Jika Anda menyebarkan layanan web dan menyediakannya melalui Internet, gunakan Web Application Firewall (WAF) bersamaan dengan Runtime Application Self-Protection (RASP). Kombinasi ini melindungi terhadap serangan umum seperti trojan website, WebShells, serangan database, serangan lintas situs, eksekusi perintah jarak jauh, dan eksploitasi unggahan file.
Risiko keamanan
Setiap aplikasi web, seperti situs web atau Operasi API, yang menyediakan layanan melalui Internet pasti terpapar pada serangan. Penyerang memanfaatkan kerentanan umum dalam aplikasi web, seperti validasi parameter yang tidak tepat dan eksekusi kode dinamis, untuk meluncurkan berbagai serangan:
Injeksi SQL: Penyerang menyisipkan kode SQL berbahaya ke dalam bidang input untuk menipu server agar menjalankan operasi database yang tidak diinginkan. Ini memungkinkan mereka mencuri, merusak, atau menghapus data inti Anda.
Serangan skrip lintas situs (XSS): Penyerang menyuntikkan skrip berbahaya ke dalam halaman web. Ketika pengguna lain mengunjungi halaman-halaman ini, skrip tersebut berjalan di browser mereka. Ini dapat menyebabkan pembajakan sesi dan kebocoran informasi pribadi.
Unggahan WebShell: Penyerang memanfaatkan kerentanan unggahan file untuk mengunggah skrip sisi server berbahaya (WebShell) ke server Anda. Ini memberi mereka kontrol jarak jauh atas server.
Serangan umum lainnya: Ini termasuk injeksi perintah, penelusuran direktori, inklusi file, dan pemalsuan permintaan lintas situs (CSRF). Semua ini bisa sangat merugikan bisnis Anda.
Web Application Firewall adalah sistem yang dirancang untuk melindungi aplikasi web dari berbagai ancaman keamanan. Ini memeriksa isi permintaan dan tanggapan HTTP dan HTTPS untuk mendeteksi dan memblokir serangan tertentu. Menggunakan WAF secara efektif mengurangi serangan web. Untuk perlindungan yang lebih canggih, Anda dapat menerapkan RASP. RASP tertanam dalam lingkungan runtime aplikasi. Ini mengaitkan fungsi-fungsi kunci untuk memantau perilaku aplikasi dan mengumpulkan informasi kontekstual yang kaya. Ini memungkinkannya mendeteksi dan memblokir serangan dengan akurasi yang lebih besar. Dibandingkan dengan WAF, RASP lebih efektif terhadap ancaman seperti kerentanan nol hari, lalu lintas terenkripsi, dan WebShell dalam memori.
Praktik terbaik
Garis pertahanan pertama: Web Application Firewall (WAF)
WAF bekerja di depan aplikasi web Anda, bertindak sebagai checkpoint pertama untuk lalu lintas masuk. Ini berfungsi seperti "penjaga gerbang jaringan" profesional dengan memeriksa semua permintaan HTTP dan HTTPS yang masuk. Menggunakan pustaka aturan bawaan dan terus diperbarui, WAF mendeteksi dan memblokir sebagian besar lalu lintas serangan yang dikenal, seperti kode injeksi SQL berbahaya dalam URL. Perlindungan non-intrusif, Lapisan jaringan ini secara efektif menyaring sebagian besar permintaan berbahaya, secara signifikan mengurangi beban pada server backend.
Aktivasi dan pembelian: Beli edisi WAF (Pro, Enterprise, atau Ultimate) berdasarkan skala dan volume lalu lintas situs web Anda. Untuk informasi lebih lanjut, lihat Paket dan versi.
Koneksi ke WAF: Hubungkan situs web Anda ke WAF untuk mengaktifkan perlindungan. WAF mendukung jenis koneksi berikut (WAF 3.0 digunakan sebagai contoh):
Jenis koneksi
Prinsip
Skenario
Ubah rekaman DNS situs web menjadi alamat CNAME yang disediakan oleh WAF.
alamat, yang memastikan bahwa semua akses jaringan publik pertama kali melewati kluster WAF.
Mendukung layanan di cloud (Alibaba Cloud atau non-Alibaba Cloud) atau di IDC lokal
perlindungan server. Sebagai contoh, Tambahkan situs web menggunakan rekaman CNAME
Mendukung integrasi cepat ALB, CLB, NLB, ECS, APIG, MSE, FC, dan SAE.
Memungkinkan koneksi cepat ke WAF untuk ALB, CLB, NLB, ECS, APIG, MSE, FC, dan SAE. Metode koneksi bervariasi berdasarkan produk cloud.
Tambahkan produk Alibaba Cloud ke WAF untuk perlindungan. Sebagai contoh, Tambahkan instance ECS
Sebarkan plug-in SDK WAF pada gateway akses terpadu yang dibuat sendiri, seperti Nginx atau APISIX. Lalu lintas layanan disalin ke kluster WAF yang diterapkan dalam mode bypass untuk deteksi. Kluster WAF tidak meneruskan lalu lintas.
Untuk hybrid cloud tempat server web ditempatkan di lokasi fisik.
Garis pertahanan kedua: Runtime Application Self-Protection (RASP)
WAF mungkin kesulitan mendeteksi lalu lintas terenkripsi, serangan zero-day yang mengeksploitasi kerentanan yang tidak diketahui, atau serangan kompleks yang menghindari deteksi jaringan. Di sinilah diperlukan garis pertahanan kedua yang lebih dalam: RASP.
RASP tertanam langsung ke dalam lingkungan runtime aplikasi Anda, seperti Java Virtual Machine (JVM), sebagai probe atau modul. Ini mengaitkan fungsi-fungsi kunci untuk memantau perilaku internal aktual aplikasi. Misalnya, ketika permintaan akan memicu kueri database, RASP secara langsung menganalisis pernyataan SQL yang akan dieksekusi untuk menentukan apakah itu berbahaya. Ini berbeda dari WAF, yang hanya bisa menebak berdasarkan lalu lintas jaringan. Perspektif "orang dalam" ini memberi RASP keuntungan alami dalam mempertahankan diri dari ancaman baru, seperti kerentanan nol hari dan WebShell dalam memori. Ini adalah pelengkap sempurna untuk WAF. Untuk informasi lebih lanjut, lihat Hubungkan ke perlindungan aplikasi.