何为Web安全2.0?2022年4月29日

大家一定听说过“Web 2.0”这个名词,传统的由网站主导生成内容的Web方式称之为“Web 1.0”,而由用户主导生成内容的Web方式则称之为“Web 2.0”,这是一种新的互联网产品模式,如:推特、微信朋友圈和公众号、抖音等。那什么是“Web安全2.0”? 当然也是为了区分传统的Web安全,把传统的Web安全称之为1.0,升级的Web安全就称之为2.0。

为了解释什么是“Web安全2.0”,得先讲讲什么是“Web安全1.0”,再讲讲为何传统的Web安全需要升级到2.0。Web网站从上世纪90年底开始普及使用,是http明文传输时代,因为当时的互联网仅用于信息发布和浏览。随着网上支付的应用,明文传输的http协议就无法满足安全要求了,浏览器厂商Netscape公司于1994就发明了SSL 协议,采用SSL证书实现https加密传输,保障从浏览器到服务器之间的自动加密传输。这样,Web安全就进入了1.0时代,从此Web不再是明文传输,能有效保障Web信息的传输安全。

而随着网站的普及,各种Web应用越来越丰富,Web 服务中各种有较高价值的数据逐渐成为主要攻击目标。数据窃取、SQL注入、网页篡改、网站挂马等各种安全事件频繁发生。Web安全的另一支技术路线就出现了 - Web应用防火墙(WAF),就是为了防护Web网站不会被攻击,会分析每一次连接是否是恶意连接,WAF会放行正常用户访问网站资源而拒绝恶意攻击访问。有了WAF,Web应用就安全了,就不用担心各种网站攻击了。

HTTPS加密是为了保护网站内容的传输安全,而WAF则是为了保护网站系统不会遭遇恶意攻击,都是为了网站安全。所以,有些用户为网站部署了SSL证书,有些用户为网站部署了Web应用防火墙,有些用户则两者都采用了。但是,https加密只解决了Web应用的传输安全,用户必须向CA申请SSL证书并手动部署SSL证书到服务器上,或者在服务器上安装一个ACME客户端软件自动申请SSL证书和部署SSL证书。而WAF则只解决了网站的安全防护,并不管用户是否是明文传输访问网站数据这事。即使是支持部署SSL证书的WAF系统,仍然需要用户人工申请SSL证书和部署SSL证书到WAF上。这两个不同的Web安全技术方向都已经无法适应云计算和大数据的发展需要,特别是虚拟主机用户无法安装SSL证书,使得大量的采用虚拟主机的网站处于非常不安全的状态!

为此,Web安全1.0需要升级,在Web安全1.0的基础上把这两支不同的技术结合在一起,升级为 Web安全2.0,并作为一种云服务来为用户提供Web安全服务。Web安全2.0为云原生服务,把云密码服务与云WAF服务紧密结合起来,实现全自动为网站安全配置SSL证书和配置Web应用防火墙服务,全自动为网站提供Web安全云服务,而无需人工干预,用户无需向CA申请SSL证书,也无需在服务器上安装什么软件,只需使用Web安全云服务就可全自动实现https加密和WAF防护,这就是Web安全2.0。

Web安全2.0由于是云原生服务,使得虚拟主机用户也能无缝轻松使用https加密和WAF服务,轻松实现网站安全防护,使得Web安全2.0成为了一个划时代的网站安全普惠服务,适用于所有网站的安全防护!Web安全2.0时代彻底结束了需要人工处理的费时费力的旧时代,全自动实现了所有网站的普惠安全,适应了云计算和大数据安全的需要,必将受到所有网站用户的欢迎。

Web安全2.0还有第三个重要元素,那就是网站可信认证。网站实现了https加密和WAF防护,并不等于网站安全了,并不等于用户就可以信任这个网站,因为欺诈网站也可以实现https加密和WAF防护。所以,网站的可信身份同https加密和WAF防护一样重要,而网站身份的展示应该由浏览器来完成,在地址栏显著显示网站的可信身份信息。对于部署了已经认证网站身份的OV SSL证书和EV SSL证书的网站,浏览器在地址栏直接展示证书主题中的单位名称。而对于部署了没有认证网站身份的DV SSL证书的网站,则用户可申请网站可信认证,一样可以在浏览器地址栏展示已认证的网站的单位名称。网站身份可信同https加密和WAF防护一样重要,为Web安全2.0时代的三个不可或缺的重要元素。

Web安全2.0

Web安全2.0是一个典型的零信任安全解决方案,不信任Web明文传输,因为明文传输的信息非常容易被非法窃取和非法篡改,全自动使用SSL证书实现https加密传输。不信任Web流量,由Web应用防火墙始终验证每次Web连接,放行正常连接和拒绝恶意连接。不信任没有通过认证的网站,因为欺诈网站和假冒网站也可以实现https加密和WAF防护。

根据《密码法》对密码的定义,密码用于信息加密和安全认证,所以,零信任加密码技术,才能完美实现网站安全从1.0时代升级到2.0时代,完美保障Web应用安全。让我们迎接Web安全2.0时代的到来,让Web应用更加安全可信。

点击 这里 下载此文 (PDF格式,有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)