通過更動态、更主動的防禦措施與已有(yǒu)的防護措施一起應對企業面臨的安(ān)全威脅。動态防禦才能(néng)真正為(wèi)業務(wù)安(ān)全提供保障,尤其是能(néng)針對各種形式的新(xīn)興自動化攻擊的防護,而不僅僅隻是對信息技(jì )術系統提供安(ān)全防護。主動、動态防禦在攻擊者面前呈現一個不确定性、欺騙性及迷惑性等特征的應用(yòng)環境,極大地增加攻擊者的攻擊難度,提升網絡自身的抵抗能(néng)力。
經過前期的需求調研,動态防禦系統需滿足以下核心技(jì )術需求:防護節點雙節點部署、IPv6支持、平台本身滿足數據安(ān)全合規性評估要求、API管控(定制化開發需要支持SGIP、SIP、MM7等大網協議)、賬号和行為(wèi)異常分(fēn)析、APP和微信公(gōng)衆号動态防護。
XXXX政企自有(yǒu)平台、IT支撐部門平台、物(wù)聯網平台、網廳等多(duō)個業務(wù)系統區(qū)域,為(wèi)滿足國(guó)家網絡安(ān)全法管理(lǐ)要求,提升整體(tǐ)業務(wù)安(ān)全防禦能(néng)力。具(jù)體(tǐ)的業務(wù)統計信息如下:
動态防禦
某運營商(shāng)政企網絡安(ān)全解決方案
系統部署方案
動态防禦産(chǎn)品支持部署在雲環境下,使用(yòng)腳本方式安(ān)裝(zhuāng),腳本安(ān)裝(zhuāng)方式隻需提供redhat7或centos7系統即可(kě)完成安(ān)裝(zhuāng),并使用(yòng)反向代理(lǐ)模式。
動态防禦設備部署在負載均衡設備的後面,與被保護的服務(wù)器位于同一DMZ區(qū),跟需要被防護的應用(yòng)服務(wù)器路由可(kě)達即可(kě)。(動态防禦設備上需配置網絡及路由設置)
本次主要是對XXX政企自有(yǒu)平台、IT支撐部門平台、物(wù)聯網平台、網廳等多(duō)個應用(yòng)進行全面的防護,其中(zhōng)包含web應用(yòng)、小(xiǎo)程序、微信公(gōng)衆号及手機app。
網絡拓撲圖:
(以www業務(wù)舉例說明)
前端負載均衡設備上的變更:
負載均衡設備在原有(yǒu)的www 資源池中(zhōng)添加動态防禦設備的IP及相應的端口作(zuò)為(wèi)新(xīn)的資源池成員。
01
将www資源池的負載均衡算法調整為(wèi)優先級算法,将動态防護設備的成員的優先級調高,原有(yǒu)的web服務(wù)器成員的優先級降低。這樣配置可(kě)以讓用(yòng)戶流量經過動态防護設備進行防護,一旦動态防護設備出現問題,負載均衡設備的健康檢查會自動屏蔽動态防禦設備,将用(yòng)戶訪問流量切到原來的web服務(wù)器成員上,以保障業務(wù)的快速切換和正常服務(wù)。
02
負載均衡設備上的健康檢查算法建議為(wèi) 應用(yòng)層健康檢查,以提高檢查的精(jīng)确性。
經過保護之後的用(yòng)戶請求,動态防禦可(kě)以通過自身的負載均衡功能(néng)對後台業務(wù)進行負載。
由于動态防禦設備是一個反向代理(lǐ)的工(gōng)作(zuò)模式,因此在後台服務(wù)器上看到的用(yòng)戶的源iP為(wèi)動态防禦設備的IP地址,如業務(wù)有(yǒu)需要記錄真實的用(yòng)戶源IP的情況,需要在後台應用(yòng)上設置從http header (x-forward-for)中(zhōng)讀取真實用(yòng)戶的源IP。
03
部署方案的優點:
1. 整個部署架構簡單靈活,一旦出現異常狀況,可(kě)以迅速切換保障業務(wù)不受影響,同時可(kě)借助原有(yǒu)的負載均衡進行橫向擴展,也可(kě)使用(yòng)動态防禦平台的HA功能(néng)進行擴展。
2. 不改變用(yòng)戶現有(yǒu)業務(wù),不影響最終用(yòng)戶體(tǐ)驗。
3. 同時支持IPV4和IPV6的雙棧部署。
該解決方案支持多(duō)種業務(wù)場景,包括:
WEB應用(yòng)
01
移動APP
02
小(xiǎo)程序
03
公(gōng)衆号
04
方案具(jù)備良好的擴展性和擴展能(néng)力。影盾産(chǎn)品通過與負載均衡設備協助,通過負載均衡設備來提供高可(kě)用(yòng)的功能(néng),單一設備出現故障,可(kě)用(yòng)自動的被繞過;同時通過橫向擴展來提升整體(tǐ)的性能(néng),不像傳統的硬件設備廠商(shāng),一旦性能(néng)需要擴容時,需要更換更高性能(néng)的硬件。同時影盾動态防禦平台具(jù)備良好的功能(néng)擴展能(néng)力,可(kě)以根據不同業務(wù)場景的需求進行相應的二次開發,滿足不同場景下的功能(néng)需求。
基于大數據的行為(wèi)分(fēn)析實現對API的分(fēn)析和防護以及惡意行為(wèi)的數據分(fēn)析。以大數據作(zuò)為(wèi)基礎,在過濾絕大部分(fēn)機器流量的基礎上,再結合業務(wù)模型和浏覽器指紋技(jì )術,過濾出隐藏的惡意用(yòng)戶(AI or Human),并将其放入黑名(míng)單。同時也可(kě)以對惡意行為(wèi)進行分(fēn)析,對正常的API請求進行統計和分(fēn)析及防護功能(néng)
其中(zhōng)小(xiǎo)程序和移動APP的場景需要提供SDK與小(xiǎo)程序和APP進行集成。其SDK具(jù)備良好的兼容性。SDK基于C語言開發,輕量級,是可(kě)以支持跨版本使用(yòng)的。(也就是IOS或安(ān)卓的系統版本無論怎麽升級,我們的SDK不會因為(wèi)IOS版本升級而要做适配,不會因為(wèi)SDK的适配影響業務(wù)發布和上線(xiàn)速度).SDK以.so庫的方式引入APP中(zhōng),可(kě)以快速的兼容不同的移動開發框架。(例如阿裏的mpass平台,google的flutter開發框架等)
SDK具(jù)備良好的合規性。APP端的敏感接口的權限問題以及個人隐私保護法對敏感信息獲取的規定,導緻SDK如果在客戶端調用(yòng)敏感接口或者隐私信息的話會帶來大量的合規性問題。目前,有(yǒu)大量企業的APP都因為(wèi)個人隐私過度獲取或者隐私獲取用(yòng)途不明被監管機構處罰。
SDK不獲取任何客戶端敏感信息,也不調用(yòng)任何敏感系統接口,從而完全滿足SDK合規性的要求。
防禦效果
對應用(yòng)的登錄接口使用(yòng)參數驗證,訪問的url地址必須帶上動态防禦動态化的參數才能(néng)通過訪問,且驗證其次數和有(yǒu)效性。
對應用(yòng)的登錄接口進行動态化混淆,訪問的url地址必須為(wèi)動态防禦系統動态生成的地址才能(néng)通過訪問,且驗證其次數和有(yǒu)效性。
同樣小(xiǎo)程序的所有(yǒu)接口使用(yòng)參數驗證,訪問的url地址必須帶上動态防禦動态化的參數才能(néng)通過訪問,且驗證其次數和有(yǒu)效性。
手機app選擇的防護方案則是對所有(yǒu)請求的接口進行動态化混淆,無法查看原來的明文(wén)地址,并同時對源明文(wén)地址進行攔截,對動态化地址驗證其次數和有(yǒu)效性。
