如何保证云上业务高可用性的同时系统不被入侵

（文章来源：CSDN）

如今，电子政务、电子商务、网上银行、网上营业厅等依托Web应用，为广大用户提供灵活多样的服务。在这之中，流量攻击堪称是Web应用的最大敌人，黑客通过流量攻击获取利益、竞争对手雇佣黑客发起恶意攻击、不法分子通过流量攻击瘫痪目标后勒索高额保护费，往往会对业务造成严重损害。

对于开发者和企业网站管理人员来说，数据爬取、暴力破解和撞库等Web攻击手段日益复杂，均需要建立强大且实时的防御能力，避免业务乃至企业因防护脆弱“失血过多”而死。部署WAF成为公认的最基础且有效的防御手段，但由于攻击手段的多样化和企业业务的复杂性，传统的本地部署WAF已经越来越难以发挥预想的防御效果。

云WAF恰恰能够解决本地部署WAF的缺陷，成为大量中小型企业以及个人网站的新选择。云WAF部署简单、维护成本低，无需安装任何软件或者部署任何硬件设备即可将网站部署到云WAF的防护范围之内。云WAF的防护规则都处于云端，新漏洞爆发时，由云端负责规则的更新和维护，用户无需担心因为疏忽导致受到新型的漏洞攻击。

在日常的部署中，网站负责人员如何选择与自身业务属性和发展规划匹配的云WAF产品？如何确保其能够为现阶段业务提供高可用的产品与服务？又如何为未来业务发展中安全防护的持续性和可扩展性做好冗余？目前的Web应用逐步API化，除了传统的Web攻击，API的安全问题、网络中的机器人流量的问题也日趋严重，Web应用安全从传统的SQL、XSS防护等，逐步开始向***机器人行为防护等防护技术过渡。

在Web攻防实战中最受关注的有四种攻击方式：一是植入webshell，控制管理后台然后拖库；二是Web内容被恶意替换成违法违规的图片和文字；三是挂入黄赌网页、***或跳转页面等倒量引流；四是竞品发动DDoS攻击致使业务瘫痪。

攻击技术、漏洞披露等日趋成熟，特别是针对Web安全相关漏洞的利用日趋产业化，企业需要更加重视如何在安全运营中进行快速响应，构建与之适应的安全运营体系。企业首先应该做好自查，全面完整的自我了解是企业实现Web应用安全防护的基础。同时，更应该尝试和接纳新兴技术，以显著提高对新型威胁和未知威胁的检测、防御效果。

某旅游网站被爆全网站2100万条“真实点评”中有85%的评论是通过爬虫 Bot 机器人程序从竞争对手平台抄袭而来，“点评抄袭造假”的舆论风波一时骤起，使网站深陷质疑；同年2月，某视频网站遭遇大量原创内容和用户数据被非法网络爬虫盗取侵权；航空公司遭爬虫恶意低价抢票等事件层出不穷，无一不在挑战着各行业网站业务的安全防线。

传统上用于检测和防护恶意BOT流量的访问频率限制、IP黑名单设置、CAPTCHA验证人类用户等方法和规则已无法有效应对不断升级的威胁形势。而从BOT实际运作的模式不难看出，BOT（机器人行为）访问流量的好坏实际是由实际操控者所决定。如何对网站访问的BOT流量进行有效行为甄别与安全管理，成为各行业开展线上业务共同面临的安全挑战，是全网发力破解的重要痛点之一。

针对BOT行为友好与恶意杂糅并存的特征，企业在防御恶意BOT流量访问与攻击时，不应采用“一刀切”简单方式进行封堵，而应在精准区分BOT程序和人类访问流量、友好BOT和恶意BOT流量的基础上，形成差异化响应策略，助力企业真正实现高效防护恶意BOT流量攻击的目标，继而夯实全网Web安全线。

基于“精准流量监测技术是解决恶意BOT攻击识别问题关键”的基本思路，腾讯云WAF上线了基于“规则+AI”双引擎，打造的BOT行为管理解决方案，可帮助企业有效甄别友好及恶意机器程序并采取针对性流量管理策略。策略思路方面，该方案主张采用温和管理而非直接杜绝的策略，以在保障友好BOT运行的前提下，确保风险管控响应的精准性。

SaaS模式的WEB应用安全产品凭借其便捷的应用部署、灵活的订阅方式、强大的可扩展性、轻量的运维负担等诸多优势，越来越普遍地被企业级客户，尤其是网络运维人员紧缺、安全预算有限或业务变化较快的中小型企业所接受，成为企业构建业务安全防护体系时的一项重要选择。

国内主要公有云和私有云服务提供商均为租户提供了全面的云原生安全防护产品，用户可以很便利地按需订阅符合自身业务需求的Web应用安全产品。同时，在公有云/私有云平台的云市场中也提供了第三方安全厂商专为云平台打造的虚拟化Web应用安全产品，企业用户可以灵活选择信赖的品牌产品，以实现云端业务的全面安全保护。

在构建云安全防御体系时，利用云服务商提供的一整套安全解决方案和推荐产品，更快捷，更加系统地构建自己的防御体系；减少利用非原生安全产品造成的架构复杂、安全数据无法共享、运营成本高等问题。同时利用云原生的基本安全能力和最新安全技术能力,构建主动防御体系，如利用基础DDoS、安全组、IPv6转换、VPC Peer等构建可靠的网络体系，利用AI技术、威胁情报、API安全、账号安全体系等，搭建更符合云上应用的安全运营系统。

5G网络的普及可能会极大的扩展应用的边界和形态，包括从TOC向TOB的发展，边缘计算的兴起等等。另外可能5G应用的场景的多样化，客户对安全的需求也会大幅增加。在未来，我们可能很难通过标准的产品来满足客户的安全需求，这里面可能就需要客户来自己通过开放的平台来编程实现自己的功能，整体上就是产品去和边缘计算去做结合，然后实现用户可编程的安全。
        （责任编辑：fqj）