人們通過云計算網絡應用防火墻以確保未在本地托管的應用程序,這是可行的。行業專家馬特·帕斯庫奇解釋它們是如何工作的,以及企業對此所需要了解哪些事情。
如今,網絡應用程序漏洞和攻擊的風險仍然持續存在于其應用程序運行的環境中。這使得那些在互聯網上公開訪問應用程序的組織面臨更大的風險。WAF(網絡應用防火墻)可以減輕這些威脅,這是人們所熟悉的常識,但這意味著托管數據中心部署昂的貴硬件維護這些公共應用程序的惡意使用。
為什么產生云計算網絡應用防火墻?
在當今的現代網絡中,通常有并購行為發生,而這使得某些應用程序不受保護。由于應用程序并不是部署在同一地點,因此不能很好地獲得物理網絡應用防火墻的保護。例如企業遷移應用程序或數據中心被異地托管,或企業將業務遷移到云中。從應用程序保護的角度來看,這是令人擔憂的,因這些應用程序并不在物理網絡應用防火墻保護的范圍內。如果一個企業將業務遷移到云中或由企業某處運營的數據中心被其他企業收購,這些應用程序仍然由企業進行保護,但很可能無法采用物理網絡應用防火墻架構。云計算網絡應用防火墻是協助企業管理所負責的資產,但他們有自己的管轄權。但大多數情況下,即使通過在所有這些位置上安裝相同的物理硬件,這在技術上可以實現,但在經濟上是不可行的。云計算網絡應用防火墻使組織能夠在托管數據中心廣泛地保護自己的應用程序,并采用類似的策略保護多數的應用層免受攻擊保護它。
實現云計算網絡應用防火墻最終意味著在第三方負責之前,將數據傳遞到其原始服務器來篩選企業的網絡應用程序的流量。對在這些服務器上運行的應用程序進行保護是組織的責任,但數據到達應用程序之前,云計算網絡應用防火墻廠商正在執行過濾。在所有情況下,應用程序或網站正在由云計算網絡應用防火墻保護他們公共DNS記錄,并指向云計算網絡應用防火墻提供商所擁有的地址。這使得所有的流量被分流到云計算網絡應用防火墻提供商,過濾之后并直接發送到原始服務器。這允許任何公共網站進行快速過濾,并具有相同或類似的策略作為云計算網絡應用防火墻保護下的其他應用程序。這不會留下保護缺口,并且一個網站可以迅速激活一個簡單的DNS變化。而云計算網絡應用防火墻的分權保護使得公共應用程序實現全覆蓋。
云計算網絡應用防火墻的好處
云計算網絡應用防火墻使組織能夠在托管數據中心廣泛地保護自己的應用程序,并采用類似的策略保護多數的應用層免受攻擊保護它。
某些云計算網絡應用防火墻提供商的目標采用一個“黑盒子”的方法應用過濾,而不為用戶提供詳細的了解目前過濾應用與內部部署軟件的能力。它允許采用OWASPTop10過濾,再加上提供商聯合創建的額外的供應商規則,網絡封鎖,速率控制,威脅情報提供者收集其他惡意流量,并對網絡和自定義規則創建和應用能力。讓所有這些策略和自定義在云中更改的好處是,他們可以很容易地應用到其他網站一個DNS的變化,為用戶帶來靈活性和敏捷性。如果一個組織正在運行倚重其當前的內部部署云計算網絡應用防火墻定制代碼或其依賴于推動云計算網絡應用防火墻變化的速度,云計算網絡應用防火墻安裝可能面臨一些挑戰。被推到云計算網絡應用防火墻需要審核通過,供應商才能傳播到他們的服務定制的變化。這是因為廠商不希望將錯誤配置的變化推送到他們的服務,并給為其他客戶帶來性能問題。
由于云計算網絡應用防火墻不在本地,企業必須確定他們將如何接收來自云服務提供商的登錄到更多的基礎設施他們目前相關的日志。網絡應用防火墻日志對于安全信息和事件管理(SIEM)是非常有價值的,更重要的是企業的合規性。許多時候,這些記錄將需要被保持在一定的保留期限。大多數提供商采用安全文件傳送協議(SFTP)將需要的日志和相關API軟件傳送到一個網站進行保留。登錄的能力固然重要,但有能力報告和預警企業的流量也勢在必行。跟所有可用的云計算網絡應用防火墻提供商需要得到他們熟悉的報告/報警功能,如果他們要達到預期目的話。
實施步驟
在云計算網絡應用防火墻的實施過程中,企業應該了解如何將一個新的應用程序,創建新的云計算網絡應用防火墻的策略,并確定如何在誤報事件列入白名單的簽名。這將包括研究如何將證書SSL導入到云提供商的軟件,以及如何在云計算網絡應用防火墻內進行篩選。大多數解決方案已經審核合規性,但它仍然具有由第三方托管的云證書的風險。云計算供應商還將為用戶在其網絡上的所有系統從網絡應用防火墻轉發代理回原來地址的IP列表。這里,一個企業可以限制可以發送數據到其面向公眾的應用的源地址,并在其周邊配置防火墻規則。此外,企業應確定是否需要在其云計算網絡應用防火墻的臨時區域,并要求供應商做到這一點。
最后,云計算網絡應用防火墻供應商的帳單可能取決于流量,而這與企業配置SSL保護位點的數目和策略有關。這可能是一個龐大的前期費用,但是從長遠來看,云計算網絡應用防火墻安裝在每個物理位置成本更加低廉。這些解決方案都是每年計費結算,并宣稱作為運作費用。許多供應商提供CDN服務,以及提供域名系統和分布式拒絕保護攻擊的保護,這可能有利于云計算網絡應用防火墻的實現。