Web應用防火牆(WAF)市場正在不斷壯大,這主要歸因於企業紛紛採用基於雲的WAF服務。基於雲的WAF服務一開始就立足於多租戶、基於雲,從長遠來看它可以避免對遺留代碼進行成本高昂的維護。此外,它還提供了競爭優勢,因為發佈週期更短,還可以迅速實施創新功能。
隨著應用程序格局的變化,我們用於保護企業系統及其處理數據的工具也在隨之發生變化。其中,WAF的發展就是調整老舊安全系統以保護現代化企業的一個主要示例。
幾乎所有企業都有理由擔心在線洩露問題。黑客們不僅僅會針對網站實施攻擊活動,他們還會通過員工、客戶以及合作伙伴所使用的Web應用程序漏洞來實施入侵行為。由於企業應用程序中通常包含大量個人和企業隱私數據,因此必須部署更高級別的保護措施。
無數事實證明,在黑客入侵活動中,Web應用程序是造成洩露最主要的攻擊媒介。根據最新的Verizon數據洩露調查報告顯示,近一半的數據洩露事件都是由Web應用程序漏洞利用造成的,而就Equifax數據洩露案件而言,正確部署WAF就能夠阻止此次事件的發生。
雲WAF需求
傳統意義上來說,WAF通常作為物理的、本地部署(on-premises)工具部署在Web服務器的前面,旨在保護Web應用和API遠離內外攻擊,尤其包括注入攻擊和應用層拒絕服務攻擊(DoS),監視和控制對Web應用的訪問,以及收集訪問日誌用於合規/審計和分析。WAF最常採用嵌入式部署,作為一種反向代理系統,因為過去這是執行深入檢測工作的唯一途徑。
如今存在其他部署模式,比如透明代理或網橋。一些WAF還可以採用帶外部署模式(即OOB或鏡像模式),因而可處理整路的網絡流量。但是,並非每一項功能特性在所有這些部署模式下都可以發揮作用;對許多企業組織而言,反向代理是最流行的方案。近些年來,Web應用加大了使用傳輸層安全(TLS)加密的力度――基於需要嵌入式攔截流量(中間人)才能解密的密碼套件(cipher suite),因而減少了OOB部署的數量。
如果你把自己的網絡想象成一個受到圍牆(即你的防火牆)保護的堡壘,那麼Web應用程序就像是這面牆上的一扇紗門——無論你已經部署了幾層防護,只要任何一個Web應用沒有得到合理的保護,都完全可能摧毀這一切。
隨著企業遷移至雲端,應用程序也不再託管在他們的技術架構上。自此,他們也失去了對於應用程序使用方式、訪問者以及進出流量的可視性。近些年來,對於越來越多的企業而言,由廠商直接作為基於雲的服務來交付的WAF(基於雲的WAF服務)已成為一種更流行的方案,由最初的目標群——中型企業——擴大到更廣泛的企業。基於雲的WAF服務通過將更規律的安全更新、更強的擴展性以及每月或每年的訂閱模式結合起來,以簡化管理實踐。
人們已經在檢測模式中運用了WAF很長一段時間,但是想要將其用於阻斷威脅可能還需要一段時間。因為WAF在提供了豐富信息的同時也產生了大量的誤報,這引發了安全團隊的擔憂。根據Imperva最新調查結果顯示,27%的安全團隊每天都會收到超過100萬次的安全警報,而53%的IT專業人員正在努力將重大安全事件與誤報區分開來。
在過去的四五年間,越來越多的企業希望獲得更好的Web應用程序支持,卻苦於缺乏相關領域的專業知識和人才。後來,他們開始將目光轉向日益增長的基於雲的WAF市場,這些市場共享威脅數據並提供類似的支持服務,同時還能幫助企業更為輕鬆地實現部署和管理任務。
基於雲VS. 本地部署WAF:區別和部署
本地部署(on-premises)和基於雲的WAF之間存在一些主要差異,其中最大的差異在於其部署方式不同。本地部署WAF在數據中心運行,或通過“基礎設施即服務”(IaaS)作為虛擬機運行。而云WAF則以“軟件即服務”(SaaS)的形式出售,並通過Web界面或移動應用程序進行管理。本地部署WAF需要你自行處理容量規劃和複雜性;但是使用雲WAF,這些工作都是由WAF提供商進行處理的。
雖然本地部署WAF具有開箱即用/即插即用的政策,但是管理員可以完全控制其公司的規則。本地部署系統更具可定製性和複雜性,讓管理員能夠調整應用程序與WAF的交互方式。但是,這也要求企業必須對這些數據進行監控,確保其無法訪問。
但是,基於雲的WAF卻有所不同,其安全策略是由WAF提供商根據他們對威脅情況的看法進行預先定義的,以免客戶得到太多誤報。雲WAF通常具有負載均衡,API,應用交付規則和DDoS保護等功能。但是,客戶通常不具備對於預置WAF的細粒度訪問權限。軟件由提供者託管在數據中心中,並由提供商負責保護它們。
至於究竟要選擇本地部署WAF還是雲WAF,則需要根據你的具體業務需求,以及應用程序和數據的敏感程度進行綜合評估。有些企業會使用混合模式,即在本地部署硬件WAF以及在公共雲中部署WAF即服務模式。例如,基於雲的WAF可以放置在網絡邊緣,因為預先設置的WAF能夠分析複雜的內部威脅情況。
企業安全人員需要結合業務需求,弄清楚企業重心是否正在轉向雲端,以及轉向雲端的速度如何,當明確了企業業務發展路線之後,他們就可以決定自己想要的WAF部署模式究竟是本地還是雲交付的WAF。
基於雲VS. 本地部署WAF優缺點總結
作為網站運營方,該如何選擇適合自己的WAF呢?不同形態的WAF各有各的長處,但也有各自的缺點:
硬件WAF優點:
- 部署簡易,即插即用:硬件WAF只需串聯到交換機上,進行簡單的配置後即可實現Web安全防護。
- 可承受較高的吞吐量:由於硬件防火牆基於硬件設備實現,一般情況下可承受較高的數據吞吐量。
- 防護範圍大:由於硬件防火牆直接串聯到了交換機,所以在同一個交換機下的所有服務器,都處於防火牆的防護範圍之類。
硬件WAF缺點:
- 價格昂貴:目前安全行業中的硬件WAF,價格對於中小企業來說過於昂貴,動輒便是幾十萬甚至幾百萬。
- 存在一定誤殺:由於硬件WAF是通過攻擊規則庫對異常流量進行識別,所以在業務系統複雜的情況下,可能存在一定誤殺導致正常功能被防火牆攔截導致影響正常業務。
- 存在一定繞過機率:硬件防火牆對HTTP協議進行自行解析,可能存在與Web服務器對HTTP請求的理解不一致從而導致被繞過。
雲WAF優點:
- 部署簡單,維護成本低:這也是雲WAF最有價值和受用戶喜愛的一點,無需安裝任何軟件或者部署任何硬件設備,只需修改DNS即可將網站部署到雲WAF的防護範圍之內。
- 用戶無需更新:雲WAF的防護規則都處於雲端,新漏洞爆發時,由雲端負責規則的更新和維護,用戶無需擔心因為疏忽導致受到新型的漏洞攻擊。
- 可充當CDN:雲WAF在提供防護功能的同時,還同時具有CDN的功能,在進行防護的同時還可以提高網站訪問的速率,CDN通過跨運營商的多線智能解析調度將靜態資源動態負載到全國的雲節點,用戶訪問某個資源時會被引導至最近的雲端節點從而提高訪問速度。
雲WAF的缺點:
- 存在輕易被繞過的風險:雲WAF的主要實現原理是通過將用戶的DNS解析到雲節點實現防護,這樣一來,如果黑客通過相關手段獲取了服務器的真實IP地址,然後強制解析域名,就可以輕鬆繞過雲WAF對服務器發起攻擊。
- 可靠性低:雲WAF處理一次請求,其中需要經過DNS解析、請求調度、流量過濾等環節,其中涉及協同關聯工作,其中只要有一個環節出現問題,就會導致網站無法訪問。必要時,只能手動切換為原DNS來保證業務正常運行,而域名解析需要一定時間,則會導致網站短時間無法正常訪問。
- 保密性低:網站訪問數據對於一些企業、機構來說為保密數據,裡面可能包含用戶的隱私或者商業信息,這些數據自行管控會相對安全,但是如果使用WAF,所有的數據會記錄到雲端,這相當於數據被別人保管,可能存在一定的洩露風險。
分析利弊後,我們發現基於雲的WAF更適合安全需求較低的中小型企業或者個人網站,對於安全需求較高的網站,如政府、金融、運營商等,雲WAF可能無法滿足相關要求。對於任務密集型、基於Web的應用程序則需要專用或硬件類型的設備。但是,具體採用哪種WAF形式並不是“一方醫百病”的問題,企業可以根據自身情況,採用更廣泛的形式以支持各種網絡環境需求,從而實現更大程度的靈活性和安全性。
你需要讓團隊中瞭解安全性和應用程序的人知道不同類型的WAF的區別和利弊,告訴他們如何使用雲WAF,以及如何有效且高效地實現雲端遷移。
主要雲服務提供商開始轉移市場
公有云中的早期WAF部署必須是第三方解決方案,因為當時的共有云提供商並不提供任何解決方案。如今,一些主要雲提供商也已經具備了基礎的初級WAF服務,應用程序團隊正傾向於從亞馬遜和AWS處獲取解決方案。
至於具體選擇第三方解決方案還是雲服務提供商的解決方案,主要取決於應用程序的性質和使用情況。如果你的應用程序極易遭受攻擊,建議你可以選擇第三方虛擬WAF或WAF即服務工具,這些工具目前可以為Web應用程序提供更好的防護。
如果該應用程序並不是很重要,且用戶相信雲提供商會進一步完善自己的WAF服務,那麼你可以選擇使用雲原生(cloud-native)的工具。來自主要雲服務提供商的WAF安全性尚未與第三方系統保持一致,但正在改善。例如,AWS已經正在進一步強化其WAF功能。第一個AWS WAF沒有簽名,但現在它正在構建一個簽名數據庫。此外,亞馬遜的WAF也比較便宜:您只需按使用量付費即可,AWS WAF會基於你部署的規則數量,以及你的Web應用程序收到的Web請求數量定價。
專家預計,隨著時間的推移,越來越多的工作負載轉移至雲端,人們對於安全性的需求日盛,市場將會依據雲IaaS供應商改善自身WAF的情況為其確立排位,最先完善其WAF的雲IaaS供應商將佔據絕對的市場競爭優勢。雖然他們的WAF服務還遠趕不上第三方解決方案,但是它們的突出優勢在於其成本要低得多。
隨著微軟和亞馬遜等主要提供商開始探索和部署WAF空間,現有供應商也開始專注為其現有工具添加更多功能。Imperva公司最近推出了Attack Analytics,它旨在自動化關聯和分析攻擊事件的過程,並優先考慮最嚴重的威脅,威脅數據可以從應用程序本地或雲中提取。
專家預計,未來一年,安全管理人員可能會對開發團隊究竟是使用雲原生保護還是第三方服務提出更多質疑,也將給與更多關注。
閱讀更多 安全牛 的文章
