本文介紹了使用阿里雲Web Application Firewall(WAF)3.0中可能涉及到您當地法律規定的資料安全合規問題。
WAF CNAME接入安全合規說明
如果您的來源站點部署在中國內地,請開通中國內地WAF執行個體並在CNAME接入WAF之前完成網域名稱備案。
如果您的網站或App託管在阿里雲中國內地節點伺服器上,且網站或App的主辦人和網域名稱從未辦理過ICP備案,在網站或App開通服務前,您需通過阿里雲ICP代備案系統完成ICP備案。
如果主體和網域名稱均已通過其他服務商成功備案,而您現需要將服務商變更為阿里雲或將阿里雲添加為該網站的新增服務商,需要在阿里雲完成接入備案。
如果您想要瞭解通過CNAME方式添加網域名稱的詳細步驟,請參見通過CNAME接入為網站開啟WAF防護。
如果您的來源站點部署在非中國內地,請開通非中國內地WAF執行個體,當前Web Application Firewall服務地區目前已開服中國香港、新加坡、杜拜、日本(東京)、馬來西亞(吉隆坡)、印尼(雅加達)、美國(矽谷)、德國(法蘭克福),如果您部署的來源站點不在Web Application Firewall服務地區覆蓋範圍內,會解析到新加坡Web Application Firewall叢集。
Web Application Firewall安全報表和資料存放區地說明:WAF執行個體根據所屬地區的不同,在華東1(杭州)和新加坡分別設定了管控平面。其中,中國內地的WAF執行個體將使用華東1(杭州)的管控平面實現管控,資料存放區在中國內地資料中心,非中國內地的WAF執行個體將使用新加坡的管控平面實現管控,資料存放區在新加坡資料中心。通過安全報表頁面,您可以集中查看已接入防護全量資源的防護資料統計及日誌資訊。我們將基於您購買的不同地區WAF執行個體所對應的管控平面,向您進行圖表和資訊展示。
資料跨境注意事項:
您在使用WAF提供的CNAME接入功能時,將使您在雲上的業務資料轉送至您所選擇的地區或產品部署地區,可能會涉及資料跨境。
您同意並確認,您完全擁有該份業務資料的所有處置許可權,對資料轉送的行為全權負責。
您應確保您的資料轉送符合所有適用法律,包括提供充分的資料安全保護技術和策略,履行獲得個人充分明示同意、完成資料出境安全評估和申報等法定義務,且您承諾您的業務資料不含任何所適用法律限制、禁止傳輸或披露的內容。
如您未遵守前述聲明與保證,您將承擔對應的法律後果,導致阿里雲和或其他關係企業遭受任何損失的,您應承擔賠償責任。
如果您想避免資料跨境問題,您可以使用雲產品接入或者混合雲接入方式接入WAF。
WAF非標連接埠開放說明
使用CNAME方式接入WAF的網域名稱,會被部分掃描器的掃描結果判定為非 80、443 連接埠開啟了監聽,從而被判定為開放了高危連接埠。阿里雲WAF只針對控制台上已配置的連接埠,在 TCP三向交握成功後進行資料轉寄,對於沒有配置的連接埠,TCP三向交握後,WAF會立刻發送 RST 包關閉串連,因此不會轉寄資料。掃描器判定的高危連接埠,實際並沒有被利用的安全⻛險。
對於部分高危連接埠WAF預設不開放,與高危連接埠的TCP三向交握不會成功。高危連接埠列表如下:9,20,21,22,23,25,42,53,67,68,69,135,137,138,139,143,161,389,445,593,1434,1521,3127,3306,3389,4444,5554,5800,5900,6379,9996,11211,27017,27018,50030,50070,61613,61616,61617。
WAF支援的加密套件說明
通過CNAME接入方式以及ECS、四層CLB(TCP)雲產品接入方式,接入HTTPS業務到WAF防護時,您可以根據來源站點支援的加密套件類型,自訂允許WAF使用的加密套件,使WAF只監聽支援特定加密套件的用戶端的請求。關於WAF支援的加密套件詳細類型,請參見WAF支援的加密套件。
使用七層CLB(HTTP/HTTPS)雲產品接入方式時,WAF支援的加密套件配置會自動同步來源站點CLB的配置。
WAF 日誌儲存說明
WAFLog Service協助您採集並儲存WAF防護對象(雲產品執行個體、網域名稱)的Web訪問及攻擊防護日誌,並基於阿里雲Log Service,輸出查詢分析、統計圖表、警示服務、下遊計算對接與投遞等能力,協助您專註於分析,遠離瑣碎的查詢和整理工作。
Web Application Firewall預設關閉Log Service功能。如果您需要儲存防護對象的日誌資料,並對日誌資料進行查詢與分析,您需要先開啟WAFLog Service。在開啟Log Service時您可以選擇Log Service儲存的地區。
關於如何操作與配置WAFLog Service,及WAF日誌儲存計費方式,請參見日誌管理。關於日誌可能涉及的資料跨境查詢合規問題,請參見跨LogStore查詢日誌。
開啟後日誌將儲存在您選擇的地區中。WAFLog Service一旦開啟不可更改地區配置,只有通過釋放WAF執行個體才可以重新更換日誌儲存地區。因此,在開啟服務前請謹慎選擇您的日誌儲存地區。
WAF Cookie植入說明
使用WAF接入防護的業務會在以下三種情況下被植入Cookie。
情境1:使用CC防護、掃描防護等功能時,Cookie中不包含acw_tc的請求,WAF預設會在響應中插入acw_tcCookie。
WAF產品將會預設在用戶端(如瀏覽器)植入Cookie用於區分統計不同用戶端,使用者在訪問網站時會在HTTP報文中攜帶上植入的Cookie資訊,WAF將結合您配置的CC防護規則、統計對象為session的掃描防護規則、統計對象為session的自訂頻率設定規則和統計結果判斷業務流量中是否存在CC攻擊行為。
如果您想關閉該情境下的Cookie植入,您可以登入Web Application Firewall控制台,並在頂部功能表列,選擇WAF執行個體的資源群組和地區,通過配置防護配置 > 防護對象 > 設定中如圖所示的cookie設定,關閉指定雲產品執行個體或網域名稱的Cookie植入。
關於Cookie設定更多的詳細說明,請參見配置防護對象和防護對象組。
情境2:雲產品執行個體或網域名稱配置了Bot管理的情境化模組,並開啟了自動整合Web SDK。
當使用者配置Bot情境化模板,並開啟了自動整合Web SDK,將會在HTTP報文的Header中植入ssxmod_itna、ssxmod_itna2、ssxmod_itna3Cookie用於擷取用戶端瀏覽器的指紋資訊。收集的指紋資訊包括HTTP報文的host欄位、瀏覽器高度和寬度等。
如果您想關閉該情境下的Cookie植入,您需要關閉對應的Bot管理情境化模板。具體操作請參見Bot管理(舊版)。
情境3: 雲產品執行個體或網域名稱配置了自訂規則或Bot管理,規則動作開啟JS校正或者滑塊。
當訪問流量命中規則後,Web Application Firewall將對用戶端發起JS校正或滑塊驗證,當用戶端驗證通過後將會在HTTP報文的Header中分別植入Cookieacw_sc__v2和acw_sc__v3,用於標識用戶端已經通過驗證。
如果您想關閉該情境下的Cookie植入,可以在防護設定> 防護規則或防護配置 > 情境防護 > Bot管理 > 情境化防護中關閉對應的防護規則或策略。關於JS校正和滑塊更多資訊,請參見自訂規則或Bot管理(舊版)。
WAF Bot管理APP防護功能採集說明
Web Application Firewall提供基於Native App(Android/iOS)的SDK用以提升該情境下的防護效果。SDK整合後將會採集用戶端的風險特徵並產生安全簽名附帶在請求中,WAF會根據簽名特徵進行請求風險的識別和攔截。