过去几年国内云计算市场高速发展,可以说未来的软件一定是“生长”于云上的。基础设施变化,是对企业安全体系影响最大的变量,安全和业务速度保持一致,才能应对云上的攻击不确定性、对抗复杂性,提升用户体验。
WAF是保障Web应用安全的基础性核心产品,在IDC最新公布的2023年市场份额中,云WAF整体市场规模已经超过传统硬件WAF市场,达到21.0亿元人民币,WAF云化的优势进一步凸显。
然而,云上的产品和以前的硬件产品形态截然不同,当面临新旧基础设施的迭代,大部分企业会选择以下几种云环境WAF建设方案,它们各有利弊:
优势
可直接复用原有云外硬件方案,无需适配
无需改变运维习惯
劣势
流量串联,存在吞吐瓶颈
传统HA,无法弹性扩展,高可用不足
优势
可直接复用原有云外硬件方案,少量适配
无需改变运维习惯
劣势
无法实现透明接入,只支持反向代理
代理能力弱,必须使用”三明治“架构
优势
无部署成本,可直接使用
和云基础设施打通,运维便捷
劣势
防护能力相对基础
开放程度有限,自定义能力弱
优势
一站式SaaS解决方案
高可用性
劣势
采购成本高
售后维护无专人对接
也就是说,除了公有云运营商提供的WAF服务外,市面上主流的云环境WAF部署方案都是把采集和检测能力打包,整体部署在云内/外,这样必然会存在高可用不足、资源扩缩受限以及容灾问题。
那么,是否存在一种方案,既能利用云底座的弹性扩缩容能力,又能完美保留传统WAF的防护效果和自定义能力,还能一举三得地实现混合环境的统一管理?
答案是有的。长亭科技雷池(SafeLine)下一代Web应用防火墙经过全面云化改造,已形成成熟的云环境多形态WEB应用防护接入方案,满足用户“既要又要还要”的多重需求。
要想让WAF吃透“云属性”,破局的关键是“解耦融云”。长亭云环境多形态WEB应用防护接入方案中将WAF做了两个重要的解耦。
一是将软件服务与操作系统解耦。不仅仅简单地与硬件解耦,而是进一步与操作系统解耦,这样我们可以将服务部署在任意的云主机中;此外,我们继续对WAF服务进行拆分,将管理服务与流量服务解耦,实现分布式集群能力。
二是将流量转发服务和流量检测服务解耦。解耦后,用户现有网络环境中的负载均衡/流量中间件/服务器代码可以承担流量采集的工作,采集完成后转发给WAF的检测接口,对这些流量进行检测并返回给对方结果,这个标准接口即雷池(SafeLine)的T1K接口。在这一过程中由于直接复用了现有链路中的流量转发组件,WAF是不可见的,可以被认为是“软件透明”。这个解耦一方面使得原有网络环境中的高可用和故障Bypass机制仍可自动沿用,另一方面便于“无损化”地实现检测、转发、分析节点的水平扩展。
“利用Nginx的动态模块实现引流”的版本便是雷池(SafeLine)此种思路实现的经典例子,具体内容可以参阅此篇推文。
点击上图阅读详情
按照这种“解耦引流”的思路,长亭科技根据不同客户的网络结构特点及业务需求,构建了五种流量转发与检测解耦的实现方案,和一种转发与检测一体化的优化方案,让每个客户都能少改动、低成本地应用最适合自身网络环境的方案。
特性
以Nginx为代表,可复用现有Nginx集群
Nginx中加载so动态模块
支持Nginx衍生的tengine、openresty、kong、apisix 等网关
特性
可嵌入自研网关中实现流量检测
多语言支持
不改变网络拓扑,无感接入
自主可控,拥有业务级细粒度bypass机制
特性
可嵌入业务端代码,实现业务加密流量检测
多种对接语言,可嵌入任何业务
可自由编排检测/拦截逻辑
特性
可与Ingress、istio等K8S云原生组件联动进行流量检测
可在k8s内部署,自动扩缩容和服务降级
可在k8s外部署,复用软件检测集群
特性
可与MGS网关联动进行流量检测
MGS原生支持,无需额外适配
不改变网络拓扑,不成为单点故障点
解决移动app加密数据检测的问题
特性
提供基于tengine的LB+WAF一体化能力
分布式部署+集中管理
检测服务可水平扩展
支持对后端业务负载均衡(自带Tengine集群)
得益于雷池(SafeLine)接口设计的标准化和开放性,长亭与很多云基础架构达成了生态合作,包括获得Nginx认证安全模块、APISIX社区默认集成插件、BFE的商业合作等。多样的生态使得方案能更广泛快速地兼容客户的多样环境,让云下全线防护能力得以平滑迁移至云上,实现检测能力的弹性扩缩容和统一管理,真正做到“功能不受损,服务不降级”的全场景守护。
如需获取完整方案内容及落地案例,请扫描 下方二维码 申请。