矩阵式WAF部署——破解网络信任危机的新思路
传统的安全建设思路,要求将网络按照安全等级划分,形成不同属性的安全域,如外网接入域、核心交换域、对外发布域、办公终端域及安全管理域等,并基于各个安全域的安全等级来制定相应的域间隔离与访问控制策略。
通常根据不同强度要求的安全策略,所选用和部署的安全产品也会有针对性,例如外网接入域的边界,除了常规的防火墙之外,还会选择DDoS清洗系统、入侵防御系统等;在核心交换域,依据其流量全面的特点,部署全栈的流量分析和资产治理类系统;在安全管理域,部署集中管理和事件审计类平台;而在对外发布域的边界,则会选择更加深入和有针对性的细粒度防护产品,例如Web应用防火墙,即WAF产品,也是我们今天讨论的重点。
一直以来,WAF作为针对Web应用专项防护的安全产品,在安全建设和政策要求当中都是必备的安全组件。基于其特点,WAF通常被部署在对外发布区域的边界,原因主要有以下几个方面:
1、WAF的主要防护目标是依托于HTTP/HTTPS协议的应用,如网站、信息系统等;
2、大多数网站、信息系统等服务群都会集中在对外发布区域,方便进行访问控制等;
3、WAF自身的功能定位要求它必须进行数据包的深度解析,因此流量处理的压力较大,通常会避开出口、核心等主干链路。
这样的传统思路,在网络环境更加复杂的今天正在面临严峻的挑战。首先,内网并不安全。内部自身的潜在威胁、边界被绕过后的横向渗透以及内部中招后的非法外联,都是实践当中发现的真正威胁;其次,边界开始模糊,新的暴露面不断增加,网络设备、安全设备、甚至打印机和摄像头都有可访问的Web入口,并且经常暴露在外网当中,虽然多数时候是无意的误操作,但它们原本不在对外发布的安全域中,因此成为脆弱的隐患之一。
引入一个近两年比较热的概念——零信任网络。“零信任”建立在五个基本假设之上:
1、网络时刻处在危险当中;
2、网络中始终存在威胁;
3、网络的位置不能直接决定其可信程度;
4、所有的设备、用户和流量都要经过认证和授权;
5、安全策略必须是动态的、灵活调整的。
这些假设进一步指出了当前安全建设的不足和隐患,当然零信任网络的核心思路是进一步强化访问控制,即默认情况下不信任网络内部和外部的任何人、设备或系统,全面进行身份认证,基于认证和授权来建立访问控制的信任基础,并依据身份和访问双方的属性进行细粒度和动态的权限分配。零信任网络的出发点是从认证的角度解决信任问题,因此衍生出了统一身份管理系统、安全接入网关等产品。
今天我们换一个思路,从业务防护的角度出发,利用WAF的矩阵式部署方案来破解网络信任危机。
RayWAF根据业务自身的不同属性、防护需求的不同程度及业务路径的不同节点,启用对应防护粒度的安全模块,并通过学习访问量的变化,动态调整等级模板;最终利用管理中心和各个防护节点的联动,形成安全矩阵,对不同信任等级对象间的互访进行自适应防护,做到闭环处理。
RayWAF矩阵式部署方案核心思路
从部署角度来看,矩阵式WAF进一步强化了纵深防护的理念,延展防护链条,使用相应的防护模块配合对应的部署方式,覆盖云端、边界和终端等各个环节。
通过矩阵式的WAF应用思路,既可以覆盖到业务访问的各个环节,又可以适应不同场景、不同位置的细粒度防护需求,兼顾防护效果和处理能力,在发挥WAF效果的同时,解决用户网络的信任危机,是符合当前需求现状的有效解决方案。