Radware WAAP ShieldSquare Alteon Cloud Control Kubernetes WAF

跟進企業應用演進到微服務 實體設備商轉型上雲

意圖式行為分析揪風險 及早發現雲平台誤配置

2020-05-12
看重雲端平台已成為企業發展數位化應用部署的首選,實體設備製造商Radware不僅陸續把旗下應用交付控制器(ADC)、應用程式防火牆(WAF)等產品線部署到公有雲平台,日前透過收購ShieldSquare取得API與惡意機器人防護技術,並且針對時下最夯的Kubernetes設計提供WAF機制,以及自主研發Alteon Cloud Control(AC2)多雲管理平台,讓DevOps團隊得以藉此協同工作建立安全措施。

 

Radware亞太區雲端架構師詹凱富從實際接觸的客戶觀察,多雲環境已成常態,不管是私有雲或公有雲,都須具備統一控管平台,Redware在2020年將推出的AC2,主要協助解決數位轉型可能遭遇的問題,包含既有私有資料中心,演變成裸機部署虛擬化平台,或是直接部署到公有雲環境。

為多雲環境建立統一控管平台

企業IT環境的組合方式變得更多元,如何讓應用服務更有效率地調配在最佳位置,實際上DevOps團隊未必能提出標準答案。畢竟應用服務依照營運業務需求部署在裸機或公有雲環境,已無法延續一致性的組態配置,讓資源得以有效率的利用。

多數企業內部有自建虛擬化伺服器,可能同時也有採用Azure、AWS等公有雲平台,AC2可用於集中化管控伺服器負載平衡的元件。其中包含兩大關鍵特性,其一是可視性引擎,可介接取得公有雲與私有雲平台的資料,以確保應用部署時得以配置足夠運行資源。AC2單一控管平台只要點選設計執行工作流程,會自動換發成可在AWS或Azure雲端平台上執行的樣式,再匯入套用即可完成。

其二是GEL(Alteon Global Elastic License)授權模式,例如負載平衡的採購以吞吐量總量為單位,不限定部署數量,AC2可依照應用需求彈性配置;或是藉此配置WAF,派發一致的資安控管政策。

此外,DevOps團隊關注的持續整合與部署(CI/CD)流程自動化,可透過Terraform或Ansible,基於RESTful API方式呼叫AC2來執行部署,AC2會主動按照描述需求,讓ADC與應用服務綁定,提高配置的效率。

K8s WAF配置安全控管措施

當應用系統從單體式演進到微服務架構,改以Kubernetes搭建的平台為主,既有的資安設備控管措施變得難以介入,除非有方法掌握東西向流量。Radware近期提出的Kubernetes WAF,可納入持續整合與部署(CI/CD)流程,把以往在WAF累積的防護知識,轉移到Kubernetes環境。 「在Kubernetes叢集環境之中,是由主節點啟用Pod,在整合Radware技術之後,可納入安全控管政策,並且隨著應用程式異動更新。」詹凱富說。針對管理與可視性機制,Radware是提供API介接整合開源陣營中相當受歡迎的Grafana、Kibana等SIEM平台,餵入線上連線總數等相關數據,以圖形化方式呈現。

實際上,每個Pod底層有各自的執行個體(Instance),可直接運用Evony或NGINX的代理功能,Radware Kubernetes WAF也是獨立的執行個體,藉由整合Evony共同運行來掌握東西向流量。

在Kubernetes叢集環境中增添Pod運行應用服務其實不難,要考量的是,以往在地端的實體設備功能相當多,部署到Kubernetes環境時,必須精簡功能,同時符合最基本網頁應用程式防護需求。例如提供阻斷TCP、解析HTTP封包、特徵碼比對等方面,只是難以涵蓋完整的OWASP組織歸納的十大資安風險控管。

深度解析雲端工作負載風險環節 

針對現代化雲端應用安全不可或缺的API與惡意機器人防護機制,Radware是基於收購ShieldSquare取得的技術提供,運用意圖式深度行為分析(IDBA),以及其他高階機器學習模型來辨識複雜的自動化攻擊。

偵測機器人存取行為的機制,通常會藉由滑鼠游標移動的速度、鍵盤輸入、來源位置等指標進行辨識,詹凱富指出,最新的做法是掌握行為意向的能力,例如使用者登入購物網站時,通常會先瀏覽所有網頁,找不到商品時再利用搜尋功能查找,但是機器人爬取網站,最重要的任務是擷取產品價格,則是會著重在特定的區域。

意圖式深度行為分析首先是解析網頁型態與判別滑鼠游標移動位置,必須先嵌入JavaScript程式碼,藉此擷取用戶端的運算速度、滑鼠移動位置等資訊,並且建立獨一無二的識別碼,傳送到雲端服務平台,基於大數據運行機器學習演算分析,判別屬於機器人或人類的行為。若確定屬於機器人即可呼叫網頁系統執行攔阻。萬一行為模式可疑卻又無法確認的狀況,則發送圖靈測試(CAPTCHA),驗證後的結果會回饋到大數據平台,持續不斷地更新與學習人類的行為模式。針對iOS與Android作業系統等不會自動執行JavaScript的環境,Radware亦有提供SDK整合,同樣可達到意圖式深度行為分析。

另一項新服務是雲端工作負載保護(Cloud Workload Protection),只要在雲端平台上部署應用服務,即可稱為雲端負載,包含公有雲平台的SaaS,皆屬於此範疇。詹凱富說明,公有雲服務供應商的責任在於保障基礎架構安全性,至於運行的工作負載,也就是作業系統層以上的執行環境(Runtime)、中介程式,都必須由企業用戶自行保護。

詹凱富以一宗資料庫遭入侵並盜走超過二千萬筆客戶資料的實際案例說明,經過事後調查發現,攻擊者已經先行竊取可登入客戶部署在雲端平台上的虛擬主機,並且開始透過該帳戶新增API金鑰,之後提高登入帳號的權限,緊接著在Amazon S3雲端儲存環境中執行資料快照,一切都是合法操作。

Radware亞太區雲端架構師詹凱富指出,企業在公有雲平台上部署的應用服務逐年增加,勢必需要管理工具輔助維運與確保安全性,降低錯誤配置釀成的資安事故,正是雲端工作負載保護服務可協助之處。

Radware雲端工作負載保護服務可建立預防、偵測、回饋機制,啟用時會要求提供例如AWS Lambda執行環境的帳號,權限只需要開放讀取即可,藉此蒐集完整的Metadata,遞送到Radware雲端平台,讓機器學習演算分析大數據,應用人工智慧判讀資料內容的異常之處。最後產生報告,並且提供改善與強化的建議作法。

台灣相當多企業採用AWS雲端服務,往往難以掌握應用服務部署狀態,以及彼此之間的溝通行為,雲端工作負載保護服務設計的圖形化介面上可以呈現相關資訊,依照風險指數給予評分,最高等級為十分,管理者可優先檢查極具危險性的環節,或許是設定不當導致的風險性,依照系統提供的建議處置步驟排除問題。

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!