人們通過雲計算網絡應用防火牆以確定未在本地托管的應用程式,這是可行的。行業專家馬特·帕斯庫奇解釋它們是如何工作的,以及企業對此所需要了解哪些事情。
如今,網絡應用程式漏洞和攻擊的風險仍然持續存在于其應用程式運作的環境中。這使得那些在網際網路上公開通路應用程式的組織面臨更大的風險。waf(網絡應用防火牆)可以減輕這些威脅,這是人們所熟悉的常識,但這意味着托管資料中心部署昂的貴硬體維護這些公共應用程式的惡意使用。
為什麼産生雲計算網絡應用防火牆?
在當今的現代網絡中,通常有并購行為發生,而這使得某些應用程式不受保護。由于應用程式并不是部署在同一地點,是以不能很好地獲得實體網絡應用防火牆的保護。例如企業遷移應用程式或資料中心被異地托管,或企業将業務遷移到雲中。從應用程式保護的角度來看,這是令人擔憂的,因這些應用程式并不在實體網絡應用防火牆保護的範圍内。如果一個企業将業務遷移到雲中或由企業某處營運的資料中心被其他企業收購,這些應用程式仍然由企業進行保護,但很可能無法采用實體網絡應用防火牆架構。雲計算網絡應用防火牆是協助企業管理所負責的資産,但他們有自己的管轄權。但大多數情況下,即使通過在所有這些位置上安裝相同的實體硬體,這在技術上可以實作,但在經濟上是不可行的。雲計算網絡應用防火牆使組織能夠在托管資料中心廣泛地保護自己的應用程式,并采用類似的政策保護多數的應用層免受攻擊保護它。
實作雲計算網絡應用防火牆最終意味着在第三方負責之前,将資料傳遞到其原始伺服器來篩選企業的網絡應用程式的流量。對在這些伺服器上運作的應用程式進行保護是組織的責任,但資料到達應用程式之前,雲計算網絡應用防火牆廠商正在執行過濾。在所有情況下,應用程式或網站正在由雲計算網絡應用防火牆保護他們公共dns記錄,并指向雲計算網絡應用防火牆提供商所擁有的位址。這使得所有的流量被分流到雲計算網絡應用防火牆提供商,過濾之後并直接發送到原始伺服器。這允許任何公共網站進行快速過濾,并具有相同或類似的政策作為雲計算網絡應用防火牆保護下的其他應用程式。這不會留下保護缺口,并且一個網站可以迅速激活一個簡單的dns變化。而雲計算網絡應用防火牆的分權保護使得公共應用程式實作全覆寫。
雲計算網絡應用防火牆的好處
雲計算網絡應用防火牆使組織能夠在托管資料中心廣泛地保護自己的應用程式,并采用類似的政策保護多數的應用層免受攻擊保護它。
某些雲計算網絡應用防火牆提供商的目标采用一個“黑盒子”的方法應用過濾,而不為使用者提供詳細的了解目前過濾應用與内部部署軟體的能力。它允許采用owasptop10過濾,再加上提供商聯合建立的額外的供應商規則,網絡封鎖,速率控制,威脅情報提供者收集其他惡意流量,并對網絡和自定義規則建立和應用能力。讓所有這些政策和自定義在雲中更改的好處是,他們可以很容易地應用到其他網站一個dns的變化,為使用者帶來靈活性和靈活性。如果一個組織正在運作倚重其目前的内部部署雲計算網絡應用防火牆定制代碼或其依賴于推動雲計算網絡應用防火牆變化的速度,雲計算網絡應用防火牆安裝可能面臨一些挑戰。被推到雲計算網絡應用防火牆需要稽核通過,供應商才能傳播到他們的服務定制的變化。這是因為廠商不希望将錯誤配置的變化推送到他們的服務,并給為其他客戶帶來性能問題。
由于雲計算網絡應用防火牆不在本地,企業必須确定他們将如何接收來自雲服務提供商的登入到更多的基礎設施他們目前相關的日志。網絡應用防火牆日志對于安全資訊和事件管理(siem)是非常有價值的,更重要的是企業的合規性。許多時候,這些記錄将需要被保持在一定的保留期限。大多數提供商采用安全檔案傳送協定(sftp)将需要的日志和相關api軟體傳送到一個網站進行保留。登入的能力固然重要,但有能力報告和預警企業的流量也勢在必行。跟所有可用的雲計算網絡應用防火牆提供商需要得到他們熟悉的報告/報警功能,如果他們要達到預期目的話。
實施步驟
在雲計算網絡應用防火牆的實施過程中,企業應該了解如何将一個新的應用程式,建立新的雲計算網絡應用防火牆的政策,并确定如何在誤報事件列入白名單的簽名。這将包括研究如何将證書ssl導入到雲提供商的軟體,以及如何在雲計算網絡應用防火牆内進行篩選。大多數解決方案已經稽核合規性,但它仍然具有由第三方托管的雲證書的風險。雲計算供應商還将為使用者在其網絡上的所有系統從網絡應用防火牆轉發代理回原來位址的ip清單。這裡,一個企業可以限制可以發送資料到其面向公衆的應用的源位址,并在其周邊配置防火牆規則。此外,企業應确定是否需要在其雲計算網絡應用防火牆的臨時區域,并要求供應商做到這一點。
最後,雲計算網絡應用防火牆供應商的帳單可能取決于流量,而這與企業配置ssl保護位點的數目和政策有關。這可能是一個龐大的前期費用,但是從長遠來看,雲計算網絡應用防火牆安裝在每個實體位置成本更加低廉。這些解決方案都是每年計費結算,并宣稱作為運作費用。許多供應商提供cdn服務,以及提供域名系統和分布式拒絕保護攻擊的保護,這可能有利于雲計算網絡應用防火牆的實作。
本文轉自d1net(轉載)
![網絡流量分析之流量采集到流量還原[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)