Web应用防火墙(WAF)市场正在不断壮大,这主要归因于企业纷纷采用基于云的WAF服务。基于云的WAF服务一开始就立足于多租户、基于云,从长远来看它可以避免对遗留代码进行成本高昂的维护。此外,它还提供了竞争优势,因为发布周期更短,还可以迅速实施创新功能。
随着应用程序格局的变化,我们用于保护企业系统及其处理数据的工具也在随之发生变化。其中,WAF的发展就是调整老旧安全系统以保护现代化企业的一个主要示例。
几乎所有企业都有理由担心在线泄露问题。黑客们不仅仅会针对网站实施攻击活动,他们还会通过员工、客户以及合作伙伴所使用的Web应用程序漏洞来实施入侵行为。由于企业应用程序中通常包含大量个人和企业隐私数据,因此必须部署更高级别的保护措施。
无数事实证明,在黑客入侵活动中,Web应用程序是造成泄露最主要的攻击媒介。根据最新的Verizon数据泄露调查报告显示,近一半的数据泄露事件都是由Web应用程序漏洞利用造成的,而就Equifax数据泄露案件而言,正确部署WAF就能够阻止此次事件的发生。
云WAF需求
传统意义上来说,WAF通常作为物理的、本地部署(on-premises)工具部署在Web服务器的前面,旨在保护Web应用和API远离内外攻击,尤其包括注入攻击和应用层拒绝服务攻击(DoS),监视和控制对Web应用的访问,以及收集访问日志用于合规/审计和分析。WAF最常采用嵌入式部署,作为一种反向代理系统,因为过去这是执行深入检测工作的唯一途径。
如今存在其他部署模式,比如透明代理或网桥。一些WAF还可以采用带外部署模式(即OOB或镜像模式),因而可处理整路的网络流量。但是,并非每一项功能特性在所有这些部署模式下都可以发挥作用;对许多企业组织而言,反向代理是最流行的方案。近些年来,Web应用加大了使用传输层安全(TLS)加密的力度――基于需要嵌入式拦截流量(中间人)才能解密的密码套件(cipher suite),因而减少了OOB部署的数量。
如果你把自己的网络想象成一个受到围墙(即你的防火墙)保护的堡垒,那么Web应用程序就像是这面墙上的一扇纱门——无论你已经部署了几层防护,只要任何一个Web应用没有得到合理的保护,都完全可能摧毁这一切。
随着企业迁移至云端,应用程序也不再托管在他们的技术架构上。自此,他们也失去了对于应用程序使用方式、访问者以及进出流量的可视性。近些年来,对于越来越多的企业而言,由厂商直接作为基于云的服务来交付的WAF(基于云的WAF服务)已成为一种更流行的方案,由最初的目标群——中型企业——扩大到更广泛的企业。基于云的WAF服务通过将更规律的安全更新、更强的扩展性以及每月或每年的订阅模式结合起来,以简化管理实践。
人们已经在检测模式中运用了WAF很长一段时间,但是想要将其用于阻断威胁可能还需要一段时间。因为WAF在提供了丰富信息的同时也产生了大量的误报,这引发了安全团队的担忧。根据Imperva最新调查结果显示,27%的安全团队每天都会收到超过100万次的安全警报,而53%的IT专业人员正在努力将重大安全事件与误报区分开来。
在过去的四五年间,越来越多的企业希望获得更好的Web应用程序支持,却苦于缺乏相关领域的专业知识和人才。后来,他们开始将目光转向日益增长的基于云的WAF市场,这些市场共享威胁数据并提供类似的支持服务,同时还能帮助企业更为轻松地实现部署和管理任务。
基于云VS. 本地部署WAF:区别和部署
本地部署(on-premises)和基于云的WAF之间存在一些主要差异,其中最大的差异在于其部署方式不同。本地部署WAF在数据中心运行,或通过“基础设施即服务”(LaaS)作为虚拟机运行。而云WAF则以“软件即服务”(SaaS)的形式出售,并通过Web界面或移动应用程序进行管理。本地部署WAF需要你自行处理容量规划和复杂性;但是使用云WAF,这些工作都是由WAF提供商进行处理的。
虽然本地部署WAF具有开箱即用/即插即用的政策,但是管理员可以完全控制其公司的规则。本地部署系统更具可定制性和复杂性,让管理员能够调整应用程序与WAF的交互方式。但是,这也要求企业必须对这些数据进行监控,确保其无法访问。
但是,基于云的WAF却有所不同,其安全策略是由WAF提供商根据他们对威胁情况的看法进行预先定义的,以免客户得到太多误报。云WAF通常具有负载均衡,API,应用交付规则和DDoS保护等功能。但是,客户通常不具备对于预置WAF的细粒度访问权限。软件由提供者托管在数据中心中,并由提供商负责保护它们。
至于究竟要选择本地部署WAF还是云WAF,则需要根据你的具体业务需求,以及应用程序和数据的敏感程度进行综合评估。有些企业会使用混合模式,即在本地部署硬件WAF以及在公共云中部署WAF即服务模式。例如,基于云的WAF可以放置在网络边缘,因为预先设置的WAF能够分析复杂的内部威胁情况。
企业安全人员需要结合业务需求,弄清楚企业重心是否正在转向云端,以及转向云端的速度如何,当明确了企业业务发展路线之后,他们就可以决定自己想要的WAF部署模式究竟是本地还是云交付的WAF。
基于云VS. 本地部署WAF优缺点总结
作为网站运营方,该如何选择适合自己的WAF呢?不同形态的WAF各有各的长处,但也有各自的缺点:
硬件WAF优点:
部署简易,即插即用:硬件WAF只需串联到交换机上,进行简单的配置后即可实现Web安全防护。
可承受较高的吞吐量:由于硬件防火墙基于硬件设备实现,一般情况下可承受较高的数据吞吐量。
防护范围大:由于硬件防火墙直接串联到了交换机,所以在同一个交换机下的所有服务器,都处于防火墙的防护范围之类。
硬件WAF缺点:
价格昂贵:目前安全行业中的硬件WAF,价格对于中小企业来说过于昂贵,动辄便是几十万甚至几百万。
存在一定误杀:由于硬件WAF是通过攻击规则库对异常流量进行识别,所以在业务系统复杂的情况下,可能存在一定误杀导致正常功能被防火墙拦截导致影响正常业务。
存在一定绕过机率:硬件防火墙对HTTP协议进行自行解析,可能存在与Web服务器对HTTP请求的理解不一致从而导致被绕过。
云WAF优点:
部署简单,维护成本低:这也是云WAF最有价值和受用户喜爱的一点,无需安装任何软件或者部署任何硬件设备,只需修改DNS即可将网站部署到云WAF的防护范围之内。
用户无需更新:云WAF的防护规则都处于云端,新漏洞爆发时,由云端负责规则的更新和维护,用户无需担心因为疏忽导致受到新型的漏洞攻击。
可充当CDN:云WAF在提供防护功能的同时,还同时具有CDN的功能,在进行防护的同时还可以提高网站访问的速率,CDN通过跨运营商的多线智能解析调度将静态资源动态负载到全国的云节点,用户访问某个资源时会被引导至最近的云端节点从而提高访问速度。
云WAF的缺点:
存在轻易被绕过的风险:云WAF的主要实现原理是通过将用户的DNS解析到云节点实现防护,这样一来,如果黑客通过相关手段获取了服务器的真实IP地址,然后强制解析域名,就可以轻松绕过云WAF对服务器发起攻击。
可靠性低:云WAF处理一次请求,其中需要经过DNS解析、请求调度、流量过滤等环节,其中涉及协同关联工作,其中只要有一个环节出现问题,就会导致网站无法访问。必要时,只能手动切换为原DNS来保证业务正常运行,而域名解析需要一定时间,则会导致网站短时间无法正常访问。
保密性低:网站访问数据对于一些企业、机构来说为保密数据,里面可能包含用户的隐私或者商业信息,这些数据自行管控会相对安全,但是如果使用WAF,所有的数据会记录到云端,这相当于数据被别人保管,可能存在一定的泄露风险。
分析利弊后,我们发现基于云的WAF更适合安全需求较低的中小型企业或者个人网站,对于安全需求较高的网站,如政府、金融、运营商等,云WAF可能无法满足相关要求。对于任务密集型、基于Web的应用程序则需要专用或硬件类型的设备。但是,具体采用哪种WAF形式并不是“一方医百病”的问题,企业可以根据自身情况,采用更广泛的形式以支持各种网络环境需求,从而实现更大程度的灵活性和安全性。
你需要让团队中了解安全性和应用程序的人知道不同类型的WAF的区别和利弊,告诉他们如何使用云WAF,以及如何有效且高效地实现云端迁移。
主要云服务提供商开始转移市场
公有云中的早期WAF部署必须是第三方解决方案,因为当时的共有云提供商并不提供任何解决方案。如今,一些主要云提供商也已经具备了基础的初级WAF服务,应用程序团队正倾向于从亚马逊和AWS处获取解决方案。
至于具体选择第三方解决方案还是云服务提供商的解决方案,主要取决于应用程序的性质和使用情况。如果你的应用程序极易遭受攻击,建议你可以选择第三方虚拟WAF或WAF即服务工具,这些工具目前可以为Web应用程序提供更好的防护。
如果该应用程序并不是很重要,且用户相信云提供商会进一步完善自己的WAF服务,那么你可以选择使用云原生(cloud-native)的工具。来自主要云服务提供商的WAF安全性尚未与第三方系统保持一致,但正在改善。例如,AWS已经正在进一步强化其WAF功能。第一个AWS WAF没有签名,但现在它正在构建一个签名数据库。此外,亚马逊的WAF也比较便宜:您只需按使用量付费即可,AWS WAF会基于你部署的规则数量,以及你的Web应用程序收到的Web请求数量定价。
专家预计,随着时间的推移,越来越多的工作负载转移至云端,人们对于安全性的需求日盛,市场将会依据云IaaS供应商改善自身WAF的情况为其确立排位,最先完善其WAF的云LaaS供应商将占据绝对的市场竞争优势。虽然他们的WAF服务还远赶不上第三方解决方案,但是它们的突出优势在于其成本要低得多。
随着微软和亚马逊等主要提供商开始探索和部署WAF空间,现有供应商也开始专注为其现有工具添加更多功能。Imperva公司最近推出了Attack Analytics,它旨在自动化关联和分析攻击事件的过程,并优先考虑最严重的威胁,威胁数据可以从应用程序本地或云中提取。
专家预计,未来一年,安全管理人员可能会对开发团队究竟是使用云原生保护还是第三方服务提出更多质疑,也将给与更多关注。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。