Volterra 如何确保出海Web 应用安全性和性能-ESG跨境

Volterra 如何确保出海Web 应用安全性和性能

2022-05-08

533

Volterra 如何确保出海Web 应用安全性和性能Volterra 如何确保出海Web 应用安全性和性能概述随着云端工作负载（公有云、私有云或混合云）的增加和微服务的兴起，需要正确访问和保护的出海应用也越来越多。Volterra全球应用交付网络(ADN)与VoltMesh服务可提供7层DDoS、WAF和API安全以......

Volterra 如何确保出海Web 应用安全性和性能

概述

随着云端工作负载（公有云、私有云或混合云）的增加和微服务的兴起，需要正确访问和保护的出海应用也越来越多。Volterra全球应用交付网络(ADN)与VoltMesh服务可提供7层DDoS、WAF和API安全以及全球分布式负载均衡，因此无需在各个位置部署独立服务和堆叠设备（DDoS/WAF/负载均衡器或ADC）。

三层防护：ADC + WAF + DDOS防护

ADC（应用交付控制器）

应用交付控制器(ADC)是一个网络组件，可优化并保护最终用户与海外互联网上发布的Web服务/应用之间的访问。ADC兼具负载均衡、反向代理及TLS终止特性。

负载均衡

负载均衡能够在属于平台的所有源服务器之间分配请求，可在访客/负载量增加的情况下确保服务可用性。

未部署负载均衡器：

1. 用户直接访问内容（本例中为Web服务器）。

2. 如果这台Web服务器发生故障，则将完全无法访问服务。

负载均衡还支持：

高可用特性：如果其中一台源服务器发生故障，负载均衡器（借助运行状况检查）将不会向其发快递任何请求

从负载均衡中逐一排除源服务器，以便在不中断服务的情况下执行维护。

反向代理

反向代理特性可优化源服务器的利用率：出海客户端通过大量连接访问反向代理，然后反向代理使用其自身与源服务器之间建立的连接池将这些连接发国际快递源服务器。这将支持源服务器处理更多请求，并为所交付的服务提供更出色的用户体验。

TLS终止

TLS操作极其占用CPU，尤其是“TLS握手”。通过使用上述反向代理机制并为TLS会话添加高速缓存容量，在Volterra ADC级别终止客户端的TLS连接可优化服务器资源的消耗。这有助于降低源服务器的负载，因为它们只需管理与Volterra ADC（而非大量客户端）的TLS协商。

Web应用防火墙(WAF)

为了应对7层高级应用攻击，Volterra ADC提供了一个WAF模块来快速阻止复杂攻击，并获得对攻击者所用Bot和TLS指纹的可视化。速率限制功能将自动拦截来自超过定义阈值（每秒请求数）的IP地址的请求。IP拦截特性可全面拦截特定IP地址或整个应用服务。

出海企业的应用安全问题非常复杂，需要使用多层方案来解决。目前妥善保护应用需要采用多种技术，为此，Volterra ADN提供了一套全面的集成工具。这套工具结合使用了基于签名的传统技术、统计算法及动态机器学习方法，在系统中表现为以下三项功能：

1.基于规则的WAF

结合使用OWASP核心规则集(CRS)和Volterra规则集(VRS)。

防御针对HTTP流量的一系列攻击，并监控和记录每个事件。

可用于告警和拦截模式。

2. 行为分析

该系统执行机器学习，依据服务网格中的监控系统收集的日志和指标,来了解客户端和服务器的行为。当检测到异常行为时，它将快速生成告警。

2.应用DoS防护

综合使用基于规则的WAF、行为分析及网络防火墙部分的快速访问控制列表(ACL)来抵御攻击。

DDoS防护

无论是出于商业原因还是勒索目的，分布式拒绝服务(DDoS)攻击的目的是击溃服务或网站。Volterra ADC可充分利用我们的骨干网，并具有TB级DDoS防护功能。Volterra运行着自己的骨干网，支持我们对其进行端到端控制，并提出安全和优化建议。

当攻击者瞄准一项服务时，攻击活动将耗尽该服务资源，使其变得不可用。用户将无法再访问该服务。

Volterra的DDoS防护解决方案能够阻止攻击，同时支持合法用户持续访问服务。

Volterra ADN上运行的Volterra ADC的IP地址通过Anycast在互联网上公布。客户端最终将在离其最近的Volterra接入点(PoP)上使用ADC。这有助于提升海外用户的应用体验。此外，攻击在边缘节点(PoP)级别即被隔离，既不会蔓延至整个网络，也不会影响整体服务或应用可用性。