全球資安界所矚目的RSA大會剛結束,在這場活動之前,Akamai在2月初搶先發布新的網站應用程式防火牆服務Web Application Protector(WAP),而既有的另一套同類型服務Kona Site Defender,也擴增了新功能。

相較於Kona Site Defender提供了詳細的設定項目,Web Application Protector更強調自動化防護,以及由Akamai負責持續更新管控政策,企業無需透過複雜的操作、維護作業,即能強化網站應用程式的安全,強化阻擋DDoS及多種應用層攻擊行動的能力。

而基於這些特色,Akamai認為,Web Application Protector具備了專屬網站應用程式防火牆產品所缺乏的優點,例如,無須仰賴硬體設備的部署,以及各種繁瑣的設定步驟,企業就能馬上使用;安全威脅的態勢一有變化,Akamai就會將新的防護規則,直接加入服務的組態上,而不需要動用到用戶端的人力介入。在此同時,他們也透過與自身威脅研究團隊的協力合作,以便降低誤判機率,並將任何會觸發潛在誤判狀況的偵測規則,予以移除。 

在防護運作架構上,Web Application Protector是以反向網頁代理(reverse web-proxy)的方式來介入,對於來襲的DDoS攻擊,無論規模大小,能夠自動丟棄HTTP與HTTPS協定以外的網路流量,就以該套服務底層採用的Akamai Intelligent Platform而言,過去曾負載超過46 Tbps的流量。

防護DDoS攻擊的同時,Akamai這套服務也能搭配應用層的傳輸率控管、HTTP POST慢速攻擊的防護,以及阻斷攻擊防護群組(DoS protection group)的控制

而對於網路應用層安全的強化,同樣是Web Application Protector提供的主要防護項目,目前能夠協助用戶的網站對抗多種攻擊,類型包括:SQL注入(SQL injection,SQLi)、跨網站腳本指令(Cross-site scripting,XSS)、遠端檔案夾帶(Remote File Inclusion,RFI)、本機檔案夾帶(Local File Inclusion,LFI),以及指令注入(Command Injection,CMDi)等。

同時,Akamai本身的威脅研究團隊Threat Research,會在Web Application Protector的服務上,持續更新應用程式防火牆的防護群組(protection groups)設定,租用該服務的企業,無需自行調整個別控管政策,而且後續的防護機制也會自動加入,用戶無需變更組態才能套用。

在Web Application Protector防護政策上,除了Akamai會自動代為更新,若企業有額外需求,想套用自行訂定的控管規則,這套服務也提供了一些使用彈性,例如,每個租戶仍可設置10條以內的政策,使制式、標準化的雲端防護服務,也能夠藉此配合不同應用環境下的特殊狀況。

既然Web Application Protector提供用戶有限的政策自定機制,相對地, 這套服務所設置的使用者網頁介面,也連帶具備簡單易用的特色,讓租戶能夠立即上手操作,並且支援自助式服務的精神,用戶可在此管理網站應用安全功能的部署,以及持續的防護機制。

在使用者開始租用、登入這套服務之後,Akamai提供了報到設定精靈(on-boarding wizard),協助用戶以簡易的方式進行初始設定。接著,僅需輸入網站相關資訊,Akamai Intelligent Platform就會將這個網站的DNS記錄(CNAME),註冊到Akamai Intelligent Platform上,隨後,Web Application Protector就能開始針對執行監控的工作,協助防護DDoS與網站應用程式攻擊。

若要防護特定攻擊的類型,例如DDoS、XSS、CMDi,也只需幾個滑鼠點選步驟,就能啟用。之後,用戶可以透過Akamai資安中心的監控儀表板頁面,即可查看當前所偵測、阻擋下來的攻擊活動狀態,了解Web Application Protector所攔截到的網站安全威脅。

產品資訊

Akamai Web Application Protector
●原廠:Akamai(02)8722-0177
●建議售價:廠商未提供
●可應付的網路流量:46 Tbps
●防護的攻擊類型:可阻擋DDoS攻擊與針對網站應用程式的攻擊行為,包含SQLi、XSS、RFI、LFI、CMDi等攻擊
●租戶可自定的政策數量:10個以內
●底層平臺:Akamai Intelligent Platform
●過濾架構:反向代理

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容