304 讀數

WAF 已不够：探索 AWS 网络安全的四大支柱

经过 Reblaze8m2023/07/20

太長; 讀書

Web 应用程序防火墙 (WAF) 长期以来一直是保护 Web 应用程序免受恶意攻击的主要安全解决方案。为了确保全面的网络安全，需要采取额外的措施来补充 WAF 的功能。在本文中，我们以 AWS 为例，讨论强大 Web 安全的四大支柱：WAF、DDoS 防护、API 安全和机器人管理。

featured image - WAF 已不够：探索 AWS 网络安全的四大支柱

在当今的数字环境中，网络安全对于依赖网络应用程序为客户提供服务并创造收入的企业来说至关重要。

Web 应用程序防火墙 (WAF) 长期以来一直是保护 Web 应用程序免受恶意攻击的主要安全解决方案。然而，当今不断变化的威胁形势需要更全面的方法。虽然 WAF 擅长检查和过滤恶意 HTTP 请求，但它们可能无法有效抵御更复杂和有针对性的攻击。为了确保全面的网络安全，需要采取额外的措施来补充 WAF 的功能。

在本文中，我们讨论强大 Web 安全的四大支柱，超越 WAF，包括 DDoS 防护、API 安全和机器人管理。我们探讨了每一种策略的优点和缺点，这将证明为什么一个强大的策略包括所有四种策略。

内容概述

以AWS为例
第一支柱：Web 应用程序防火墙 (WAF)
第二支柱：DDoS 防护
支柱 3：API 安全
支柱 4：机器人程序管理

以AWS为例

为了说明本文中的概念，我们将重点关注使用亚马逊网络服务 (AWS) ，尽管相同的概念也适用于谷歌云和微软Azure 。

第一支柱：Web 应用程序防火墙 (WAF)

为什么重要：如上所述，WAF 是 Web 安全的关键组件，旨在检查和过滤 HTTP/HTTPS 流量以识别和阻止恶意请求。 WAF 在防范常见 Web 应用程序攻击（例如 SQL 注入和跨站点脚本攻击 (XSS)）方面发挥着至关重要的作用。

AWS 上的可用性：Amazon 提供原生 WAF 服务 (AWS WAF)，允许组织为应用程序层安全性创建自定义规则和策略。许多第三方 WAF 还可用于过滤 AWS 工作负载的传入请求；其中一些甚至可以在 AWS 环境中本地运行。

为什么还不够：虽然 AWS WAF 为 Web 应用程序安全性提供了坚实的基础，但它也有一定的局限性。首先，它主要关注已知的攻击模式，这意味着它可能无法有效抵御零日攻击或新出现的威胁。其次，WAF 旨在识别基于恶意请求的威胁，但许多类型的攻击都是基于看似良性的请求。第三，与许多 WAF 一样，AWS WAF 要求用户创建和维护自己的安全策略和规则集，这可能具有挑战性。

解决其局限性：组织应考虑通过额外的安全措施（除了下面描述的其他支柱之外）来增强 AWS WAF。一些第三方 WAF 集成了威胁情报源，可以提供实时威胁数据和主动防御机制。这使组织能够领先于新出现的威胁，并加强对不断变化的攻击媒介的防御。

此外，实施先进的行为分析和机器学习算法可以通过检测异常和识别新的攻击模式来增强 WAF 功能。通过利用这些技术，组织可以提高其 WAF 的准确性和有效性，从而增强其整体 Web 应用程序安全性。

最后，一些第三方 WAF 可作为完全托管的 Web 应用程序防火墙解决方案。这减轻了客户组织创建和维护自己的安全策略的责任（这需要大量的时间和专业知识），因为供应商会为他们做这件事。

第二支柱：DDoS 防护

为什么它很重要： __分布式拒绝服务 (DDoS) 攻击__对 Web 应用程序构成重大威胁，有可能压垮服务器并破坏服务可用性。 DDoS 勒索是黑客中的一种流行策略，在受害者通常会收到大量流量和收入的情况下（对于攻击者而言）尤其有效。

AWS 上的可用性： AWS 通过 AWS Shield 提供内置 DDoS 保护，可防御最常见的大规模容量攻击。

为什么还不够：AWS Shield Standard 是免费的，但它不能提供针对 DDoS 的全面保护（例如，它不能防止第 7 层攻击）。大多数组织需要购买 AWS Shield Advanced，但价格可能很昂贵（基本费用为每月 3,000 美元，外加数据费和一年的承诺）。即便如此，它在保护 API 方面也遇到了麻烦，而且除了 AWS Route 53 托管区域之外，AWS Shield 无法保护混合/多云部署中的资源。

最后，AWS Shield 旨在缓解直接的容量攻击。它并不是为了防御更复杂的策略（例如 yo-yo DDoS 攻击）而设计的，这些攻击旨在对受害者造成最大的经济损失，同时最大限度地减少攻击者消耗的资源。

解决其局限性：组织可以考虑使用利用先进检测算法和流量分析的 DDoS 缓解解决方案来增强或替换 AWS Shield。这些解决方案提供实时监控和缓解，能够主动识别和消除不断发展的 DDoS 威胁。它们通常具有较低的成本结构（尤其是包含 DDoS 防护作为综合平台一部分的一体化解决方案），并且大多数将支持混合和多云架构。

此外，如上所述，完全托管的解决方案有助于抵御复杂的攻击，例如人为策划的溜溜球、资源耗尽（可用于对抗无服务器的策略）和其他策略，因为供应商的安全团队将监控并在事件发生时做出响应。

支柱 3：API 安全

为什么重要：由于多种原因，API 已成为无缝集成和数据交换的关键组件，包括云计算的普及、微服务架构的盛行、移动应用程序数量的增加等。随着 API 流量的增长，保护 API 免受恶意活动变得至关重要。

AWS 上的可用性：AWS 提供 AWS Identity and Access Management (IAM) 和 Amazon API Gateway 等服务。 IAM 使组织能够管理对 AWS 资源的访问，而 API Gateway 提供身份验证、授权和流量管理功能。

为什么这还不够：为了保护他们的 API，AWS 用户应该将 AWS WAF 与 API Gateway 一起使用。这意味着 AWS WAF 的限制也适用于 API 安全。事实上，在这种情况下使用时实际上存在更多限制。例如，在某些情况下，AWS WAF 使用浏览器质询和验证码来验证传入请求，但这些不能应用于 API 流量。

解决其局限性： AWS 用户可以使用其他工具增强 AWS 的本机安全功能。一些第三方安全解决方案包括用于保护 API 流量的广泛功能，其有效性与 Web 应用程序流量相同，不仅用于过滤恶意请求，还用于相关功能，例如细粒度访问控制和全面的流量可见性和日志记录。有些甚至更进一步，在某些情况下利用额外保护的机会，例如通过提供 SDK 来为移动应用程序流量添加额外的强化。

支柱 4：机器人程序管理

为什么它很重要：网络上机器人的盛行给组织带来了重大挑战。虽然一些机器人服务于合法目的，但其他机器人则被部署用于恶意活动，例如帐户接管、内容抓取和撞库。平均而言，约 38% 的网络总流量由恶意机器人构成。

WAF 等传统网络安全技术并非旨在检测恶意机器人，因为大多数形式的自动流量都会伪装成合法用户。通常，各个请求看起来是良性的（因此可以避免过滤）。他们的恶意目的只表现在他们的集体行动中。例如，库存拒绝机器人似乎是进行购物活动的合法客户；然而，这些“顾客”实际上从未购买过任何东西。相反，他们采取的措施使合法客户无法获得库存（例如将商品放入购物车、完成旅行预订的初始步骤等，但从未完成交易）。

AWS 上的可用性： Amazon 提供 AWS WAF 机器人控制，这是 AWS WAF 的托管规则集。

为什么这还不够：作为 AWS WAF 的附加组件，Bot Control 包含与上述相同的限制。然而，当试图将恶意机器人排除在 Web 应用程序和 API 之外时，这些问题会被放大，因为在所有形式的 Web 攻击中，最复杂和精密的攻击往往是由机器人发起的。例如，AWS 的速率限制功能缺乏精确性，因此很难完全阻止执行撞库和其他形式的 ATO（帐户接管）攻击的机器人。不完整或延迟的流量可见性可能会阻碍客户充分了解其网络资产中的机器人活动，或阻碍微调安全策略以减少误报和误报警报。必须编写和维护复杂的安全策略会增加出错的可能性。等等。

接下来，使用机器人控制会产生额外的使用费用。与 AWS WAF、AWS Shield Advanced、AWS API Gateway 等成本结合起来，客户可能面临相当高的月费。

最后，AWS Bot Control 的基本（“通用”）层依赖于识别机器人流量的简单方法（主要是请求的用户代理，以及 IP 地址是否被列入黑名单）。威胁行为者可以轻松逃避基于这些标准的检测。为了获得更好的机器人检测，客户组织必须购买顶级（“目标机器人”）层，其成本甚至更高（但仍然难以识别最新一代的规避机器人）。

解决其局限性：一般来说，恶意机器人缓解可能是维持稳健安全态势最具挑战性的方面。因此，在本文讨论的四大支柱中，克服 AWS 原生工具的固有限制是最重要的。

许多第三方 Web 安全解决方案包括超越 Amazon Web Services 的爬虫程序管理功能。这并不奇怪； AWS 的业务是销售云资源的访问权限，并提供安全工具只是为了鼓励这些资源的消耗。相反，网络安全供应商致力于创建强大、有效的安全解决方案。

在评估机器人管理方面的 WAAP（Web 应用程序和 API 保护）解决方案时，主要考虑因素是上面已经讨论过的那些。最好的机器人管理解决方案将使客户能够精确定义安全策略，以完全可见性实时查看和控制其流量，并利用机器学习和行为分析等强大技术。

此外，许多组织将需要完整的管理选项，以便他们可以由安全专业人员团队配置和维护网络安全防御，而不是要求内部员工担任此角色。