谁来保护我的“应用交付”?

随着企业基于WEB的业务模式快速发展,IT管理者正在考虑这样一个问题:如何保障企业业务更加顺畅健康的发展?我们都注意到,应用交付技术可以解决业务连续性、扩展性的问题。然而每一种新的技术产生,都会带来新的挑战,应用交付也不例外。

最新映入我们眼中的是负载均衡技术。不可否认,负载均衡技术帮助我们完成了应用系统的优化,不过很快我们发现,单纯的负载均衡并不能称为“完整”的应用交付。

首先困扰我们的是DDoS,针对四层的TCP FLOOD、UDP FLOOD攻击还可以依靠传统防火墙来抵御,然而隐藏在合理应用访问中的HTTP FLOOD攻击,让传统的防火墙、IPS都很难发现并检测,而不加加以区分的负载设备,更是将攻击流量也分担到了服务器上。更可怕的是,应用交付自身被 DDoS攻击出现问题后,处于中枢调度的负载设备一旦出现故障,将导致网络整体瘫痪。事实上,在2012年,90%以上的电子商务网站都受到过DDoS的攻击,其中有三分之一的网站的网络受到较大影响。作为应用交付产品,我们需要更“安全”的负载均衡,能够识别攻击流量,将攻击流量阻止在交付给应用服务之前。

其次是WEB安全,应用层的安全面临多种挑战:Cookie伪装、非法扫描、SQL注入、跨站脚本攻击、缓冲区溢出。面对这些基于WEB频繁发生的攻击行为,应用交付产品首当其冲。七层应用交付产品工作在全代理模式,用户发送的访问请求会先在应用交付产品上截止,通过协议解析功能,应用交付系统能够识别应用协议的具体内容,理所当然的能够在与服务器建立连接前将攻击报文拦截下来,而不是不加区分的将合法请求与非法访问转发到后端服务器。

还有DNS攻击,在应用交付产品中,针对服务器的入站访问,都会通过应用交付的DNS解析功能。应用交付产品替代DNS服务器完成对域名的DNS解析及响应。事实上,近几年针对DNS的攻击屡屡发生,包括DNS FLOOD、DNS“投毒”。DNS攻击最频繁也最难于抵御,一旦攻击成功对企业的影响也是巨大的。比如,当我们打开网银时,却被错误的定向到钓鱼站点。行业调查显示,DNS和加密数据攻击影响了各个行业,每年给企业平均造成近70万美元的损失。DNSSEC技术可以有效的为域名解析提供安全防护,作为 DNS基础设施,通过将DNS安全能力集成在应用交付产品上,可以大幅度减少缓存投毒、域名劫持、中间人攻击和DNS FLOOD攻击的威胁。

最后是应用交付产品自身的安全。2012年,F5 BIG-IP被披露设备文件系统存在一组公开的SSH公私密钥对,利用该漏洞可以获得远程设备的管理权(CNVD-2012-12481),并能进一步发起针对相关网络的攻击。作为应用业务的核心,应用交付可以监控2到7层的完整信息,应用交付甚至可以将用户的文件缓存到其内存中。由此可见一旦应用交付产品自身出现安全问题,那意味着攻击者可以随意查看业务内容,随时修改、终止业务的传输,给用户带来的损失是毁灭性的。应用交付自身的安全无法依靠其他设备保证,这需要应用交付厂商在设计产品时就要考虑到足够的安全功能。

在我们眼中,作为完整的应用交付产品,负载技术是底座,应用加速是中坚,而传递到最终用户之前的则是可靠、效率与安全。

作为国内领先的信息安全厂商,启明星辰拥有完整的业务安全解决方案。从DDoS防御到WAF(Web应用防火墙),深厚的安全技术底蕴使启明星辰可以轻松应对各种安全问题。与传统信息安全厂商不同的是,启明星辰还拥有不逊于数据通信厂商的、构建高性能转发平台的技术能力,并对应用交付进行了持续深入的研究。因此,启明星辰可以将安全和应用交付进行完美的整合,让应用交付变得更安全。