0411360安域Web应用云安全管理系统V20技术白皮书V10.docx
《0411360安域Web应用云安全管理系统V20技术白皮书V10.docx》由会员分享,可在线阅读,更多相关《0411360安域Web应用云安全管理系统V20技术白皮书V10.docx(24页珍藏版)》请在冰点文库上搜索。
0411360安域Web应用云安全管理系统V20技术白皮书V10
360安域Web应用云安全管理系统
——技术白皮书
█文档编号
█密级内部使用
█版本编号V1.0
█日期2016-2-15
█版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。
任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
█版本变更记录
时间
版本
说明
修改人
2016-2-15
V1.0
创建
陈晨
█适用性说明
本模板用于撰写360企业安全集团中各种正式文件,包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。
第一章引言
近年来,我国互联网市场规模和用户数量高速增长,随着云计算技术迅速兴起、信息化的普及,越来越多的企业走进“互联网+”,大量的金融、游戏、电子商务、电子政务、OA系统等网站业务陆续上线。
但与此同时,我国的网站仍然存在较多的漏洞风险,Web服务日益成为网络攻击的重点目标,DNS攻击、暴力破解、零日漏洞利用、APT攻击依然让网站弱不禁风。
传统的Web安全解决方案通过WAF等安全设备的堆叠来进行安全防护,这已经无法解决企业面临的网站安全风险。
随着Web应用的蓬勃发展,网站面临的安全问题也层出不穷,主要有如下几个方面:
Ø网站漏洞的风险
漏洞攻击依然是Web攻击最常用的攻击手段,一方面网站编写人员本身缺少安全意识,代码校验性差,极易被渗透;一方面Web服务器存在安全漏洞,网站由于承载企业关键业务,补丁修复存在时间差,出现防护空窗期,从而被黑客恶意渗透。
针对零日漏洞的攻击使得传统的安全设备全部失效,企业一旦应急响应不及时,将带来灾难性后果。
Ø拒绝服务攻击
攻击者不断分析挖掘出更多的可以被利用的网络协议来躲避安全设备检测,如tcp-flood、udp-flood、icmp-flood、http-flood,同时增加攻击威力,突破防护设施。
大量肉鸡上的攻击脚本将成为发起攻击的主要工具,随着攻防对抗的日趋激烈,单个攻击事件的峰值可能突破1Tbps,传统的流量清洗设备已经无法承担如此巨大流量的清洗工作。
Ø域名的安全问题
针对域名系统的攻击呈现频繁态势,攻击者对网站域名服务器进行拒绝服务攻击,DNS无法解析正常请求,从而造成拒绝服务,这种攻击方式成功的绕过了传统的安全防护体系,用户本地构建的防御体系无论多么固若金汤,也无法对域名服务器进行任何的安全防护。
Ø应急响应速度慢
当攻击威胁发生时,传统安全设备由于没有态势感知能力,无法进行提前预警。
安全防护时依靠特征库进行升级完成,在更新完成前造成防护空窗期,攻击发生时无法告警。
更新完成后,由于应用层漏洞规则的复杂性,对运维人员更新动作带来困难,增加运维难度。
Ø多产品统一管理
传统的Web安全方案通过设备堆叠的方式进行Web安全防护,企业用户需要投资Web应用防火墙、Web扫描器、流量清洗设备、网站监控设备等多种安全设备,安全设备的统一管理带来很大的运维压力,并且企业的安全投入成本大大增加。
第二章产品综述
2.1产品设计目标与价值
360安域Web应用云安全管理系统旨在解决企业的网站安全问题。
提供了云防护、云清洗、云加速、云监控、云扫描、云服务的云安全能力,由360云端强大的带宽和服务器作为资源支撑,保障企业Web应用的稳定性和连续性,为用户提供一套“事前预警+事中防护+事后服务”的网站安全解决方案。
2.1.1产品设计目标
2.1.1.1解决网站漏洞的问题
360安域Web应用云安全管理系统采用360云WAF防护技术,针对跨站脚本攻击、Sql注入、Web服务器漏洞、Web插件漏洞、命令行注入等攻击进行检测与实时防护。
另外,360补天漏洞平台是360搭建的零日漏洞收集平台,安域Web应用云安全管理系统可以和补天平台联动,在补天平台发现零日漏洞后推送给安域Web应用云安全管理系统进行防护。
2.1.1.2解决拒绝服务攻击的问题
360安域Web应用云安全管理系统采用云清洗的方式应对拒绝服务攻击,拥有近Tbps级的防护带宽。
并且具备对应用层DDOS的攻击防护能力,5秒内智能识别DDOS攻击流程自动开启流量清洗,对出、入流量进行限制,可抵御各种拒绝服务攻击。
2.1.1.3解决域名服务器的安全问题
攻击者利用大量肉鸡上的攻击脚本对网站的DNS服务器进行拒绝服务攻击。
360安域Web应用云安全管理系统采用高防DNS集群设置,在全国部署多个DNS解析服务器,在DNS解析时采用负载均衡的算法,可有效抵御10G-100G不同等级的DNS拒绝服务攻击。
2.1.1.4解决应急响应慢的问题
360安域Web应用云安全管理系统拥有云监控的能力,通过全国部署的监测点对用户网站进行实时监测,可分别支持电信、联动的线路,一旦发现网站异常,可通过邮件、短信、页面告警的方式通知用户,安域专业运维专家可在第一时间为用户排查问题。
2.1.1.5解决多产品统一管理的问题
360安域Web应用云安全管理系统是一套集合云防护、云清洗、云监控、云扫描、云加速、云服务与一体的云防护平台,提供了一套完善的“预警+防护+运维+加速+服务”的网站防护体系,用户只需要在安域管控平台上即可进行所有防护的策略配置。
2.1.2产品价值
2.1.2.1零日漏洞攻击防护
补天平台是面向全国的零日漏洞搜集平台,目前已经发现漏洞73000多个,白帽子数量19000多人,具备强大的零日漏洞发现能力。
补天平台和360安域Web应用云安全管理系统强强联合,补天平台发现零日漏洞后可在第一时间推送给安域进行安全防护,有效防护零日漏洞攻击。
2.1.2.2全面抵御DDOS攻击
360安域Web应用云安全管理系统拥有强大的云端资源,全国21个不同运营商IDC节点,企业级防护DDOS的设备,全国近Tbps级的带宽储备,智能流量清洗算法,对流量型DDOS、连接型应用层DDOS,360安域Web应用云安全管理系统都可进行全面的攻击防护。
2.1.2.3完善的网站防御体系
针对DNS服务器的攻击逐渐兴起,传统的网站安全方案无法对DNS进行安全防护。
360安域Web应用云安全管理系统利用云端防护能力,在全国部署多个DNS解析服务器,在DNS解析时采用负载均衡的算法,可有效抵御10G-100G不同等级的DNS拒绝服务攻击,完善网站防御体系。
2.1.2.4顶级的运维服务能力
360安域Web应用云安全管理系统拥有强大的监控和运维能力,全国多个监测点实时进行网站监控,发现问题时,可通过短信、告警、邮件的方式通知用户,提高了应急响应速度,安域具备7*24小时的安全专家团队,由具备多年网站运维经验的Web安全专家进行问题排查。
2.1.2.5降低安全投入成本
360安域Web应用云安全管理系统依靠360云端强大的资源,集应用层防护、流量清洗、网站监控、网站扫描、网站加速、安全服务与一身,为用户提供一套完善的网站安全体系,用户无需再采购传统安全方案中的多种硬件设备,大大降低了安全投入成本。
2.2产品原理介绍
2.2.1协同防御技术
2.2.2.1协同防御技术原理
360安域不仅承载了众多企业的网站安全防护,也有几十万个人站点接入了安域的云防护系统,庞大的用户群里使安域每天会抵御百万次的黑客攻击,这使得安域获得了一个巨大的攻击数据库,通过对这些攻击大数据的详细分析,可以精确预警攻击源头,从而对其他站点进行协同防御。
协同防御流程图如下:
黑客在攻击站点A和站点B时,安域云防护平台进行安全防护。
防护过程中获取了黑客攻击的信息,通过对黑客攻击频率、攻击周期、攻击方法的综合分析,判断攻击源头为恶意IP,一般都是黑客控制的肉鸡网络,安域云平台对恶意IP进行全网拦截,为其他接入到安域云平台的站点进行安全防护。
2.2.2.2协同防御技术优势
传统的Web安全解决方案在企业用户本地构建防护体系,通过Web安全设备的堆叠达到安全防护的目的,看似固若金汤,但在黑客发动攻击时,仍然是安全孤岛,单一作战,攻击趋势无法预警、应急响应速度缓慢、规则更新出现空窗期,这给黑客们提供了太多的时间和空间进行攻击。
协同防御技术是集合了云防护技术和大数据分析技术的防御结晶。
通过对攻击源攻击的多维度属性进行综合分析,确定攻击源为恶意肉机,进而快速推动安域全网安全平台对肉机的安全封锁。
以实现攻击提前预警、防护规则瞬间更新、运维零难度等优势。
2.2.2流量建模技术
2.2.2.3流量建模技术原理
CC攻击是DDOS攻击的一种攻击类型,依靠模拟大量HTTP协议的请求对网站进行潮水攻击,造成拒绝服务。
安域云防护平台通过对CC攻击时的流量属性进行自动建模,当超过模型负载时,将采取防护动作。
流量建模流程图如下:
黑客向站点A发起CC攻击,站点A接入安域云防护平台进行防御。
安域云防护平台接到CC攻击后,根据CC攻击的URL、攻击源、攻击频率等属性进行安全分析和安全建模,当轻度超过安全模型时,通过返回JS的方式进行防御;当中度超过安全模型时,通过返回验证码的方式进行防御;当严重超过模型时,通过封禁攻击IP的方式进行防御。
2.2.2.4流量建模技术优势
传统的流量清洗方案通过手动配置阈值的方式触发流量清洗动作,但是运维人员很难估算当前某个页面的正常请求数量是多少,一旦配置不符合现状,将会导致服务器和流量清洗设备高负载,降低性能。
安域的流量建模技术,通过对CC攻击流量属性的学习,自动建立一套安全模型,可在短时间内实现自动防御动作,既保证了防护的准确性和实效性,也降低了运维难度。
2.3产品组成与架构
2.3.1产品架构
360安域Web应用云安全管理系统由管控平台、防护平台、缓存中心、负载均衡集群四部分组成,产品架构图如下图所示:
2.3.2管控平台
管控平台是安域云防护平台的管控中心,提供用户对站点的安全配置的统一管理,采用B/S架构。
通过对用户站点的导入,将用户站点接入到安域云防护平台中,提供对攻击防御、云端扫描、云端监控、缓存加速、告警设置、访问控制、系统升级的配置接口。
支持当前站点的防护报表、监控报表、扫描报表。
并且以周为单位输出安域的网站安全报告,为用户的安全配置提供依据。
2.3.3缓存平台
缓存平台是安域云防护平台加速功能支撑平台。
支持对JS、CSS、图片、html等网站静态资源的缓存,定期与源站进行数据交互,更新缓存资源,同时优化缓存文件,压缩减少网络传输时间。
在客户端请求静态资源时,通过缓存平台支撑静态资源的应答,提高页面访问速度,节约站点资源。
2.3.4防护平台
防护平台是安域云防护平台的防护中心,提供全网的安全防护能力。
通过深度包检测技术对Web攻击行为进行安全检测并且实施拦截,同时具备针对CC攻击的单独防护模块。
通过对防护大数据分析后确认的黑客攻击源,开启全平台对黑客源的安全封锁,实现协同防御。
2.3.5负载均衡中心
负载均衡中心是安域云防护平台对网站流量的调度中心,对接入安域云防护平台的流量进行负载均衡,通过IP哈希、URL哈希、负载轮询相结合的方式,将流量快速的、平均的、准确的过渡到后方防护平台,同时对流量型DDOS攻击提供安全防护。
2.4产品模块间数据流程
2.4.1产品模块间数据流程
360安域Web应用云安全管理系统分为四个部分,管控平台、缓存平台、防护平台、负载均衡中心。
模块间流程图如下:
管控平台是安域云防护平台的控制中心,可进行安全防护以及缓存类型的安全配置,安全策略通过加密协议传输给防护平台以及缓存平台生效,防护平台和缓存平台上报防护日志以及缓存日志。
负载均衡中心把客户端请求的流量进行负载均衡,把流量迁移到防护平台进行防护。
缓存平台对站点的静态资源进行缓存,在客户请求时依次发送给防护平台、负载均衡中心直至返回到客户端。
2.4.2产品子模块间数据流程
360安域Web应用云安全管理系统通过云防护的模式进行Web攻击检测,其攻击流程图如下:
安域云防护平台承载了众多企业用户的站点应用,企业网站应用进入安域云防护平台后,首先进入安域云防护平台的负载均衡中心,负载均衡中心根据之前的全平台的防护结果,获取已经确定的攻击源或者白单名源,进行拦截和放过,过滤后的流量进入负载均衡,通过URL哈希、IP哈希、轮询的组合方式,将HTTP请求均衡负载到后面云防护平台的服务器上。
HTTP请求负载到防护平台上,防护平台先进去自我保护模块,判断请求行为是否是针对云防护平台的攻击行为,如果是则进行拦截,如不是则进入防护平台黑名单模块进行攻击源的封禁。
对于无法判断的HTTP请求,则进入WAF模块进行特征检测、CC模块进行应用层流量清洗。
然后将清洗过的流量送入缓存平台。
缓存平台是站点加速的主要模块,它的作用是加速静态资源的访问速度,降低站点负载压力。
从云防护平台接入的流量是经过清洗的正常流量,缓存中心通过对请求、应答的分析,将站点静态资源缓存下来,在下次同样的请求时直接提供缓存进行应答。
缓存更新的周期和文件类型用户可以自己设定,缓存文件根据空间、文件大小、冷热数据等维度进行淘汰。
2.5产品组件规格说明
安域云防护平台是一个综合的云防护平台,以Saas服务的方式进行销售,用户无需再本地部署任何硬件以及软件,购买后安域会提供云端管控平台账号,用户登录管控平台进行产品管控。
产品规格如下表:
产品功能
产品规格
云抗DDOS
10G
20G
30G
云抗CC
10000Q/S
25000Q/S
50000Q/S
高防DNS
30G
50G
80G
安域云防护平台所有功能都以根域名为单位。
云抗DDOS的规格分别是10G、20G、30G,如有超过30G规格的需求请和产品经理联系。
云抗CC的规格是10000Q/S、25000Q/S、50000Q/S,“Q/S”是HTTP请求/秒,即在单位时间内,HTTP的请求数量。
高防DNS的规格为30G、50G、80G,如有超过80G规格的产品需求请和产品经理联系。
第三章功能模块详述
3.1管控中心详述
3.1.1管控中心设计目标/产品价值
管控中心是360安域Web应用云安全管理系统的控制中心。
用户通过登录管控中心对安域进行管理控制,主要功能有站点的添加和编辑、多种报表的创建、告警的查询、安全策略的配置、系统的配置等。
管控中心的设计目标:
管控中心采用B/S架构,用户可以在任何时间、任何地方通过浏览器进行访问,访问需要验证手机验证码。
用户修改DNS后,通过管控中心内进行站点配置,即可对防护站点进行安全策略配置。
产品框架采用了两级页面设计,以满足易用性的需求,任何功能通过三次点击可达。
管控中心根据业务要求,将安全模块进行拆分,每个功能主体均有单独的配置模块,以完成对站点的安全配置。
3.1.2管控中心原理
管控中心分成四个模块组成。
网站管理用户添加、编辑站点的模块。
用户可以在这个模块进行站点的添加、删除、更新等操作。
数据报表模块是用户通过安域查询报表的模块。
该模块用于生成防护报表、监控报表、扫描报表,定期输出站点安全周报,根据全平台搜集到的攻击防御数据,对全国的攻击态势进行可视化分析。
告警中心模块是安域云防护平台的监控展示平台,通过云平台对安全站点的监控结果,定期输入到监控中心进行安全展示。
系统设置模块是安域云防护平台的策略中心,用户通过在该系统设置模块中对防护策略、扫描模块、监控模块、缓存配置、告警配置进行设置,管控中心将策略下发给防护平台生效。
所有管控中心与防护平台、缓存平台的交互都在IDC中内部交互,并且采用加密协议,保密性极高。
3.1.3管控中心组成与架构
管控中心作为360安域Web应用云安全管理系统的管控模块,采用nginx代理技术,为用户提供安全管控的能力,其系统架构图如下:
云扫描、云监控模块将扫描、监控日志缓存在Redis数据库中,为扫描报表、监控报表提供数据支撑,数据先存储在Redis中,然后以Log的形式录入前台Nginx,Nginx依靠卓越的性能支撑前台的界面展示,然后通过后台下发升级命令、安全策略给其他云端后台服务器。
3.1.4管控中心数据流程图
管控中心模块数据流程图如下:
安域管控中心通过自身数据接口直接调用云端数据库,包含了云监控、CC攻击防护、Web漏洞攻击防护的统计数据,同时,通过云扫描提供的API直接获取扫描报告并以文件形式存储在本地。
3.1.5管控中心性能说明
管控中心由360安域Web应用云安全管理系统提供,不需要用户在本地部署任何硬件、软件,无需提供任何带宽和系统资源。
3.1.6管控中心通信模型说明
安域通过WAPIS模块监控实时分析域名接入状态,并调用自身API在云端直接控制缓存cache、数据处理和WAF防护配置,云端调度中心集中处理域名缓存、Web漏洞攻击防护和CC攻击防护,自动化处理DDoS流量的清洗,并通过WAPIS模块集中管理各个防御节点。
安域管理平台还会直接调用云监控和云扫描提供的API。
5.2.1
5.2.2
5.2.3
5.2.4
5.2.5
5.2.6
5.2.7
3.1.7管控中心详细功能介绍
3.3.8.1网站管理
用户修改DNS指向后,采用NS或者CNAME的方式接入安域云防护平台。
通过在网站管理中配置用户的域名以及接入方式,使站点防护功能生效。
在网站管理模块首页可以看到当前用户加入安域云平台的所有站点的整体态势,包括防护状态、监控状态、扫描状态、创建人等。
3.3.8.2监控告警
在数据报表模块用户可以查询到三种报表。
防护报表展示了当前防护站点的防护状态,包括访问的IP数量、攻击数量、CC攻击去年、Web攻击曲线,各种Web攻击分类。
监控报表提供了当前站点的云监控情况,通过电信、联通等全国多个检测节点,对用户站点进行可用性监控。
扫描报表提供了对当前防护站点的扫描结果,包括扫描出来的漏洞等级、漏洞类型、漏洞说明以及漏洞细节。
数据报表模块可以以一周为一个周期提供安全态势周报,对一周内安全攻击进行总体的安全汇报,包括Web漏洞攻击趋势、攻击网站类型、CC攻击趋势、Web攻击方式等。
同时全国攻击数据进行可视化,可以简单明了的发现全国的威胁态势。
3.3.8.3告警中心
告警中心是当前防护站点监控结果的查询模块,用户可以在该模块上查询到站点出现的异常情况,属性包括异常发生的时间点、当前站点状态、异常原因、监控对象、持续时间、检测点等。
3.3.8.4系统设置
系统设置是用户对安域进行策略配置以及系统配置的模块。
在防护设置中,用户可以配置当前防护策略。
包括Web防火墙的开启与关闭、采用标准防护还是高级防护,网站泄密的开启和关系,DDOS/CC防护的开启和相关配置,验证码保护机制的开启和关闭,白名单配置。
在扫描设置中,用户可以对防护站点的扫描进行安全设置,包括扫描压力、发送报告的邮箱、扫描漏洞属性、扫描的安全站点。
在监控设置中心,用户可以根据自己的需求修改监控的方式,包括监控频率、请求方法、匹配方式,还可以设置网站响应时间以及监测点异常数量等条件。
在缓存加速中,用户可以自定义缓存文件类型以及缓存的时间,自动控制缓存刷新时间,支持浏览器加速以及页面压缩加速,同时支持用户自定义黑、白缓存URL。
用户可以根据自己的需求配置告警发送的告警组,告警方式支持邮件告警以及短信告警。
访问控制是为用户提供了自定义黑白名单的功能,用户可以根据自己的需求,通过域名、URL、IP、时间段等维度设置黑白名单。
同时支持对User-Agent中的关键字进行识别,进而采取封禁和解封操作。
系统升级时安域的更新模块,用户可以配置安域云防护平台管控中心的升级方式,支持自动升级以及手动升级方式。
3.2缓存平台详述
1
2
3.2.1缓存平台设计目标及价值
缓存平台是360安域Web应用云安全管理系统的缓存中心,主要承担静态页面资源的缓存任务。
缓存平台设计目标:
采用集群的部署方式,可对JS、CSS、图片、Html等文件进行缓存,支持用户手动更新缓存。
3.2.2缓存平台原理
缓存平台通过站点的应答缓存静态资源,为网站降低资源消耗,支持浏览器缓存加速以及页面加速方式。
针对特定的ULR可以设置缓存黑白名单。
缓存后的更新动作依据用户的多个维度,包括文件优先级、缓存空间大小、文件大小、冷热数据等。
3.2.3缓存平台组成与架构
缓存平台的模块组成图如下所示:
缓存平台主要是提供静态资源缓存的作用,在流量经过缓存平台时,缓存平台自防护模块对自身提供防御,之后开始进行缓存动作。
缓存的淘汰机制由优先级缓存分析、缓存空间分析、冷热数据缓存分析、文件大小分析四个维度进行缓存淘汰,确保站点缓存空间的可用性于延续性。
3.2.4缓存平台模块数据流程图
缓存平台的数据流程图如下:
用户请求通过方向代理分发到各个缓存节点,每个节点根据请求的内容和该域名的缓存设置选项的不同,如果是静态数据且缓存时间未过期,则直接返回静态数据;如果是动态数据或者静态数据但过期则直接回源。
3.2.5缓存平台性能说明
缓存平台是由360安域Web应用云安全管理系统后台支撑,在全国多个区域中部署了超过100台以上的缓存服务器,不需要用户在本地部署任何硬件、软件,无需提供任何带宽和系统资源。
3.2.6缓存平台通讯模型说明
缓存加速由云端调度中心控制其防御/加速节点进行,各个节点的cache模块自动缓存所接入域名的目录和文件,并通过WAPIS模块接受调度中心的管理,实时对各个节点进行流量管控。
同时,安域管理允许用户自定义缓存相关策略,并通过云加速API分发到各个节点。
3.2.7缓存平台详细功能介绍
缓存平台是360安域Web应用云安全管理系统的缓存中心,主要承担静态页面资源的缓存任务,缓存平台采用集群的部署方式。
可对JS、CSS、图片、Html等文件进行缓存,缓存时间可以自定义,支持用户手动更新缓存。
缓存平台通过对客户端浏览器缓存设置的修改,提供浏览器加速的能力,用户无需请求服务器即可完成对站点的访问。
缓存平台还支持页面加速的能力,通过优化Html、CSS、JS等文件、同时进行压缩减少网络传输时间,提高页面的加载速度,减少了响应时间。
缓存平台可以根据用户需求对特定的ULR可以设置缓存黑白名单。
缓存后的更新动作依据用户的多个维度,包括文件优先级、缓存空间大小、文件大小、冷热数据等。
3.3防护平台详述
3
3.3.1防护平台设计目标及价值
防护平台是360安域Web应用云安全管理系统的防护中心,提供云防护、云清洗的安全防护能力。
3.3.2防护平台原理
防护平台具备云防护、云清洗的安全防护能力。
通过对请求报文的深度包检测,进行协议还原,依靠云平台的安全特征库进行特征匹配,一旦确认匹配成功则确认为攻击事件,进行拦截。
对于CC攻击的流量,防护平台根据CC攻击的攻击源、攻击URL、攻击频率等信息进行流量自动建模,超过安全模型后自动开启安全防护,防护手段包括返回JS、图片验证、IP封禁。
3.3.3防护平台组成与架构
防护平台的模块架构图如下:
防护平台在接受负载均衡中心的流量时,先回进行自防御模块过滤,之后根据黑白名单进行封禁与放过控制,对于灰色流量则分别进入WAF防御模块与CC防御模块进行检测,对于出发规则的请求进行拦截并且上报日志给管控中心。
缓存平台提供静态缓存给防护平台,防护平台转发静态资源给负载均衡中心。
3.3.4防护平台模块流程图
缓存平台的数据流程图如下:
WAF和CC数据由各个防御节点中WAF组件内置的scribeagent采集
升级会员 