超稳!上云之殇被雷池(SafeLine)治愈

阅读量152520

发布时间 : 2022-04-25 11:09:25

 

上云很美好,云上安全很苦恼……千言万语三大难:云上场景复杂高,统一管理很艰难;业务流量波动大,WAF资源匹配难;云上租户多而广,业务流畅保证难

客户一犯难,WAF界“扛把子”雷池(SafeLine)下一代Web应用防火墙坐不住了。

云上“盾牌”级防护能力再度发力,解决WAF在云上的六大场景难题。

 

场景1 在K8s中部署WAF,站点上线时需要重复配置

问题:

在K8s环境中,如果使用WAF,会出现需要分别在WAF和K8s中配置站点的情况,导致在大量Web业务上线的时候,用户需多次配置同一站点,工作量翻倍。

解法:

雷池(SafeLine)特有的全开放的接口模式,可以完美融入K8s当中,利用K8s中的用户资源自定义能力,通过gitops工具,将需要被防护的站点一次性下发给K8s的ingress和部署在K8s环境中的WAF,降低人力运维与业务管理成本。


一次调整,同时完成K8s中的ingress和WAF的配置,整体配置更精准

 

场景2 同时使用多个云时,WAF管理效能差

问题:

当企业同时使用多个云时,业务不可避免会更加分散,安全人员无法使用一套WAF集群做统一管理和防护。而复杂的管理逻辑,会大大降低流程配置效率,增加人力成本,同时容易出错,让风险管理不可控。

解法:

不同云上的业务场景千差万别,流量走向需求也不尽相同,面对使用多云环境的企业,雷池(SafeLine)可提供深度适配多云业务场景的不同部署模式,实现对流量的精准引流。企业可通过雷池(SafeLine)集群的统一管理机制,同时对多个云中的流量检测节点做集中管理,在一套管理逻辑里维护整体资源,以上帝视角管控整体风险。

 

场景3 云上东西向流量交互大,传统WAF存在防护短板

问题:

传统WAF仅能防护南向北流量,缺少对于业务间的横向流量进行检测和防护,在云上,这部分流量带来的威胁却不可小觑,严重时将导致企业内部系统瘫痪。

解法:

长亭通过使用独有的嵌入式部署技术,在Service Mesh(服务网格)中嵌入T1K模块,企业用户通过sidecar进行流量交互时,利用T1K模块引流、流量劫持、返回阻断指令等能力,实现对东西向流量进行安全防护。防护类别包括:API防护、用户行为检测、权限异常监视、恶意流量防护等,保障业务内部系统间的流量交互安全。

 

场景4 业务上下线频繁,WAF资源难控制

问题:

流量的波动不定,往往让企业无法准确调配WAF资源,多了则浪费,少了则影响业务发展,长时间需要手动管理,人力成本高。

解法:

雷池(SafeLine)采用全分布式微服务架构,将自身检测能力进行模块化部署,再结合K8s中快速拉起、关闭容器的机制,轻松实现自动弹性伸缩功能。流量峰谷状态下,自动伸缩所需WAF资源,无论多少流量都能应对自如,告别流量溢出或资源浪费的同时,高效节省运维成本。


20G流量3个检测节点,40G流量可自动扩容到5个检测节点,反之同理

 

场景5 云上不同租户,要求数据隔离和权限区分

问题:

企业(一般指云厂商)需要对外提供云资源租用服务时,常常面临大量业务租户要求拥有自己的安全网元能力的相关权限,以及和别的租户之间的网站业务数据隔离的问题。

解法:

雷池(SafeLine)支持基于多租户的权限分配,不同租户之间业务站点及相关流量数据可实现权限隔离。管理员可以根据租户需求分配实际需要的权限和资源,让租户的云上业务安全又可控。

 

场景6 多维度海量流量,业务连续性要求更高

问题:

在云原生WAF部署的场景中,常常面临多维度的流量检测,流量正常访问路径需要顺利通过WAF的检测才能运行,但当WAF出现宕机,不工作时,海量业务流量面临被迫终止无法完成请求的问题,企业发展将面临巨大损失。

解法:

针对南北向流量:故障初期,雷池(SafeLine)增加秒级延迟,尝试请求后让流量进入Bypass状态,保障业务运行无感知,直至健康检查发现检测引擎状态恢复。

针对东西向流量:故障发生时,通过Bypass,让流量先跳过雷池(SafeLine)一段时间,再抽选某个请求进行尝试,如果失败继续Bypass,循环往复,保证业务正常运行。

K8s使用程度不同,需要的实际部署模式也不同,只有选取合适的部署方案才能让WAF在云上发挥最大效用。以下列举雷池(SafeLine)4种部署方式及适用对象:

传统反向代理模式:使用云上的SLB或ingress进行负载转发,雷池(SafeLine)可进行业务反向代理。

适用于对安全架构稳定性有很强的关注性,不轻易接受K8s改造的用户

嵌入式反代:雷池(SafeLine)通过T1k模块进行引流,将检测节点(detector)和日志节点(mario)部署在K8s上,通过Nginx+T1K模块牵引ingress上的流量。

适用于不能接受多次代理,对简洁的转发架构有要求的用户

弹性流量反向代理:雷池(SafeLine)通过在ingress侧为站点创建两个ingress转发目标,分别给WAF和业务服务器,对业务流量进行双重检测。

适用于对业务返回流量有检测需求的企业用户

基于服务网格的东西向流量防护:雷池(SafeLine)支持基于Envoy的Service Mesh(服务网格),通过T1K进行引流,使用Lua/WASM Filter做请求和响应检测。

适用于对企业内部东西向流量交互系统有检测需求的企业

n

这是“万物皆可云”的时代,更是促进企业业务飞速发展的“温床”。云上环境“土壤”的肥沃促生了云上业务“物种”的复杂多样。而对于企业业务而言,云上的复杂多样,必然让安全运维者迎来新的管理挑战。

为了帮助企业业务更安全、有效地发展,雷池(SafeLine)将自身能力与K8s场景完美融合,凭借天然的、“盾牌”级的微服务能力优势与积累多年的实战经验,继续为企业提供云上安全防护!

更多部署方案及细节,欢迎点击https://jinshuju.net/f/uHu1aW 咨询测试

本文由长亭科技原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/272503

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
长亭科技
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66