云計算網(wǎng)絡(luò)應(yīng)用防火墻提高應(yīng)用程序的安全性
人們通過云計算網(wǎng)絡(luò)應(yīng)用防火墻以確保未在本地托管的應(yīng)用程序,這是可行的。行業(yè)專家馬特·帕斯庫奇解釋它們是如何工作的,以及企業(yè)對此所需要了解哪些事情。
如今,網(wǎng)絡(luò)應(yīng)用程序漏洞和攻擊的風險仍然持續(xù)存在于其應(yīng)用程序運行的環(huán)境中。這使得那些在互聯(lián)網(wǎng)上公開訪問應(yīng)用程序的組織面臨更大的風險。WAF(網(wǎng)絡(luò)應(yīng)用防火墻)可以減輕這些威脅,這是人們所熟悉的常識,但這意味著托管數(shù)據(jù)中心部署昂的貴硬件維護這些公共應(yīng)用程序的惡意使用。
為什么產(chǎn)生云計算網(wǎng)絡(luò)應(yīng)用防火墻?
在當今的現(xiàn)代網(wǎng)絡(luò)中,通常有并購行為發(fā)生,而這使得某些應(yīng)用程序不受保護。由于應(yīng)用程序并不是部署在同一地點,因此不能很好地獲得物理網(wǎng)絡(luò)應(yīng)用防火墻的保護。例如企業(yè)遷移應(yīng)用程序或數(shù)據(jù)中心被異地托管,或企業(yè)將業(yè)務(wù)遷移到云中。從應(yīng)用程序保護的角度來看,這是令人擔憂的,因這些應(yīng)用程序并不在物理網(wǎng)絡(luò)應(yīng)用防火墻保護的范圍內(nèi)。如果一個企業(yè)將業(yè)務(wù)遷移到云中或由企業(yè)某處運營的數(shù)據(jù)中心被其他企業(yè)收購,這些應(yīng)用程序仍然由企業(yè)進行保護,但很可能無法采用物理網(wǎng)絡(luò)應(yīng)用防火墻架構(gòu)。云計算網(wǎng)絡(luò)應(yīng)用防火墻是協(xié)助企業(yè)管理所負責的資產(chǎn),但他們有自己的管轄權(quán)。但大多數(shù)情況下,即使通過在所有這些位置上安裝相同的物理硬件,這在技術(shù)上可以實現(xiàn),但在經(jīng)濟上是不可行的。云計算網(wǎng)絡(luò)應(yīng)用防火墻使組織能夠在托管數(shù)據(jù)中心廣泛地保護自己的應(yīng)用程序,并采用類似的策略保護多數(shù)的應(yīng)用層免受攻擊保護它。
實現(xiàn)云計算網(wǎng)絡(luò)應(yīng)用防火墻最終意味著在第三方負責之前,將數(shù)據(jù)傳遞到其原始服務(wù)器來篩選企業(yè)的網(wǎng)絡(luò)應(yīng)用程序的流量。對在這些服務(wù)器上運行的應(yīng)用程序進行保護是組織的責任,但數(shù)據(jù)到達應(yīng)用程序之前,云計算網(wǎng)絡(luò)應(yīng)用防火墻廠商正在執(zhí)行過濾。在所有情況下,應(yīng)用程序或網(wǎng)站正在由云計算網(wǎng)絡(luò)應(yīng)用防火墻保護他們公共DNS記錄,并指向云計算網(wǎng)絡(luò)應(yīng)用防火墻提供商所擁有的地址。這使得所有的流量被分流到云計算網(wǎng)絡(luò)應(yīng)用防火墻提供商,過濾之后并直接發(fā)送到原始服務(wù)器。這允許任何公共網(wǎng)站進行快速過濾,并具有相同或類似的策略作為云計算網(wǎng)絡(luò)應(yīng)用防火墻保護下的其他應(yīng)用程序。這不會留下保護缺口,并且一個網(wǎng)站可以迅速激活一個簡單的DNS變化。而云計算網(wǎng)絡(luò)應(yīng)用防火墻的分權(quán)保護使得公共應(yīng)用程序?qū)崿F(xiàn)全覆蓋。
云計算網(wǎng)絡(luò)應(yīng)用防火墻的好處
云計算網(wǎng)絡(luò)應(yīng)用防火墻使組織能夠在托管數(shù)據(jù)中心廣泛地保護自己的應(yīng)用程序,并采用類似的策略保護多數(shù)的應(yīng)用層免受攻擊保護它。
某些云計算網(wǎng)絡(luò)應(yīng)用防火墻提供商的目標采用一個“黑盒子”的方法應(yīng)用過濾,而不為用戶提供詳細的了解目前過濾應(yīng)用與內(nèi)部部署軟件的能力。它允許采用 OWASPTop10過濾,再加上提供商聯(lián)合創(chuàng)建的額外的供應(yīng)商規(guī)則,網(wǎng)絡(luò)封鎖,速率控制,威脅情報提供者收集其他惡意流量,并對網(wǎng)絡(luò)和自定義規(guī)則創(chuàng)建和應(yīng)用能力。讓所有這些策略和自定義在云中更改的好處是,他們可以很容易地應(yīng)用到其他網(wǎng)站一個DNS的變化,為用戶帶來靈活性和敏捷性。如果一個組織正在運行倚重其當前的內(nèi)部部署云計算網(wǎng)絡(luò)應(yīng)用防火墻定制代碼或其依賴于推動云計算網(wǎng)絡(luò)應(yīng)用防火墻變化的速度,云計算網(wǎng)絡(luò)應(yīng)用防火墻安裝可能面臨一些挑戰(zhàn)。被推到云計算網(wǎng)絡(luò)應(yīng)用防火墻需要審核通過,供應(yīng)商才能傳播到他們的服務(wù)定制的變化。這是因為廠商不希望將錯誤配置的變化推送到他們的服務(wù),并給為其他客戶帶來性能問題。
由于云計算網(wǎng)絡(luò)應(yīng)用防火墻不在本地,企業(yè)必須確定他們將如何接收來自云服務(wù)提供商的登錄到更多的基礎(chǔ)設(shè)施他們目前相關(guān)的日志。網(wǎng)絡(luò)應(yīng)用防火墻日志對于安全信息和事件管理(SIEM)是非常有價值的,更重要的是企業(yè)的合規(guī)性。許多時候,這些記錄將需要被保持在一定的保留期限。大多數(shù)提供商采用安全文件傳送協(xié)議(SFTP)將需要的日志和相關(guān)API軟件傳送到一個網(wǎng)站進行保留。登錄的能力固然重要,但有能力報告和預(yù)警企業(yè)的流量也勢在必行。跟所有可用的云計算網(wǎng)絡(luò)應(yīng)用防火墻提供商需要得到他們熟悉的報告/報警功能,如果他們要達到預(yù)期目的話。
實施步驟
在云計算網(wǎng)絡(luò)應(yīng)用防火墻的實施過程中,企業(yè)應(yīng)該了解如何將一個新的應(yīng)用程序,創(chuàng)建新的云計算網(wǎng)絡(luò)應(yīng)用防火墻的策略,并確定如何在誤報事件列入白名單的簽名。這將包括研究如何將證書SSL導(dǎo)入到云提供商的軟件,以及如何在云計算網(wǎng)絡(luò)應(yīng)用防火墻內(nèi)進行篩選。大多數(shù)解決方案已經(jīng)審核合規(guī)性,但它仍然具有由第三方托管的云證書的風險。云計算供應(yīng)商還將為用戶在其網(wǎng)絡(luò)上的所有系統(tǒng)從網(wǎng)絡(luò)應(yīng)用防火墻轉(zhuǎn)發(fā)代理回原來地址的IP列表。這里,一個企業(yè)可以限制可以發(fā)送數(shù)據(jù)到其面向公眾的應(yīng)用的源地址,并在其周邊配置防火墻規(guī)則。此外,企業(yè)應(yīng)確定是否需要在其云計算網(wǎng)絡(luò)應(yīng)用防火墻的臨時區(qū)域,并要求供應(yīng)商做到這一點。
最后,云計算網(wǎng)絡(luò)應(yīng)用防火墻供應(yīng)商的帳單可能取決于流量,而這與企業(yè)配置SSL保護位點的數(shù)目和策略有關(guān)。這可能是一個龐大的前期費用,但是從長遠來看,云計算網(wǎng)絡(luò)應(yīng)用防火墻安裝在每個物理位置成本更加低廉。這些解決方案都是每年計費結(jié)算,并宣稱作為運作費用。許多供應(yīng)商提供CDN服務(wù),以及提供域名系統(tǒng)和分布式拒絕保護攻擊的保護,這可能有利于云計算網(wǎng)絡(luò)應(yīng)用防火墻的實現(xiàn)。
