為什么說WAF氣數已盡?
網絡安全業界關于“Dev(Sec)Ops當立,WAF已死”的斷言已經流行了一段時間,WAF(Web應用程序防火墻)真的要退出歷史舞臺了嗎?Dev(Sec)Ops是WAF的掘墓人嗎?答案是否定的。盡管有些人可能認為DevOps具有手段、動機和機會,但事實是WAF不但未完全消失,而且會繼續存在很長時間。
WAF還有什么價值?
DevOps以及持續集成和持續部署(CI/CD)管道為實施安全策略提供了極好的機會,尤其是開發團隊在敏捷方法增加了安全性Sprint的情況下。Dev(Sec)Ops從一開始就將安全功能內置到應用程序中,而不是像傳統開發方法那樣亡羊補牢。后者不僅效率低下,而且在緊鑼密鼓的CI/CD流程往往被忽略或遺忘。
盡管DevSecOps從一開始就內置所有Web應用程序的安全性,但是經驗表明,它通常僅適用于“皇冠上的寶石”,例如公司的主要客戶門戶或客戶支付系統。在企業環境中,對于公司來說,運行不再維護代碼的舊應用程序或通過收購集成應用程序的場景并不少見。
此外,研發和市場營銷等部門經常實施自定義或第三方應用程序。這種應用程序的激增可能導致組織中超過50%的面向公眾的Web應用程序由DevOps或其他不同的IT小組進行管理。這些應用將需要其他威脅緩解控制,而WAF正是其中一種。
DevOps安全性的局限性
當Web應用程序成為企業的關鍵應用時,WAF已成為企業安全的基石。設計用于保護很大程度上是靜態網絡環境的單個網絡防火墻已不再足夠。WAF針對特定應用程序,提供不同的安全防護。但是WAF的過濾、監控和策略執行(例如阻止惡意流量)雖然提供了有價值的保護,但會帶來成本影響并消耗計算資源。此外,在DevOps的云環境中,匹配不斷更新和更改的流程對于WAF來說也是一項挑戰。
將安全性引入CI/CD管道可以解決該問題,但僅適用于以此種方式開發的應用程序。無法在舊的第三方應用程序或由不同部門部署的應用程序中實施安全功能的Sprint。這些應用程序的存在給企業帶來了風險,但它們仍然需要得到保護,而WAF仍然可能是最佳選擇。
同樣重要的是,沒有什么方法可以完美解決所有網絡安全問題,僅靠敏捷的DevOps方法是不夠的。即使在不包含過時應用或第三方應用程序的環境中,您也永遠無法確定其他團隊在做什么——影子IT對企業來說是一個持續存在的頑疾。除了安全Sprint、代碼審查等措施外,您還需要至少每年執行一次滲透測試。
滲透測試可模擬系統、網絡和Web應用程序上的網絡攻擊,發現黑客可能會利用的漏洞。滲透測試為企業提供了絕佳的機會,使安全狀況與預期保持同步。
WAF來日方長
毫無疑問,對于應用安全來說,主動將安全性內置到Web應用程序中的DevOps敏捷方法應被視為最佳實踐。它能確保安全性與CI/CD管道中的創新速度保持同步,幫助建立安全性和運營團隊之間的協作文化,并使網絡安全性與業務需求保持一致。但是在企業級別,由于存在較舊的不受支持的應用程序,第三方添加的內容以及其他部門可能在開發團隊權限范圍之外進行的獨立活動,因此DevSecOps并不能覆蓋全部的應用安全。
總之,關于WAF即將消亡的報道是危言聳聽。只要依然有遺留應用程序存在于DevOps環境之外,或者DevOps團隊沒有從頭開始完全實現安全性(這仍然相當普遍),那么就有必要采取其他保護應用程序和緩解攻擊的方法。至少在可預見的未來,WAF都會是企業安全武器庫中的必備品。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
