人们通过云计算网络应用防火墙以确保未在本地托管的应用程序,这是可行的。行业专家马特·帕斯库奇解释它们是如何工作的,以及企业对此所需要了解哪些事情。
如今,网络应用程序漏洞和攻击的风险仍然持续存在于其应用程序运行的环境中。这使得那些在互联网上公开访问应用程序的组织面临更大的风险。WAF(网络应用防火墙)可以减轻这些威胁,这是人们所熟悉的常识,但这意味着托管数据中心部署昂的贵硬件维护这些公共应用程序的恶意使用。
为什么产生云计算网络应用防火墙?
在当今的现代网络中,通常有并购行为发生,而这使得某些应用程序不受保护。由于应用程序并不是部署在同一地点,因此不能很好地获得物理网络应用防火墙的保护。例如企业迁移应用程序或数据中心被异地托管,或企业将业务迁移到云中。从应用程序保护的角度来看,这是令人担忧的,因这些应用程序并不在物理网络应用防火墙保护的范围内。如果一个企业将业务迁移到云中或由企业某处运营的数据中心被其他企业收购,这些应用程序仍然由企业进行保护,但很可能无法采用物理网络应用防火墙架构。云计算网络应用防火墙是协助企业管理所负责的资产,但他们有自己的管辖权。但大多数情况下,即使通过在所有这些位置上安装相同的物理硬件,这在技术上可以实现,但在经济上是不可行的。云计算网络应用防火墙使组织能够在托管数据中心广泛地保护自己的应用程序,并采用类似的策略保护多数的应用层免受攻击保护它。
实现云计算网络应用防火墙最终意味着在第三方负责之前,将数据传递到其原始服务器来筛选企业的网络应用程序的流量。对在这些服务器上运行的应用程序进行保护是组织的责任,但数据到达应用程序之前,云计算网络应用防火墙厂商正在执行过滤。在所有情况下,应用程序或网站正在由云计算网络应用防火墙保护他们公共DNS记录,并指向云计算网络应用防火墙提供商所拥有的地址。这使得所有的流量被分流到云计算网络应用防火墙提供商,过滤之后并直接发送到原始服务器。这允许任何公共网站进行快速过滤,并具有相同或类似的策略作为云计算网络应用防火墙保护下的其他应用程序。这不会留下保护缺口,并且一个网站可以迅速激活一个简单的DNS变化。而云计算网络应用防火墙的分权保护使得公共应用程序实现全覆盖。
云计算网络应用防火墙的好处
云计算网络应用防火墙使组织能够在托管数据中心广泛地保护自己的应用程序,并采用类似的策略保护多数的应用层免受攻击保护它。
某些云计算网络应用防火墙提供商的目标采用一个“黑盒子”的方法应用过滤,而不为用户提供详细的了解目前过滤应用与内部部署软件的能力。它允许采用 OWASPTop10过滤,再加上提供商联合创建的额外的供应商规则,网络封锁,速率控制,威胁情报提供者收集其他恶意流量,并对网络和自定义规则创建和应用能力。让所有这些策略和自定义在云中更改的好处是,他们可以很容易地应用到其他网站一个DNS的变化,为用户带来灵活性和敏捷性。如果一个组织正在运行倚重其当前的内部部署云计算网络应用防火墙定制代码或其依赖于推动云计算网络应用防火墙变化的速度,云计算网络应用防火墙安装可能面临一些挑战。被推到云计算网络应用防火墙需要审核通过,供应商才能传播到他们的服务定制的变化。这是因为厂商不希望将错误配置的变化推送到他们的服务,并给为其他客户带来性能问题。
由于云计算网络应用防火墙不在本地,企业必须确定他们将如何接收来自云服务提供商的登录到更多的基础设施他们目前相关的日志。网络应用防火墙日志对于安全信息和事件管理(SIEM)是非常有价值的,更重要的是企业的合规性。许多时候,这些记录将需要被保持在一定的保留期限。大多数提供商采用安全文件传送协议(SFTP)将需要的日志和相关API软件传送到一个网站进行保留。登录的能力固然重要,但有能力报告和预警企业的流量也势在必行。跟所有可用的云计算网络应用防火墙提供商需要得到他们熟悉的报告/报警功能,如果他们要达到预期目的话。
实施步骤
在云计算网络应用防火墙的实施过程中,企业应该了解如何将一个新的应用程序,创建新的云计算网络应用防火墙的策略,并确定如何在误报事件列入白名单的签名。这将包括研究如何将证书SSL导入到云提供商的软件,以及如何在云计算网络应用防火墙内进行筛选。大多数解决方案已经审核合规性,但它仍然具有由第三方托管的云证书的风险。云计算供应商还将为用户在其网络上的所有系统从网络应用防火墙转发代理回原来地址的IP列表。这里,一个企业可以限制可以发送数据到其面向公众的应用的源地址,并在其周边配置防火墙规则。此外,企业应确定是否需要在其云计算网络应用防火墙的临时区域,并要求供应商做到这一点。
最后,云计算网络应用防火墙供应商的帐单可能取决于流量,而这与企业配置SSL保护位点的数目和策略有关。这可能是一个庞大的前期费用,但是从长远来看,云计算网络应用防火墙安装在每个物理位置成本更加低廉。这些解决方案都是每年计费结算,并宣称作为运作费用。许多供应商提供CDN服务,以及提供域名系统和分布式拒绝保护攻击的保护,这可能有利于云计算网络应用防火墙的实现。