Volterra 如何確保出海Web 應(yīng)用安全性和性能

概述

 隨著云端工作負(fù)載（公有云、私有云或混合云）的增加和微服務(wù)的興起，需要正確訪問和保護(hù)的出海應(yīng)用也越來越多。Volterra 全球應(yīng)用交付網(wǎng)絡(luò) (ADN) 與 VoltMesh 服務(wù)可提供 7 層 DDoS、WAF 和 API 安全以及全球分布式負(fù)載均衡，因此無需在各個(gè)位置部署獨(dú)立服務(wù)和堆疊設(shè)備（DDoS/WAF/負(fù)載均衡器或 ADC）。

三層防護(hù)：ADC + WAF + DDOS 防護(hù)

ADC（應(yīng)用交付控制器）

應(yīng)用交付控制器 (ADC) 是一個(gè)網(wǎng)絡(luò)組件，可優(yōu)化并保護(hù)最終用戶與海外互聯(lián)網(wǎng)上發(fā)布的 Web 服務(wù)/應(yīng)用之間的訪問。ADC 兼具負(fù)載均衡、反向代理及 TLS 終止特性。

負(fù)載均衡

負(fù)載均衡能夠在屬于平臺(tái)的所有源服務(wù)器之間分配請(qǐng)求，可在訪客/負(fù)載量增加的情況下確保服務(wù)可用性。

未部署負(fù)載均衡器：

1. 用戶直接訪問內(nèi)容（本例中為 Web 服務(wù)器）。

2. 如果這臺(tái) Web 服務(wù)器發(fā)生故障，則將完全無法訪問服務(wù)。

負(fù)載均衡還支持：

高可用特性：如果其中一臺(tái)源服務(wù)器發(fā)生故障，負(fù)載均衡器（借助運(yùn)行狀況檢查）將不會(huì)向其發(fā)送任何請(qǐng)求

從負(fù)載均衡中逐一排除源服務(wù)器，以便在不中斷服務(wù)的情況下執(zhí)行維護(hù)。

反向代理

反向代理特性可優(yōu)化源服務(wù)器的利用率：出海客戶端通過大量連接訪問反向代理，然后反向代理使用其自身與源服務(wù)器之間建立的連接池將這些連接發(fā)送到源服務(wù)器。這將支持源服務(wù)器處理更多請(qǐng)求，并為所交付的服務(wù)提供更出色的用戶體驗(yàn)。

TLS 終止

TLS 操作極其占用 CPU，尤其是“TLS 握手”。通過使用上述反向代理機(jī)制并為 TLS 會(huì)話添加高速緩存容量，在 Volterra ADC 級(jí)別終止客戶端的 TLS 連接可優(yōu)化服務(wù)器資源的消耗。這有助于降低源服務(wù)器的負(fù)載，因?yàn)樗鼈冎恍韫芾砼c Volterra ADC（而非大量客戶端）的 TLS 協(xié)商。

Web 應(yīng)用防火墻 (WAF)

為了應(yīng)對(duì) 7 層高級(jí)應(yīng)用攻擊，Volterra ADC 提供了一個(gè) WAF 模塊來快速阻止復(fù)雜攻擊，并獲得對(duì)攻擊者所用 Bot 和 TLS 指紋的可視化。速率限制功能將自動(dòng)攔截來自超過定義閾值（每秒請(qǐng)求數(shù)）的 IP 地址的請(qǐng)求。IP 攔截特性可全面攔截特定 IP 地址或整個(gè)應(yīng)用服務(wù)。

出海企業(yè)的應(yīng)用安全問題非常復(fù)雜，需要使用多層方案來解決。目前妥善保護(hù)應(yīng)用需要采用多種技術(shù)，為此，Volterra ADN 提供了一套全面的集成工具。這套工具結(jié)合使用了基于簽名的傳統(tǒng)技術(shù)、統(tǒng)計(jì)算法及動(dòng)態(tài)機(jī)器學(xué)習(xí)方法，在系統(tǒng)中表現(xiàn)為以下三項(xiàng)功能：

1.    基于規(guī)則的 WAF

結(jié)合使用 OWASP 核心規(guī)則集 (CRS) 和 Volterra 規(guī)則集 (VRS)。

防御針對(duì) HTTP 流量的一系列攻擊，并監(jiān)控和記錄每個(gè)事件。

可用于告警和攔截模式。

2.   行為分析

該系統(tǒng)執(zhí)行機(jī)器學(xué)習(xí)，依據(jù)服務(wù)網(wǎng)格中的監(jiān)控系統(tǒng)收集的日志和指標(biāo),來了解客戶端和服務(wù)器的行為。當(dāng)檢測(cè)到異常行為時(shí)，它將快速生成告警。

2.    應(yīng)用 DoS 防護(hù)

綜合使用基于規(guī)則的 WAF、行為分析及網(wǎng)絡(luò)防火墻部分的快速訪問控制列表(ACL)來抵御攻擊。

DDoS 防護(hù)

無論是出于商業(yè)原因還是勒索目的，分布式拒絕服務(wù) (DDoS) 攻擊的目的是擊潰服務(wù)或網(wǎng)站。Volterra ADC 可充分利用我們的骨干網(wǎng)，并具有 TB 級(jí)DDoS 防護(hù)功能。Volterra 運(yùn)行著自己的骨干網(wǎng)，支持我們對(duì)其進(jìn)行端到端控制，并提出安全和優(yōu)化建議。

當(dāng)攻擊者瞄準(zhǔn)一項(xiàng)服務(wù)時(shí)，攻擊活動(dòng)將耗盡該服務(wù)資源，使其變得不可用。用戶將無法再訪問該服務(wù)。

Volterra 的 DDoS 防護(hù)解決方案能夠阻止攻擊，同時(shí)支持合法用戶持續(xù)訪問服務(wù)。

 Volterra ADN 上運(yùn)行的 Volterra ADC 的 IP 地址通過 Anycast 在互聯(lián)網(wǎng)上公布?？蛻舳俗罱K將在離其最近的 Volterra 接入點(diǎn) (PoP) 上使用 ADC。這有助于提升海外用戶的應(yīng)用體驗(yàn)。此外，攻擊在 邊緣節(jié)點(diǎn)(PoP) 級(jí)別即被隔離，既不會(huì)蔓延至整個(gè)網(wǎng)絡(luò)，也不會(huì)影響整體服務(wù)或應(yīng)用可用性。

集中管理和可觀察性

 VoltConsole 是 Volterra 基于 SaaS 的管理門戶，支持客戶通過單個(gè)控制臺(tái)輕松管理其所有分布式資源、服務(wù)及工作負(fù)載。VoltConsole 可實(shí)現(xiàn)系統(tǒng)運(yùn)行狀況、應(yīng)用部署、網(wǎng)絡(luò)與安全服務(wù)、連接指標(biāo)及資源消耗的精細(xì)可視化。

VoltConsole 能夠提供：

1. 負(fù)載均衡和代理的全局可視化，包括端到端延遲、源服務(wù)器使用情況、客戶端排序和錯(cuò)誤統(tǒng)計(jì)。

2.  流量指標(biāo)監(jiān)控，例如吞吐量、請(qǐng)求/響應(yīng)率和地理位置。

3.  請(qǐng)求、告警與錯(cuò)誤的實(shí)時(shí)統(tǒng)計(jì)和歷史趨勢(shì),以及各個(gè)請(qǐng)求的詳細(xì)信息，以加快故障排除。

總結(jié)

Volterra 能夠幫助 NetOps 和 DevOps 團(tuán)隊(duì)提高其關(guān)鍵應(yīng)用的性能和安全性，支持包括基于微服務(wù)的現(xiàn)代應(yīng)用、分布式應(yīng)用以及傳統(tǒng)設(shè)計(jì)的 Web 應(yīng)用。

Volterra 將其應(yīng)用交付網(wǎng)絡(luò)與基于 SaaS 的 VoltMesh 服務(wù)相結(jié)合，可提供 7 層DDoS、WAF 和 API 安全性及全局分布式負(fù)載均衡，從而實(shí)現(xiàn)這一目標(biāo)。

出海企業(yè)應(yīng)用服務(wù)的部署和持續(xù)運(yùn)營均得以簡(jiǎn)化，因?yàn)閳F(tuán)隊(duì)既無需在本地部署多項(xiàng)服務(wù)，也不必集成多家廠商的服務(wù)和管理控制臺(tái)，只需通過Volterra 基于 SaaS 的門戶 VoltConsole 即可實(shí)現(xiàn)其所有操作和可視化并執(zhí)行策略管理及報(bào)告。

了解有關(guān) Volterra 多云解決方案的更多信息
請(qǐng)?jiān)L問：volterra.io

聯(lián)系技術(shù)銷售團(tuán)隊(duì)：chinainfo@f5.com