【51CTO.com快译】在过去几十年,Web应用防火墙(WAF)变成了一种无处不在的安全设备。凡是有Web应用程序的组织(包括大多数大企业)都安装了WAF,以保护其数据和资产不被人利用和攻击。保护Web应用程序安全的最佳实践已演变为仅仅在应用程序前面部署WAF。但是在当前市场,随着现代应用生命周期助力DevOps以极快的频率发布更新,传统的WAF能否跟得上步伐?
在现代敏捷开发环境下,WAF并不像人们说的那么好,这已是公开的行业秘密。WAF跟不上频繁的应用程序更新,维护WAF已变得非常费力又费事。
如果WAF死了,安全专家该如何是好?什么会阻止您的Web应用程序成为进入贵组织安全环境的正门?知道DevOps会继续推出新代码,您如何确定WAF是否值得维护或者它是否已进入死胡同?不妨看看您的WAF如何跟得上DevOps的速度。
图1
上下文为王
网络安全旨在监控静态网络(使用彼此相同的协议),而WAF旨在保护彼此明显不同的Web应用程序。每个应用程序都是唯一的,每个代码段都不同,都有自身的一系列漏洞。甚至在引入云存储和速度飞快的DevOp之前,WAF都被认为只是很普通的安全解决方案。
使用位于应用程序前面而不是内嵌的解决方案意味着,不可能进行上下文分析。由于没有上下文来了解正在交互的应用程序里面的内容,WAF方面的发展就不可能自动跟上应用程序方面的发展。
教育、教育、教育
机器学习方面的改进只能在一定程度上解决这个难题。复杂的WAF“只”需要一个月静静安置下来、学习为应用程序创建基准,可任由应用程序在一个月内不受保护实在太久了。人们难免需要介入,帮助调校WAF,这时候维护变成了繁重任务。如果每当内容或代码更改,WAF就需要时间来学习和创建基线,管理员面临大量的繁重工作,以便减少警报,并创建例外。
不自动化就瓦解
说说下一个问题:您的WAF是否可以在没有人干预的情况下真正保护Web应用程序免受逻辑攻击?答案在于,如果持续交付,这根本不可能。事实上,大多数WAF都不处于警报模式。允许它们阻止的话,太危险了,因为大量警报会造成警报疲劳。
也许管理员会做一些细微的调整,以便用阻止规则保护应用程序的敏感部分,但是应用程序的其余部分将由警报模式下的WAF使用模式匹配及其他粗陋的技术加以保护。这就导致安全解决方案无法随着应用程序的发展而自动部署,以免受新的逻辑攻击。
不快速就回家
云计算的主题是敏捷性。2015年要花两周才能创建的软件现在只需几秒钟。如果利用微服务,您可以在几分钟内显著改变应用程序。在这种新环境下,考虑使用依赖学习或手动配置的标准老式应用程序安全解决方案很荒谬。
每当开发人员调整代码并将其发送到外面,这都是单方面的举动,没有与安全人员协商。
如果您使用的WAF依赖这种假设:您环境中的一切都是非特有的,您的WAF已经失效,那是时候改变了。WAF已死,DevOps杀死了它。现在是时候进行分析了,以确定您的WAF是否还可用或者您是否使用的很累赘。
原文标题:The Web App Firewall Is Dead and We Know Who Killed It,作者:TJ Gonen
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】