websaas云安全解决方案
2020-11-20 本文已影响0人
JJJoeee
完善的解决方案和风险措施:可以通过添加CDN节点的IP地址白名单,防止直接攻击源站IP的情况出现
客户使用多个厂商CDN的方案(避免做二次DNS牵引?避免用两个WAF?),搞个本地WAF就可以啦
[top]
-
客户现状(行业资产重要,被黑客重点关照,虽然有WAF、IPS、抗D,但还是有很多问题)
近年来信息安全形势严峻,先有xx事件,后有xx事件,安全事件层出不穷,防不胜防;随着黑客的技术不断迭代对web业务的安全性提有了新的挑战。国家主席习近平发表讲话:没有网络安全就没有国家安全。在国家的号召下各行各业逐渐开始重视web安全,工信部域名备案需要进行风险评估、公安部制定和推行等级保护,都一一指示出网络安全的重要性和当前的形势不容乐观。而web安全更是网络安全中的重灾区,黑客通常都是通过web系统开始进行攻击,进行web防护是展开安全工作的第一步。
-
存在风险 (黑客扫描、web应用漏洞、中间件漏洞、DDOS和高防、可用性监测、防篡改、无访问统计、过度依赖规则库、无24小时值守服务、移动监控不到位)
当前客户环境虽然已有防火墙、IPS、上网行为管理等相关的安全设备(可解释这些设备跟),但对web安全仍无针对性防护。存在着如下风险:
- 无法发现web安全隐患,对web应用的脆弱点不明确,不知道web应用有哪些漏洞
- 对分布式拒绝服务没有有效的防范措施(IPS是抗DOS通过简单阈值控制,非抗分布式,不是针对网口带宽值进行防护)
- 对篡改攻击没有应对措施,若是遭遇篡改攻击被黑客挂上暗链、木马、博彩、反政府等信息无法及时告警和防御
- 对网站的可用性没有7*24小时的实时监测
-
传统环境的web安全解决方案(主要说明缺点)
- 传统web扫描器只能被动扫描,需要人员操作,策略更新不及时,无法监测篡改、暗链、webshell,扫描时间长性能差设备容易老化;无法实时监测网站状态,当网站发生可用性问题时无法及时告知管理员
- 传统http抗DDos、ADS流量清洗无法防御高防流量,对直接在运营商线路灌满的攻击无法防御;单机作战没有大数据和云端的支撑;受限于机器本身的性能无法进行深度的机器学习来判断访问是否合规
- 传统WAF部署变更繁琐、管理难、故障率高,防御规则更新慢且不便,误报率高,告警可读性低
- 传统链路负载均衡只适用于同运营商加速的情况,无法控制用户访问节点无法对用户的访问路径进行优化,对于同运营商网络的质量无法针对省份和地区进行优化和内容分发,只能实现简单的加速效果,而且还必须要做到源进源出
- 无DNS劫持和篡改防护,传统网页防篡改更新网页繁琐,且对需要写权限的文件和目录无法防护,一旦这些文件有漏洞则会导致网站被篡改,造成不可磨灭的损失,在应对网站访问上没有一键关停等措施
传统解决方案拓扑图:
传统方案
-
web saas解决方案(既包含传统方案优点,又有很多优势)
- 部署简单操作成本低(只需要该DNS别名)
- 云WAF(防御web攻击)
- 云监测(监测网站状态:可用、篡改、回连、钓鱼识别)
- CDN加速(DNS映射的成效而已)
- DDos高防
- 安全评估服务
- 威胁情报(黑域名、IP、文件md5)
- 7*24小时热线服务:
24小时400电话热线(你只需要说出你的需求,剩下的让工程师来)
APP或小程序随时随地查看网站状态
日报周报月报年报自动发送,我们为您做了什么都在报告里面呈现出来
web应用断网或服务异常提示
web saas方案拓扑图(根据传统网络改造)
image.png
web saas方案实现原理
web saas方案实现原理
-
推荐配置清单
| 设备名称 | 数量 | 配置 | 作用(其实可以不用写) | 价格 |
|---|---|---|---|---|
| 云防御 | 3 | 提供一年一个域名最高50Mbps流量web攻击检测服务 | 阻断web攻击并记录和告警 | 5 |
| 云监测 | 3 | 提供一年一个域名最高1000条URL的web监测服务 | 实时监测web应用的安全状态,主动发现web应用的漏洞,主动监测web应用的可用性,7*24小时监测网站篡改和webshell回连 | 5 |
| 云抗DDos | 3 | 提供一年一个域名最高10Gbps的抗DDos服务 | 对http流量进行清洗,对应用进行分布式拒绝服务攻击(简称DDos)的防护 | 5 |
| CDN加速 | 3 | 提供一年一个域名最高100Gbps的内容分发加速服务 | 对服务器的静态文件进行加速分发,减轻源站的性能和流量消耗,加快用户访问应用的速度 | 5 |
| 安全评估 | 3 | 提供一年一次一个域名的应用渗透测试、代码审计、基线核查、安全众测、安全加固服务 | 由专业的安全工程师对应用进行全面的安全检测,内容包括渗透测试、代码审计、基线核查、安全众测、安全加固五项服务 | 1000,000.00 |
| 应急响应 | 3 | 赠送一年 | 通过微信、邮件、短信、手机APP等方式实现安全事件告警、安全状态实时浏览、重大安全漏洞通告、应用可用性通告,当发现安全事件的时候安全工程师主动对攻击进行查杀的取证 | 5 |
-
竞品分析
对比传统厂商(安恒、绿盟等):
- 抗D自研(安恒是用阿里云的,只适用于电商行业)
- 漏洞扫描和监测能力更强(还有很多自己挖掘的0day漏洞)
对比云厂商(阿里云、腾讯云、华为云、网宿云等)
- WAF和漏扫积累20年,行业经验吊打云厂商
- 每个省份都有办事处和现场技术支持人员
对比互联网厂商(长亭科技、知道创宇、智安网络、铱迅信息)
- WAF、漏扫、抗D积累20年,行业经验吊打互联网厂商
- 每个省份都有办事处和现场技术支持人员,2小时内到现场是小厂商不具备的
- 各种资质和大事记安全运营经验
关键性因素(硬实力):
- DNS与CDN结合得怎么样?总不能让客户解析两次DNS吧?
- 案例经验:客户使用多家CDN的云防护方案怎么搞?(肯定不能用多家云WAF)
- 抗D、WEB防护支持多大流量(判断抗压能力)?防护效果怎么样(判断规则积累)?
- 漏扫扫出的漏洞1.多 2.准 3.快 4.报告更完善 5.深(扫描深度要展现出来,扫描了哪些URL?)
- 网站监测逻辑和效率如何?不会影响源站性能吧?舆情监测?怎么判断是网站自己更像还是被篡改?
- 直接攻击源站IP的解决方案:CDN加入源站防火墙白名单的策略
