在第一天的下午專場一會場，來自上海有云信息技術有限公司CTO江均勇帶來了《云計算中的網絡功能虛擬化及安全應用解決方案》主題演講。

 

　　江均勇介紹到，傳統WAF采用的是軟硬件一體化的模式實現，在部署方案中，采用串聯或者旁路部署的方式，對被保護的WEB服務器的流量進行安全檢測。WAF的功能包括防止黑客進行SQL注入、XSS跨站、畸形報文、文件注入、系統命令注入、網頁篡改、信息泄露等攻擊，來實現保障WEB服務應用安全。但傳統WAF在如今的安全形勢下有非常多的缺點，軟硬件一體化，可靠性同時依賴于硬件與軟件;二是升級與維護復雜，缺少集中的管理平臺，硬件一旦出現故障，必須要廠家更換設備或重新購買;三是擴容復雜，需要重新制定解決方案;四是運維成本高，增加數據中心(或普通機房)內對設備類型的管理和監控。

 

　　為了解決傳統WAF的這些缺點，業界又出現了云WAF，但云WAF依然有不足。江均勇講到，云WAF的主要原理就是通過訪問路徑變更，通過DNS重定向的方式，將需要防護的WEB服務器的DNS定向到“WAF”上，WAF再通過反向代理的方式訪問WEB服務器。但這就又有了新的安全問題，首先是云WAF不在需要保護的WEB Server用戶管理的范疇，所有WEB訪問數據經過云WAF是否放心數據安全?二是云WAF到WEB Server的后端訪問路徑，安全性如何保障?在技術實現方案上，云WAF是否真正的云呢?傳統軟硬件一體化設備、軟件反向代理等WAF同樣可以實現，沒有體現出云的特征！

 

　　江均勇總結到，傳統的云WAF采用了互聯網的軟件服務模式，提供了“SecAAS”(安全作為服務)需求的特性，而并未根除WEB應用安全的最終需求，云的宣傳只是一種噱頭。

 

　　對于傳統數據中心應用，大規模Web集群的訪問數據量超過每秒數GB，傳統的WAF無法進行部署防護，且管理維護復雜。江均勇介紹到，基于此有云推出了CloudASG：

有云CloudASG

SACC2014:Web安全從傳統到云計算的演進1

有云CloudASG

 

 

　　有云CloudASG有以下特點：

 

　　部署簡易：

 

　　有云CloudASG通過集中部署安全防護云的方式，用戶環境只需將Web流量通過簡單的策略路由的形式引入到CloudASG中，CloudASG通過ASG實例對Web流量進行安全檢測，實現Web應用安全的防護。同時，CloudASG還可以與數據中心管理聯動，對持續攻擊的IP地址等實現黑名單阻斷，即在核心路由側對惡意IP執行阻斷，防止DOS攻擊；

 

　　擴容方便：

 

　　客戶業務增加，Web流量隨之增大，對于安全防護來說，僅需要在CloudASG中增加通用服務器資源，采用云計算典型的硬件即插即用的方式即可，無需額外的配置；

 

　　CloudASG與業務完全解耦：

 

　　出現故障時，客戶可以通過對交換機策略路由的配置，直接跳過CloudASG，恢復與部署簡便；

 

　　集中管理與開放接口：

 

　　大規模應用安全防護，CloudASG提供集中地管理平臺ASGM，可以方便安全防護的配置，同時ASGM開放接口，用戶可通過開放接口查詢安全攻擊日志數據和報表等；

 

　　在數據中心云計算環境中，有云CloudASG通過插件式管理方式，利用云平臺的自動化部署特性，將Web應用防護實例動態的關聯部署到待防護的Web服務器前端，在虛擬化環境中采用SDN引流的方式實現對Web服務的安全防護。

 

　　江均勇談到，有云Cloud ASG提供了靈活的部署框架模型，極大的降低了運維管理成本，較傳統軟硬件一體機及傳統云WAF方案，安全性、可靠性、可維護性和可操作性具備絕對的優勢，對傳統數據中心演進以及云計算數據中心增擴容能夠平滑過渡和支持。