虚拟云网络专辑｜VMware 应用安全“流水线”

摘

要

根据研究公司 Forrester 的数据，截至 2020 年 Web 应用仍然是主要的外部攻击方法。而最新的 Verizon 安全数据泄露报告称，大约 90% 的“顶级黑客入侵媒介”来自 Web 应用。事实上，应用安全漏洞现在在网络攻击导致的破坏中占据首位——Web 应用本身的特点决定了，它是面向互联网的数字化应用的最主要方式，是攻击者最容易接触到的边界。所有 Web 攻击的“受害者”都在努力应对这一挑战，但通常只能被迫采用计划外的临时方法来确保应用安全。“补丁摞补丁”式的安全实现，在当今客户的应用架构中屡见不鲜，这种方式只能解一时之忧，但无法适应用户应用系统的升级，导致用户必须在应用架构升级时，抛弃已有的安全方案，再次从零开始进行建设。

VMware NSX 高级应用交付（Avi Networks）可以将应用安全作为一个构建在可扩展、弹性平台上的综合堆栈来处理。这种方法以高性能和可见性提供简化的应用安全性，使您能够通过来自单个集成解决方案的快速且可扩展的响应来防御攻击。

应用安全的趋势和挑战

应用安全是一个复杂的领域。而且由于不同安全技术、产品和解决方案从诞生到成熟的周期不同，客户常常将安全过滤策略、DDoS 防御、用户身份验证、加密和 WAF 等组件分期、分立地进行部署，彼此之间的策略编写方式、流处理和执行性能、软件功能版本和生命周期都无法匹配。

比如：某客户采用 A 品牌 1Gbps 能力的 DDoS+B 品牌 10Gbps 能力的防火墙 +C 品牌 3Gbps 能力的 WAF；当其中某一组件需要升级换代时，势必涉及到与其他组件在接口和性能上的匹配，需要大量的兼容性测试、网络规划和演练，才能完成一次更新。事实上，用户在安全方面遇到的大多数痛点，都源于缺乏统一设计思路和成熟的平台级方案而导致的与复杂性、性能和可见性相关的问题。

从技术关联性角度看，用户身份验证、恶意软件保护和 DDoS 防御等流程是应用安全堆栈不可分割的部分，并且全面实现全部安全功能对于使任何应用的安全上线至关重要，不应也不容遗漏。

例如，在 DDoS 攻击期间，平台需要快速识别威胁，并且必须具有可扩展性以应对 SYN Flood 等攻击；对非 DDoS 攻击的正常流量，还要保持 SSL 卸载、WAF 检测和防御、应用接入认证等正常的安全访问流程。

VMware应用安全解决方案

VMware NSX 应用交付采用一致的、融合的应用安全堆栈方法解决了上面提到的关键痛点。

以下是 VMware 应用安全堆栈的核心组件。

Web应用防火墙（WAF）

将已知攻击的特征库与流量模式匹配，是检测/拦截 Web 攻击的核心方法。特征库匹配和拦截引擎是计算密集型的，通常是安全流程中最慢的部分。NSX 应用交付采用“允许列表（已知安全的流量）”并结合“主动安全（Positive Security——系统已获悉的流量是预期的、且在安全范围内）”，用以合理缩小依赖特征库匹配检测计算量。NSX 应用交付使用机器学习来创建 “主动安全” 规则，提供优化的安全管道，以最大限度提高资源密集型操作的效率。

优化的安全流程

VMware NSX 应用交付可以将名为“PULSE”的在线服务与 WAF 配合使用，提供实时、自动化的威胁情报和支持。安全威胁情报更新包括基于 WAF 核心规则集（CRS）和特定于应用的规则、IP 信誉等的特征库。这些威胁情报，一方面来源于 VMware 威胁分析部门（Threat Analysis Unit）100 多名威胁研究人员、30 多名数据科学家和博士的工作，他们使用人工智能和机器学习来构建最佳模型来检测网络上和分析文件时的威胁；另一方面，来源于与 VMware 的众多安全合作伙伴。

PULSE安全服务

应用速率限制

应用速率限制提供了对特定应用可以发出的请求的类型、持续时间和频率的一系列限制，它与安全堆栈的其他元素协同工作，例如 L3/4 和 L7 防火墙策略、Web 应用防火墙和 DDoS 防护。速率限制可以作为应用安全堆栈的其他元素中的操作的结果而被触发。例如，安全管理员可以使用速率限制来防止 L7 应用级攻击，例如 Slowloris 攻击，攻击者打开连接，然后拒绝发送数据，或发送数据太慢，以致于系统内存受到影响。这些攻击是可预测的，可以通过应用速率限制来防止。通过限制 URL 的每秒请求数，或限制请求可以持续的时间，来防止应用陷入不堪重负的境地。

DDoS 防护

NSX 应用交付利用其在网络中的位置，面对资源消耗型 DDoS 攻击（例如 SYN Flood 和 DNS 反射攻击）时提供有针对性的 DDoS 保护。在这些类型的攻击中，其目的不是用请求数量压垮被攻击系统，而是占用系统内部的资源并试图耗尽它们。这样的攻击者会打开一个连接，然后要么拒绝发送数据，要么发送速度太慢，以至于系统内存受到影响。

SYN 泛洪攻击

当用户第一次连接到 Web 服务时，必须发送一个 SYN 数据包来建立该连接。SYN Flood 攻击的工作原理是发送大量 SYN 数据包，这些数据包可以通过尝试建立过多的连接来淹没系统。

NSX 应用交付通过为服务设置一个 SYN 阈值来拒绝额外的连接尝试，并提供一个存储额外连接请求的 SYN 缓存，同时还提供了一个 SYN cookie，它通过为请求的来源做标记来作为缓解措施。

DNS 反射攻击

在 DNS 反射攻击中，攻击者将带有欺骗性原始 IP 地址的 DNS 查询发送到 DNS 服务器。请求数据包远小于将发送到欺骗地址的有效负载（例如网页）。攻击者可以以相对较少（成本很低）的传出请求流量触发对受害者 IP 地址的大量响应。攻击者利用的正是请求大小和响应大小的差异。

NSX 应用交付可以设置策略，来命令应用交付的数据转发平面丢弃所有意外的 DNS 响应。这种缓解方法可以节省资源并保护系统免受 DNS 反射攻击。

AV 恶意软件保护

每当向应用上传数据时，例如将 PDF 或 Word 文件上传到应用，恶意软件或勒索软件就会成为一种风险，因为攻击者可以上传恶意文件。NSX 应用交付通过互联网内容适配协议（ICAP）的防病毒扫描策略，提供防病毒（AV）恶意软件保护。通过智能路由应用流量，在不降低性能的情况下对恶意软件进行扫描。

用户认证

身份验证是信任的基础——确保用户可以访问正确的服务、应用和数据。NSX 应用交付的 SAML 与扩展授权策略的集成，可帮助客户实现对 HTTP 应用和其他请求资源的更细粒度的访问控制。身份提供者检查访问请求，通过验证请求访问的用户的身份、使用访问环境的风险评分得出的风险以及请求的上下文来确定对所请求资源的授权。

用户可以将 Okta、OneLogin 或 Idaptive 等公司的身份和访问管理软件与 NSX 应用交付的增强型 SAML 授权策略结合起来，以实现 HTTP 应用部署的高级安全并利用扩展的安全功能，例如：从单个授权用户数据库使用相同的用户名和密码单点登录（SSO）到 HTTP 应用。NSX 应用交付的增强的 SAML 授权策略支持多种多因素身份验证方法，例如 OTP、SMS、电子邮件和移动推送，以根据您的需求保护个人用户帐户和密码。

L7 防火墙策略

NSX 应用交付提供了一系列匹配/操作策略，可以管理 L7 流量，例如 HTTP 安全性、请求和响应。例如，普通的 L7 策略可能是将 HTTP 请求重定向到 HTTPS 以提高安全性。同时，NSX 应用交付提供的 L7 防火墙策略包括：

HTTP 安全：提供一系列匹配规则，包括客户端 IP、服务端口、协议类型、HTTP 方法和版本、路径、查询、标头、cookie、主机标头、位置标头、HTTP 状态和响应标头。例如，可以将策略设置为阻止一系列客户端 IP 地址或丢弃所有包含 cookie 的流量。

HTTP 请求：允许对HTTP 请求进行操作，这对于内容交换或在发送到服务器之前丢弃流量非常有用。

HTTP响应：可用于修改服务器的响应标头。例如，这可用于重写重定向。

L3/4 防火墙策略

NSX 应用交付还可以设置一系列 L3/4 策略来管理网络安全规则。NSX 应用交付允许用户创建特定于端口的安全规则，以防止特定行为者损害其站点和应用。这包括监控 IP 信誉，并通过过滤和网络安全策略，或对标头或内容使用地理过滤规则，来拒绝不良 IP。此处的操作包括允许和拒绝或速率限制。被拒绝的会话可以简单地被重置，或者在拒绝服务攻击的情况下可以“静默丢弃”有关的数据包。

L3/4 防火墙策略包括：

客户端 IP：匹配特定 IP 地址或地址范围的规则。例如，可以阻止信誉不佳的 IP 地址。

服务端口：可以修改虚拟服务正在使用的端口，或者可以限制和阻止访问。

加密

NSX 应用交付提供 TLS/SSL 加密和解密。NSX 应用交付控制器加密 TLS 密钥并将其安全地存储在数据库中。与具有默认 HAProxy 路由器的开源解决方案不同，TLS 证书密钥永远不会以明文形式存储在磁盘上或通过网络传输。

NSX 应用交付还与行业领先的 HSM 本地集成，用于自定义证书管理工作流、密钥存储和安全 TLS 握手。

总结

将应用安全堆栈与来自不同供应商的工具拼接在一起，会创建一个不匹配的框架，该框架永远无法扩展现代威胁的展开方式，也无法跟上当今 DevSecOps 环境的需求。相反，VMware 优化的应用安全管道和堆栈方法，通过简单的点击操作提供了“流水线式”的安全措施，这种方法以高性能和可见性，提供简化但完善的应用安全架构。

扫一扫，“码”上进群

-END-

本周互动话题

关于 VMworld 2021 China，你想了解什么？

点击右下角“写留言”

聆听你的声音

欢迎将文章分享到朋友圈不想错过消息就关注我吧

热读推荐

环手机+自驾床 7 日游有多香？

虚拟云网络专辑｜NSX 平台内的网络和安全功能构件

资讯｜VMware 最新研究揭示开发团队和安全团队之间日益加深的鸿沟

来源：威睿中国