《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > WAF氣數(shù)已盡,?

WAF氣數(shù)已盡?

2021-07-31
來(lái)源:安全牛
關(guān)鍵詞: WAF

  網(wǎng)絡(luò)安全業(yè)界關(guān)于“Dev(Sec)Ops當(dāng)立,,WAF已死”的斷言已經(jīng)流行了一段時(shí)間,,WAF(Web應(yīng)用程序防火墻)真的要退出歷史舞臺(tái)了嗎?Dev(Sec)Ops是WAF的掘墓人嗎,?答案是否定的,。盡管有些人可能認(rèn)為DevOps具有手段、動(dòng)機(jī)和機(jī)會(huì),,但事實(shí)是WAF不但未完全消失,,而且會(huì)繼續(xù)存在很長(zhǎng)時(shí)間。

  WAF還有什么價(jià)值,?

  DevOps以及持續(xù)集成和持續(xù)部署(CI/CD)管道為實(shí)施安全策略提供了極好的機(jī)會(huì),,尤其是開發(fā)團(tuán)隊(duì)在敏捷方法增加了安全性Sprint的情況下。Dev(Sec)Ops從一開始就將安全功能內(nèi)置到應(yīng)用程序中,,而不是像傳統(tǒng)開發(fā)方法那樣亡羊補(bǔ)牢,。后者不僅效率低下,而且在緊鑼密鼓的CI/CD流程往往被忽略或遺忘,。

  盡管DevSecOps從一開始就內(nèi)置所有Web應(yīng)用程序的安全性,,但是經(jīng)驗(yàn)表明,它通常僅適用于“皇冠上的寶石”,,例如公司的主要客戶門戶或客戶支付系統(tǒng),。在企業(yè)環(huán)境中,對(duì)于公司來(lái)說(shuō),,運(yùn)行不再維護(hù)代碼的舊應(yīng)用程序或通過(guò)收購(gòu)集成應(yīng)用程序的場(chǎng)景并不少見,。

  此外,,研發(fā)和市場(chǎng)營(yíng)銷等部門經(jīng)常實(shí)施自定義或第三方應(yīng)用程序。這種應(yīng)用程序的激增可能導(dǎo)致組織中超過(guò)50%的面向公眾的Web應(yīng)用程序由DevOps或其他不同的IT小組進(jìn)行管理,。這些應(yīng)用將需要其他威脅緩解控制,,而WAF正是其中一種。

  DevOps安全性的局限性

  當(dāng)Web應(yīng)用程序成為企業(yè)的關(guān)鍵應(yīng)用時(shí),,WAF已成為企業(yè)安全的基石,。設(shè)計(jì)用于保護(hù)很大程度上是靜態(tài)網(wǎng)絡(luò)環(huán)境的單個(gè)網(wǎng)絡(luò)防火墻已不再足夠。WAF針對(duì)特定應(yīng)用程序,,提供不同的安全防護(hù),。但是WAF的過(guò)濾、監(jiān)控和策略執(zhí)行(例如阻止惡意流量)雖然提供了有價(jià)值的保護(hù),,但會(huì)帶來(lái)成本影響并消耗計(jì)算資源,。此外,在DevOps的云環(huán)境中,,匹配不斷更新和更改的流程對(duì)于WAF來(lái)說(shuō)也是一項(xiàng)挑戰(zhàn),。

  將安全性引入CI/CD管道可以解決該問(wèn)題,但僅適用于以此種方式開發(fā)的應(yīng)用程序,。無(wú)法在舊的第三方應(yīng)用程序或由不同部門部署的應(yīng)用程序中實(shí)施安全功能的Sprint,。這些應(yīng)用程序的存在給企業(yè)帶來(lái)了風(fēng)險(xiǎn),但它們?nèi)匀恍枰玫奖Wo(hù),,而WAF仍然可能是最佳選擇,。

  同樣重要的是,沒有什么方法可以完美解決所有網(wǎng)絡(luò)安全問(wèn)題,,僅靠敏捷的DevOps方法是不夠的。即使在不包含過(guò)時(shí)應(yīng)用或第三方應(yīng)用程序的環(huán)境中,,您也永遠(yuǎn)無(wú)法確定其他團(tuán)隊(duì)在做什么——影子IT對(duì)企業(yè)來(lái)說(shuō)是一個(gè)持續(xù)存在的頑疾,。除了安全Sprint、代碼審查等措施外,,您還需要至少每年執(zhí)行一次滲透測(cè)試,。

  滲透測(cè)試可模擬系統(tǒng)、網(wǎng)絡(luò)和Web應(yīng)用程序上的網(wǎng)絡(luò)攻擊,,發(fā)現(xiàn)黑客可能會(huì)利用的漏洞,。滲透測(cè)試為企業(yè)提供了絕佳的機(jī)會(huì),使安全狀況與預(yù)期保持同步,。

  WAF來(lái)日方長(zhǎng)

  毫無(wú)疑問(wèn),,對(duì)于應(yīng)用安全來(lái)說(shuō),主動(dòng)將安全性內(nèi)置到Web應(yīng)用程序中的DevOps敏捷方法應(yīng)被視為最佳實(shí)踐,。它能確保安全性與CI/CD管道中的創(chuàng)新速度保持同步,,幫助建立安全性和運(yùn)營(yíng)團(tuán)隊(duì)之間的協(xié)作文化,,并使網(wǎng)絡(luò)安全性與業(yè)務(wù)需求保持一致。但是在企業(yè)級(jí)別,,由于存在較舊的不受支持的應(yīng)用程序,,第三方添加的內(nèi)容以及其他部門可能在開發(fā)團(tuán)隊(duì)權(quán)限范圍之外進(jìn)行的獨(dú)立活動(dòng),因此DevSecOps并不能覆蓋全部的應(yīng)用安全,。

  總之,,關(guān)于WAF即將消亡的報(bào)道是危言聳聽。只要依然有遺留應(yīng)用程序存在于DevOps環(huán)境之外,,或者DevOps團(tuán)隊(duì)沒有從頭開始完全實(shí)現(xiàn)安全性(這仍然相當(dāng)普遍),,那么就有必要采取其他保護(hù)應(yīng)用程序和緩解攻擊的方法。至少在可預(yù)見的未來(lái),,WAF都會(huì)是企業(yè)安全武器庫(kù)中的必備品,。




電子技術(shù)圖片.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。