近日,由中国信息通信研究院(以下简称“中国信通院”)主办的“2022首届业务与应用安全发展论坛”在京召开。
会上,中国信通院公布了2022可信业务与应用安全评估结果,同时公布了首批“业务安全推进计划”成员单位。华为云以专业的业务安全能力和经验外溢,通过了信通院首批WEB应用防火墙能力评估,入选首批“业务安全推进计划”成员单位,并上榜信通院发布的《业务安全全景视图》、《应用安全全景视图》。
中国信通院云计算与大数据研究所副所长栗蔚在致辞中表示,在政策引领下,数字化转型已成为企业发展的必然选择。在日渐复杂的数字环境中解决业务与应用层面风险,已成为企业数字化的必答题。
华为云在对业务与应用安全领域的研究已扎根多年,并与行业伙伴积极推动相关标准和评估体系建设,聚焦前沿技术和重点行业需求痛点,针对行业用户的业务与应用层面风险和特性需求打造了定制化的解决方案和服务。
华为云WAF,唯快不破
华为云Web应用防火墙WAF(以下简称“WAF”)基于用户业务发展需求,及时调整业务防护策略,满足云上用户各种运维要求。华为云安全专家表示,不正确或未使用安全产品是导致业务安全事件频发的重要原因之一,事实证明,大部分安全事件都可通过使用云平台避免。
针对企业安全专业人员投入不足以及日益增长的安全防护需求:看重拦截效果、关注运营运维效率、安全事件快速响应,华为云WAF综合利用华为云端的流量资源,基于云平台AI+大数据能力,实时提供海量数据库安全情报,并提供7*24小时专业团队运营,安全专家经验支持,用户可以直接复用专家成果,提升业务安全运营运维效率。
华为云WAF服务三大核心能力
1.采用规则和AI双引擎架构,集成华为最新的防护规则和优秀实践
·华为云WAF默认规则自动化提取和更新,集成华为最新的防护规则和优秀实践,帮助用户高效应对安全事件。
·专业安全团队7*24小时运营支持,实现0day漏洞2小时内快速修复,帮助用户快速抵御最新威胁。
2.极简的安全策略架构,全局配置零冗余&实时同步
·企业级用户策略定制,支持拦截页面自定义、多条件的CC防护策略配置、海量IP黑名单等,使网站防护更精准。
·提供全局策略模板,只需一次修改,全局生效,智能化操作,有效提高用户策略配置效率。
3.保护用户数据隐私,助力企业安全合规
支持用户对攻击日志中的帐号、密码等敏感信息进行脱敏;支持PCI-DSS标准的SSL安全配置;支持TLS协议版本和加密套件的配置,满足各行业用户的等保测评等安全需求。
华为云WAF高效应对6大应用场景
常规防护:帮助用户防护常见的Web安全问题,比如命令注入、敏感文件访问等高危攻击。
电商抢购秒杀防护:当业务举办定时抢购秒杀活动时,业务接口可能在短时间承担大量的恶意请求。华为云WAF可以灵活设置CC攻击防护的限速策略,能够保证业务服务不会因大量的并发访问而崩溃,同时尽可能地给正常用户提供业务服务。
0Day漏洞爆发防范:当第三方Web框架、插件爆出高危漏洞,业务无法快速升级修复,华为云WAF确认后会第一时间升级预置防护规则,保障业务安全稳定。华为云WAF相当于第三方网络架构加了一层保护膜,和直接修复第三方架构的漏洞相比,华为云WAF创建的规则能更快的遏制住风险。
防数据泄露:恶意访问者通过SQL注入,网页木马等攻击手段,入侵网站数据库,窃取业务数据或其他敏感信息。用户可通过华为云WAF配置防数据泄露规则,以实现:
·精准识别
采用语义分析+正则表达式双引擎,对流量进行多维度精确检测,精准识别攻击流量。
·变形攻击检测
支持7种编码还原,可识别更多变形攻击,降低华为云WAF被绕过的风险。
防网页篡改:攻击者利用黑客技术,在网站服务器上留下后门或篡改网页内容,造成经济损失或带来负面影响。用户可通过华为云WAF配置网页防篡改规则,以实现:
·挂马检测
检测恶意攻击者在网站服务器注入的恶意代码,保护网站访问者安全。
·页面不被篡改
保护页面内容安全,避免攻击者恶意篡改页面,修改页面信息或在网页上发布不良信息,影响网站品牌形象。
更多华为云WAF详情,可登陆华为云官网——Web应用防火墙 WAF服务页面了解。