快手、孩子王、华为等专家分享大模型在电商运营、母婴消费、翻译等行业场景的实际应用 了解详情
写点什么

AWS Web Application Firewall:加固不安全 Web 网站的安全性

  • 2017-08-10
  • 本文字数:1666 字

    阅读完需:约 5 分钟

Web Application Firewall (WAF)是 AWS 的一个新特性,它部署在用户公开网站的前端,保护网站免受异常流量的侵扰。WAF 的工作机制类似于反向代理,对传入的 HTTP 请求进行检查,查找其中活动可疑的模式。正常的请求才会被传递给用户的 Web 应用做处理,而异常的请求则会被阻塞。WAF 是一种无需更改现有应用即可为应用添加一层安全的工具。

通过设置一些用于识别并管理可疑流量的策略,我们可以配置 WAF 的行为。Amazon 已发布了 PDF 格式的白皮书,阐述了如何使用 WAF 去规避在 Web 应用中最广为出现的“ OWASP 十大安全漏洞”。对于所请求的传入请求(例如安全令牌),或是受限的传入请求(例如 SQL 关键字),不少推荐方法使用字符串匹配去检查请求的头部或主体内容。为实现更多的威胁检测,还有一些方法建议将 WAF 与 Lambda 或 CloudFront 组合。

WAF 是一种通用工具,它对于部分类型的攻击的成功率,要远高于其它类型的攻击。通过分析请求,相对易于规避注入攻击,这无需知道应用的上下文。用户可以配置 WAF 去检查请求查询字符串中的 SQL 关键字,实现对可疑活动的阻止。但是对于那些借助于颠覆应用上下文内安全的攻击,则是难以规避的。如果用户应用使用了独特的跨站请求伪造(Cross-Site Request Forgery,CSRF)令牌,我们无法配置 WAF 去拒绝一个重放已用令牌的请求,这需要在 WAF 和用户应用间构建一个用户定制的集成。

就 WAF 这类通用工具是否可以成功地加固那些不安全的 Web 应用这一问题,InfoQ 采访了 Mark Nunnikhoven 。Mark 是 Trend Micro 云技术研究部门的副总,也是一位 AWS 社区英雄(Community Hero)。

InfoQ:你认为近期高调出现的一些违规行为是否能被 WAF 这样的工具所阻止?

Mark Nunnikhoven:违规行为的发生是有一系列的原因,但常见的是利用 Web 应用的漏洞。跨站脚本攻击 (Cross Site Scripting) 和 SQL 注入攻击持续是被攻击者所采用的一些特别有效的方法。AWS WAF 对这些攻击方法非常有效。WAF 在设计上就是分析 Web 应用流量并查找异常,它对于用户的 Web 应用是一种简单并有效的防御层。

InfoQ:“OWASP 的十大安全漏洞”是很多安全规划、审计和 WAF 等工具的关注点。是否能解决这十大安全漏洞就足矣?或者为了加固 Web 应用,还需要考虑更多的问题?

Nunnikhoven:“OWASP 的十大安全漏洞”近期做了一些更新,但令人沮丧的是改动并不大。开发人员继续在犯着同样的错误,平台也继续在暴露类似的问题。安全问题具有长尾效应,十大安全漏洞只是给出一些最大的关注点。如果一个应用能很好地解决这十个领域问题,那么该应用就具有着坚实的安全基础。如果用户还没有率先解决这些基础的问题,那么完全没有必要去操心那些不太可能会影响到自身应用及用户的未知攻击。

InfoQ:我们可以使用 WAF 的工作流为模型创建自己定制的代理,在不改变应用的情况下增加安全。这是否有可能?或者还是需要通过修改应用才能解决安全缺陷?

Nunnikhoven:任何第三方的安全控制都是设计用于强化应用,AWS WAF 也是如此。安全控制是一种安全的网络,那些破坏了良好设计的应用及其支撑平台的问题会落在网中,并被安全网络所捕获。

InfoQ:安全正成为云的一个特性。AWS 提供了 WAF 和 Amazon Inspector 特性,后者检查部署中的不安全配置。Azure 提供了 Security Center 特性,自动规避安全攻击,并给出增加安全的推荐。安全是否能构成了迁移到云端的一个正当理由?

Nunnikhoven:安全绝对是迁移到云的一个理由。各大云服务提供商,例如提供全球范围服务的 AWS、Microsoft 和 Google,提供了强大的基础服务,用户可以在此上构建自己的应用,这些应用都运行于共享责任模型下。这就是用户和云服务提供商间在六个主要领域(即物理、架构、虚拟化、操作系统、应用和数据)上划分日常职责之处。

这一模型意味着用户可聚焦于更少的领域。用户将部分工作代理给服务提供商,仅需验证所提供的服务是否适合自身的需求。使用云技术,我们可以花用很少的精力完成很多的事情。这对于构建安全应用是一个非常好的环境。

查看英文原文 AWS Web Application Firewall: Bolt-on Security for Insecure Websites

2017-08-10 19:001556
用户头像

发布了 227 篇内容, 共 73.8 次阅读, 收获喜欢 28 次。

关注

评论

发布
暂无评论
发现更多内容

Redis 核心知识点归纳总结,从根上理解 Redis

码哥字节

redis Redis 核心技术与实战 签约计划第二季

开源机器学习数据库OpenMLDB贡献者计划全面启动

第四范式开发者社区

第四范式 开源社区 OpenMLDB 机器学习数据库 贡献者

基于HTML、CSS和JS的年龄计算器

海拥(haiyong.site)

html 大前端 28天写作 签约计划第二季 12月日更

前端开发框架react 之UmiJS

@零度

大前端 React

星环科技 TDH8.1.0:全新升级为用户带来极致体验

星环科技

大数据

Linux一学就会之Centos8软件包的管理和安装之yum管理软件包

学神来啦

Linux centos 运维 rpm yum

企业如何做好员工安全意识提升

腾讯安全云鼎实验室

图数据和知识图谱,数字化转型的新引擎

星环科技

图数据库 知识图谱

Hadoop完全分布式安装部署

编程江湖

大数据 hadoop

恒源云(GPUSHARE)_云GPU服务器如何使用PyCharm?

恒源云

深度学习 gpu 算力加速

服务端质量保证体系(三) CI原子能力建设

homber

ci 服务端 质量保证 签约计划第二季

2021 China DevOpsDays演讲实录

homber

DevOps DevOpsDays 签约计划第二季

换个角度思考勒索攻击事件

华为云开发者联盟

漏洞 勒索 攻击 安全检测 蜜罐检测

python入门难?十之八九是因为python 协程吧!

梦想橡皮擦

12月日更

Redis 分布式锁的正确实现原理演化历程与 Redisson 实战总结

码哥字节

redis RedLock redisson 分布式锁 签约计划第二季

编程谜题:提升你解决问题的训练场

华为云开发者联盟

Python 编程 编程语言 代码 编程谜题

服务端质量保证体系(二) 流水线标准化建设

homber

服务端 CI/CD 流程 质量保证 签约计划第二季

少儿春晚表演

Tiger

28天写作

QA进阶成长感悟录

homber

成长 内容合集 签约计划第二季

入驻快讯|欢迎字节跳动终端技术团队正式入驻 InfoQ 写作平台!

InfoQ写作社区官方

入驻快讯

服务端质量保证体系(一) 全流程规范管理

homber

服务端 流程 质量保证 签约计划第二季

【分布式技术专题】「OSS中间件系列」Minio的Server端服务的架构和实战搭建

洛神灬殇

OSS Minio Minio 集群 12月日更 FS

一文讲透数仓临时表的用法

华为云开发者联盟

数据库 sql Local GaussDB(DWS) 临时表

为什么要做团建TB?(6/28)

赵新龙

28天写作

TDengine在雷达台站运维管理系统中的落地实践

TDengine

数据库 tdengine 时序数据库

Redis 很强,不懂使用规范就糟蹋了

码哥字节

redis Redis开发规范 签约计划第二季

云原生时代的"应用级"多云管理

北京好雨科技有限公司

云计算 Kubernetes 容器 多云管理

大数据开发之数据读取—Pandas vs Spark

@零度

大数据 spark pandas

Apache ShenYu源码阅读系列-注册中心实现原理之Http注册

子夜2104

Go语言学习查缺补漏ing Day3

恒生LIGHT云社区

Go 编程语言

「Oracle」Oracle 数据库备份还原

恒生LIGHT云社区

数据库 oracle

AWS Web Application Firewall:加固不安全Web网站的安全性_亚马逊云科技_Elton Stoneman_InfoQ精选文章