人們通過(guò)云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻以確保未在本地托管的應(yīng)用程序，這是可行的。行業(yè)專家馬特·帕斯庫(kù)奇解釋它們是如何工作的，以及企業(yè)對(duì)此所需要了解哪些事情。

如今，網(wǎng)絡(luò)應(yīng)用程序漏洞和攻擊的風(fēng)險(xiǎn)仍然持續(xù)存在于其應(yīng)用程序運(yùn)行的環(huán)境中。這使得那些在互聯(lián)網(wǎng)上公開訪問(wèn)應(yīng)用程序的組織面臨更大的風(fēng)險(xiǎn)。WAF（網(wǎng)絡(luò)應(yīng)用防火墻）可以減輕這些威脅，這是人們所熟悉的常識(shí)，但這意味著托管數(shù)據(jù)中心部署昂的貴硬件維護(hù)這些公共應(yīng)用程序的惡意使用。

為什么產(chǎn)生云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻？

在當(dāng)今的現(xiàn)代網(wǎng)絡(luò)中，通常有并購(gòu)行為發(fā)生，而這使得某些應(yīng)用程序不受保護(hù)。由于應(yīng)用程序并不是部署在同一地點(diǎn)，因此不能很好地獲得物理網(wǎng)絡(luò)應(yīng)用防火墻的保護(hù)。例如企業(yè)遷移應(yīng)用程序或數(shù)據(jù)中心被異地托管，或企業(yè)將業(yè)務(wù)遷移到云中。從應(yīng)用程序保護(hù)的角度來(lái)看，這是令人擔(dān)憂的，因這些應(yīng)用程序并不在物理網(wǎng)絡(luò)應(yīng)用防火墻保護(hù)的范圍內(nèi)。如果一個(gè)企業(yè)將業(yè)務(wù)遷移到云中或由企業(yè)某處運(yùn)營(yíng)的數(shù)據(jù)中心被其他企業(yè)收購(gòu)，這些應(yīng)用程序仍然由企業(yè)進(jìn)行保護(hù)，但很可能無(wú)法采用物理網(wǎng)絡(luò)應(yīng)用防火墻架構(gòu)。云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻是協(xié)助企業(yè)管理所負(fù)責(zé)的資產(chǎn)，但他們有自己的管轄權(quán)。但大多數(shù)情況下，即使通過(guò)在所有這些位置上安裝相同的物理硬件，這在技術(shù)上可以實(shí)現(xiàn)，但在經(jīng)濟(jì)上是不可行的。云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻使組織能夠在托管數(shù)據(jù)中心廣泛地保護(hù)自己的應(yīng)用程序，并采用類似的策略保護(hù)多數(shù)的應(yīng)用層免受攻擊保護(hù)它。

實(shí)現(xiàn)云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻最終意味著在第三方負(fù)責(zé)之前，將數(shù)據(jù)傳遞到其原始服務(wù)器來(lái)篩選企業(yè)的網(wǎng)絡(luò)應(yīng)用程序的流量。對(duì)在這些服務(wù)器上運(yùn)行的應(yīng)用程序進(jìn)行保護(hù)是組織的責(zé)任，但數(shù)據(jù)到達(dá)應(yīng)用程序之前，云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻廠商正在執(zhí)行過(guò)濾。在所有情況下，應(yīng)用程序或網(wǎng)站正在由云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻保護(hù)他們公共DNS記錄，并指向云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻提供商所擁有的地址。這使得所有的流量被分流到云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻提供商，過(guò)濾之后并直接發(fā)送到原始服務(wù)器。這允許任何公共網(wǎng)站進(jìn)行快速過(guò)濾，并具有相同或類似的策略作為云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻保護(hù)下的其他應(yīng)用程序。這不會(huì)留下保護(hù)缺口，并且一個(gè)網(wǎng)站可以迅速激活一個(gè)簡(jiǎn)單的DNS變化。而云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻的分權(quán)保護(hù)使得公共應(yīng)用程序?qū)崿F(xiàn)全覆蓋。

云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻的好處

云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻使組織能夠在托管數(shù)據(jù)中心廣泛地保護(hù)自己的應(yīng)用程序，并采用類似的策略保護(hù)多數(shù)的應(yīng)用層免受攻擊保護(hù)它。

某些云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻提供商的目標(biāo)采用一個(gè)“黑盒子”的方法應(yīng)用過(guò)濾，而不為用戶提供詳細(xì)的了解目前過(guò)濾應(yīng)用與內(nèi)部部署軟件的能力。它允許采用OWASPTop10過(guò)濾，再加上提供商聯(lián)合創(chuàng)建的額外的供應(yīng)商規(guī)則，網(wǎng)絡(luò)封鎖，速率控制，威脅情報(bào)提供者收集其他惡意流量，并對(duì)網(wǎng)絡(luò)和自定義規(guī)則創(chuàng)建和應(yīng)用能力。讓所有這些策略和自定義在云中更改的好處是，他們可以很容易地應(yīng)用到其他網(wǎng)站一個(gè)DNS的變化，為用戶帶來(lái)靈活性和敏捷性。如果一個(gè)組織正在運(yùn)行倚重其當(dāng)前的內(nèi)部部署云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻定制代碼或其依賴于推動(dòng)云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻變化的速度，云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻安裝可能面臨一些挑戰(zhàn)。被推到云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻需要審核通過(guò)，供應(yīng)商才能傳播到他們的服務(wù)定制的變化。這是因?yàn)閺S商不希望將錯(cuò)誤配置的變化推送到他們的服務(wù)，并給為其他客戶帶來(lái)性能問(wèn)題。

由于云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻不在本地，企業(yè)必須確定他們將如何接收來(lái)自云服務(wù)提供商的登錄到更多的基礎(chǔ)設(shè)施他們目前相關(guān)的日志。網(wǎng)絡(luò)應(yīng)用防火墻日志對(duì)于安全信息和事件管理（SIEM）是非常有價(jià)值的，更重要的是企業(yè)的合規(guī)性。許多時(shí)候，這些記錄將需要被保持在一定的保留期限。大多數(shù)提供商采用安全文件傳送協(xié)議（SFTP）將需要的日志和相關(guān)API軟件傳送到一個(gè)網(wǎng)站進(jìn)行保留。登錄的能力固然重要，但有能力報(bào)告和預(yù)警企業(yè)的流量也勢(shì)在必行。跟所有可用的云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻提供商需要得到他們熟悉的報(bào)告/報(bào)警功能，如果他們要達(dá)到預(yù)期目的話。

實(shí)施步驟

 1/2    1 2 下一頁(yè) 尾頁(yè)