逐步將關(guān)鍵的業(yè)務(wù)功能遷移到了 Web 應(yīng)用，雖然遷移到 Web 應(yīng)用帶來了經(jīng)濟(jì)利益并提高了業(yè)務(wù)的靈活性，但同時(shí)也帶來了新的安全風(fēng)險(xiǎn)和合規(guī)性方面的需求。

而近些年來，針對(duì) Web 應(yīng)用的攻擊越來越多，新型的攻擊手段層出不窮，傳統(tǒng)的防火墻技術(shù)已經(jīng)無法針對(duì)這些 Web 應(yīng)用提供安全防護(hù)能力。在這種情況下，WAF 成為了抵御應(yīng)用層攻擊強(qiáng)有力的工具。

當(dāng)前越來越多應(yīng)用開始遷移到云端，應(yīng)用的形態(tài)也開始向微服務(wù)架構(gòu)進(jìn)行轉(zhuǎn)變，采用傳統(tǒng)的 WAF 為這些應(yīng)用提供防護(hù)能力也變得越來越力不從心，它在面對(duì)復(fù)雜多變的 Web 應(yīng)用攻擊時(shí)，存在著明顯的不足。

傳統(tǒng)WAF解決方案的弊端

傳統(tǒng) WAF 策略配置管理復(fù)雜

傳統(tǒng) WAF 配置相當(dāng)復(fù)雜，每次配置 WAF 規(guī)則時(shí)需要多個(gè)步驟才能完成。當(dāng)應(yīng)用發(fā)生了變更，需要手工對(duì) WAF 策略進(jìn)行調(diào)整。同時(shí)，很難實(shí)現(xiàn)針對(duì)每應(yīng)用級(jí)別的 WAF 策略配置。

傳統(tǒng) WAF 無可視化和智能性

傳統(tǒng) WAF 解決方案缺少安全的可視性，當(dāng)應(yīng)用受到攻擊時(shí)，沒有一個(gè)可視化的界面讓安全管理員了解到更多的攻擊行為，也無法實(shí)現(xiàn)攻擊行為的統(tǒng)計(jì)。同時(shí)，傳統(tǒng) WAF 解決方案也缺少攻擊行為的建模和應(yīng)用的學(xué)習(xí)能力，無法對(duì)新的威脅做出響應(yīng)。

傳統(tǒng) WAF 存在性能瓶頸

傳統(tǒng) WAF 采用集中式部署并獨(dú)立進(jìn)行管理，WAF 的性能通常情況下依賴于 CPU，性能存在瓶頸，當(dāng)負(fù)載均衡和 WAF 功能同時(shí)開啟時(shí)，性能受到極大的影響，沒有彈性擴(kuò)縮能力，無法實(shí)現(xiàn)可變工作負(fù)載對(duì) WAF 性能的需求。

NSX ALB應(yīng)用交付提供智能WAF解決方案

NSX ALB 提供了全面的應(yīng)用安全解決方案，不僅提供了應(yīng)用安全的可見性，應(yīng)用的速率限制、 SSL/TLS 加密、ACL 以及應(yīng)用的 DDoS 防護(hù)能力外，還提供了應(yīng)用所需要的 WAF 功能，可以輕松抵御 

NSX ALB 中的智能 WAF，采用純軟件架構(gòu)設(shè)計(jì)，并且實(shí)現(xiàn)了控制和轉(zhuǎn)發(fā)分離，除了針對(duì) Web 應(yīng)用防護(hù)能力外，還可以針對(duì)業(yè)務(wù)對(duì)性能方面的要求，實(shí)現(xiàn)靈活的 WAF 智能擴(kuò)縮容能力，并實(shí)現(xiàn)端到端延時(shí)的可視性。

從上圖中我們可以看到，NSX ALB 中的智能 WAF 對(duì)比傳統(tǒng)的 WAF 解決方案具有明顯的技術(shù)優(yōu)勢(shì)，所以我們接下來將從各個(gè)維度來介紹一下 NSX ALB 中的智能 WAF 解決方案的技術(shù)優(yōu)勢(shì)，以適應(yīng)云環(huán)境下 Web 應(yīng)用對(duì)安全的需求。

多云環(huán)境中簡(jiǎn)化了 Web 應(yīng)用安全的運(yùn)維管理

當(dāng)前的越來越多的應(yīng)用開始采用多云環(huán)境部署，并且進(jìn)行了微服務(wù)的改造，這些應(yīng)用極易受到安全的威脅，例如 SQL 注入、XSS 跨站、命令注入等，所以需要通過 WAF 對(duì)這些 Web 應(yīng)用進(jìn)行安全的防護(hù)。NSX ALB 智能 WAF 啟用 WAF 策略非常的簡(jiǎn)單，它內(nèi)置了默認(rèn)的 WAF 策略，只需要通過鼠標(biāo)點(diǎn)擊幾次就可以為某一個(gè)特定的應(yīng)用開啟 WAF 功能，實(shí)現(xiàn)基于應(yīng)用的智能 WAF.

WAF 策略在默認(rèn)的情況下，只開啟了檢測(cè)模式，只對(duì)檢測(cè)到的安全威脅進(jìn)行標(biāo)記，而不對(duì)其進(jìn)行阻止，我們可以針對(duì)模認(rèn)的 WAF 策略開啟阻止模式。

NSX ALB 智能 WAF同時(shí)使用機(jī)器學(xué)習(xí)進(jìn)行異常的檢測(cè)，它會(huì)自動(dòng)的學(xué)習(xí)流量的行為特征，并且在應(yīng)用運(yùn)行的一段時(shí)間里為其行為設(shè)定基線，隨后， NSX ALB 智能 WAF 就可以識(shí)別行為中的變化，一旦發(fā)生了行了為變化，就會(huì)將其識(shí)別為異常，簡(jiǎn)化了 WAF 策略的配置。

針對(duì) Kubernetes/OpenShift 環(huán)境，NSX ALB 提供了 ingress 能力，實(shí)現(xiàn)了服務(wù)暴露，通過 CRDs 也可以為基于容器的服務(wù)自動(dòng)關(guān)聯(lián) WAF 策略。通過此種方式，實(shí)現(xiàn)了在一個(gè)架構(gòu)之下，為虛擬機(jī)的應(yīng)用和基于容器的應(yīng)用同時(shí)提供 WAF 安全策略，實(shí)現(xiàn)了在云中一致的安全運(yùn)維體驗(yàn)。

應(yīng)用安全的可視化以及安全分析

NSX ALB 智能 WAF 內(nèi)置了針對(duì) Web 應(yīng)用攻擊行為的可視性分析和日志分析能力，讓安全管理員更加了解應(yīng)用受到攻擊的趨勢(shì)。

我們可以在一個(gè)界面上查看到某個(gè)特定應(yīng)用受到攻擊的趨勢(shì)，匹配 WAF 規(guī)則的次數(shù)以及客戶端 IP 的統(tǒng)計(jì)以及調(diào)用的應(yīng)用路徑，應(yīng)現(xiàn)應(yīng)用級(jí)別的分析。同時(shí)，我們可以每一筆交易的端到端延時(shí)的分析，用于應(yīng)用性能方面的排錯(cuò)，我們還可以讓安全管理員了解客戶端的詳細(xì)信息以及針對(duì)這個(gè)應(yīng)用的攻擊的詳細(xì)信息

為應(yīng)用安全提供了彈性擴(kuò)展的架構(gòu)

隨著云內(nèi)的 Web 應(yīng)用的不斷擴(kuò)張，對(duì) WAF 的性能要求越來越高，傳統(tǒng)的 WAF 采用集中式部署，更多的是采用硬件方式，無法實(shí)現(xiàn)在應(yīng)用擴(kuò)張時(shí)提供彈性的容量。NSX ALB 智能 WAF 配合負(fù)載均衡實(shí)現(xiàn)了服務(wù)引擎的自動(dòng)擴(kuò)縮容能力，分布式的架構(gòu)保證了多個(gè)服務(wù)引擎在控制器上統(tǒng)一進(jìn)行管理和 WAF 策略的下發(fā)，所有的服務(wù)引擎可同時(shí)為應(yīng)用提供服務(wù)，而非傳統(tǒng)的主備模式，解決了傳統(tǒng) WAF 性能瓶頸的問題。

總結(jié)

前面我們介紹了 NSX ALB 智能 WAF 的優(yōu)勢(shì)和特性，它是一個(gè)純軟件的解決方案，并且采用了控制和轉(zhuǎn)發(fā)分離的架構(gòu)實(shí)現(xiàn)了 WAF 的創(chuàng)新，同時(shí)內(nèi)置豐富的日志和分析能力，提升了安全運(yùn)維的效率。在云時(shí)代，NSX ALB 智能 WAF 為關(guān)鍵業(yè)務(wù)提供了更加高效的安全防御能力。