基于云的WAF VS. 本地部署WAF
Web應用防火墻(WAF)市場正在不斷壯大,這主要歸因于企業紛紛采用基于云的WAF服務。基于云的WAF服務一開始就立足于多租戶、基于云,從長遠來看它可以避免對遺留代碼進行成本高昂的維護。此外,它還提供了競爭優勢,因為發布周期更短,還可以迅速實施創新功能。
隨著應用程序格局的變化,我們用于保護企業系統及其處理數據的工具也在隨之發生變化。其中,WAF的發展就是調整老舊安全系統以保護現代化企業的一個主要示例。
幾乎所有企業都有理由擔心在線泄露問題。黑客們不僅僅會針對網站實施攻擊活動,他們還會通過員工、客戶以及合作伙伴所使用的Web應用程序漏洞來實施入侵行為。由于企業應用程序中通常包含大量個人和企業隱私數據,因此必須部署更高級別的保護措施。
無數事實證明,在黑客入侵活動中,Web應用程序是造成泄露最主要的攻擊媒介。根據最新的Verizon數據泄露調查報告顯示,近一半的數據泄露事件都是由Web應用程序漏洞利用造成的,而就Equifax數據泄露案件而言,正確部署WAF就能夠阻止此次事件的發生。
云WAF需求
傳統意義上來說,WAF通常作為物理的、本地部署(on-premises)工具部署在Web服務器的前面,旨在保護Web應用和API遠離內外攻擊,尤其包括注入攻擊和應用層拒絕服務攻擊(DoS),監視和控制對Web應用的訪問,以及收集訪問日志用于合規/審計和分析。WAF最常采用嵌入式部署,作為一種反向代理系統,因為過去這是執行深入檢測工作的唯一途徑。
如今存在其他部署模式,比如透明代理或網橋。一些WAF還可以采用帶外部署模式(即OOB或鏡像模式),因而可處理整路的網絡流量。但是,并非每一項功能特性在所有這些部署模式下都可以發揮作用;對許多企業組織而言,反向代理是最流行的方案。近些年來,Web應用加大了使用傳輸層安全(TLS)加密的力度――基于需要嵌入式攔截流量(中間人)才能解密的密碼套件(cipher suite),因而減少了OOB部署的數量。
如果你把自己的網絡想象成一個受到圍墻(即你的防火墻)保護的堡壘,那么Web應用程序就像是這面墻上的一扇紗門——無論你已經部署了幾層防護,只要任何一個Web應用沒有得到合理的保護,都完全可能摧毀這一切。
隨著企業遷移至云端,應用程序也不再托管在他們的技術架構上。自此,他們也失去了對于應用程序使用方式、訪問者以及進出流量的可視性。近些年來,對于越來越多的企業而言,由廠商直接作為基于云的服務來交付的WAF(基于云的WAF服務)已成為一種更流行的方案,由最初的目標群——中型企業——擴大到更廣泛的企業。基于云的WAF服務通過將更規律的安全更新、更強的擴展性以及每月或每年的訂閱模式結合起來,以簡化管理實踐。
人們已經在檢測模式中運用了WAF很長一段時間,但是想要將其用于阻斷威脅可能還需要一段時間。因為WAF在提供了豐富信息的同時也產生了大量的誤報,這引發了安全團隊的擔憂。根據Imperva最新調查結果顯示,27%的安全團隊每天都會收到超過100萬次的安全警報,而53%的IT專業人員正在努力將重大安全事件與誤報區分開來。
在過去的四五年間,越來越多的企業希望獲得更好的Web應用程序支持,卻苦于缺乏相關領域的專業知識和人才。后來,他們開始將目光轉向日益增長的基于云的WAF市場,這些市場共享威脅數據并提供類似的支持服務,同時還能幫助企業更為輕松地實現部署和管理任務。
基于云VS. 本地部署WAF:區別和部署
本地部署(on-premises)和基于云的WAF之間存在一些主要差異,其中最大的差異在于其部署方式不同。本地部署WAF在數據中心運行,或通過“基礎設施即服務”(IaaS)作為虛擬機運行。而云WAF則以“軟件即服務”(SaaS)的形式出售,并通過Web界面或移動應用程序進行管理。本地部署WAF需要你自行處理容量規劃和復雜性;但是使用云WAF,這些工作都是由WAF提供商進行處理的。
雖然本地部署WAF具有開箱即用/即插即用的政策,但是管理員可以完全控制其公司的規則。本地部署系統更具可定制性和復雜性,讓管理員能夠調整應用程序與WAF的交互方式。但是,這也要求企業必須對這些數據進行監控,確保其無法訪問。
但是,基于云的WAF卻有所不同,其安全策略是由WAF提供商根據他們對威脅情況的看法進行預先定義的,以免客戶得到太多誤報。云WAF通常具有負載均衡,API,應用交付規則和DDoS保護等功能。但是,客戶通常不具備對于預置WAF的細粒度訪問權限。軟件由提供者托管在數據中心中,并由提供商負責保護它們。
至于究竟要選擇本地部署WAF還是云WAF,則需要根據你的具體業務需求,以及應用程序和數據的敏感程度進行綜合評估。有些企業會使用混合模式,即在本地部署硬件WAF以及在公共云中部署WAF即服務模式。例如,基于云的WAF可以放置在網絡邊緣,因為預先設置的WAF能夠分析復雜的內部威脅情況。
企業安全人員需要結合業務需求,弄清楚企業重心是否正在轉向云端,以及轉向云端的速度如何,當明確了企業業務發展路線之后,他們就可以決定自己想要的WAF部署模式究竟是本地還是云交付的WAF。
基于云VS. 本地部署WAF優缺點總結
作為網站運營方,該如何選擇適合自己的WAF呢?不同形態的WAF各有各的長處,但也有各自的缺點:
1. 硬件WAF優點:
- 部署簡易,即插即用:硬件WAF只需串聯到交換機上,進行簡單的配置后即可實現Web安全防護。
- 可承受較高的吞吐量:由于硬件防火墻基于硬件設備實現,一般情況下可承受較高的數據吞吐量。
- 防護范圍大:由于硬件防火墻直接串聯到了交換機,所以在同一個交換機下的所有服務器,都處于防火墻的防護范圍之類。
2. 硬件WAF缺點:
- 價格昂貴:目前安全行業中的硬件WAF,價格對于中小企業來說過于昂貴,動輒便是幾十萬甚至幾百萬。
- 存在一定誤殺:由于硬件WAF是通過攻擊規則庫對異常流量進行識別,所以在業務系統復雜的情況下,可能存在一定誤殺導致正常功能被防火墻攔截導致影響正常業務。
- 存在一定繞過機率:硬件防火墻對HTTP協議進行自行解析,可能存在與Web服務器對HTTP請求的理解不一致從而導致被繞過。
3. 云WAF優點:
- 部署簡單,維護成本低:這也是云WAF最有價值和受用戶喜愛的一點,無需安裝任何軟件或者部署任何硬件設備,只需修改DNS即可將網站部署到云WAF的防護范圍之內。
- 用戶無需更新:云WAF的防護規則都處于云端,新漏洞爆發時,由云端負責規則的更新和維護,用戶無需擔心因為疏忽導致受到新型的漏洞攻擊。
- 可充當CDN:云WAF在提供防護功能的同時,還同時具有CDN的功能,在進行防護的同時還可以提高網站訪問的速率,CDN通過跨運營商的多線智能解析調度將靜態資源動態負載到全國的云節點,用戶訪問某個資源時會被引導至最近的云端節點從而提高訪問速度。
4. 云WAF的缺點:
- 存在輕易被繞過的風險:云WAF的主要實現原理是通過將用戶的DNS解析到云節點實現防護,這樣一來,如果黑客通過相關手段獲取了服務器的真實IP地址,然后強制解析域名,就可以輕松繞過云WAF對服務器發起攻擊。
- 可靠性低:云WAF處理一次請求,其中需要經過DNS解析、請求調度、流量過濾等環節,其中涉及協同關聯工作,其中只要有一個環節出現問題,就會導致網站無法訪問。必要時,只能手動切換為原DNS來保證業務正常運行,而域名解析需要一定時間,則會導致網站短時間無法正常訪問。
- 保密性低:網站訪問數據對于一些企業、機構來說為保密數據,里面可能包含用戶的隱私或者商業信息,這些數據自行管控會相對安全,但是如果使用WAF,所有的數據會記錄到云端,這相當于數據被別人保管,可能存在一定的泄露風險。
分析利弊后,我們發現基于云的WAF更適合安全需求較低的中小型企業或者個人網站,對于安全需求較高的網站,如政府、金融、運營商等,云WAF可能無法滿足相關要求。對于任務密集型、基于Web的應用程序則需要專用或硬件類型的設備。但是,具體采用哪種WAF形式并不是“一方醫百病”的問題,企業可以根據自身情況,采用更廣泛的形式以支持各種網絡環境需求,從而實現更大程度的靈活性和安全性。
你需要讓團隊中了解安全性和應用程序的人知道不同類型的WAF的區別和利弊,告訴他們如何使用云WAF,以及如何有效且高效地實現云端遷移。
主要云服務提供商開始轉移市場
公有云中的早期WAF部署必須是第三方解決方案,因為當時的共有云提供商并不提供任何解決方案。如今,一些主要云提供商也已經具備了基礎的初級WAF服務,應用程序團隊正傾向于從亞馬遜和AWS處獲取解決方案。
至于具體選擇第三方解決方案還是云服務提供商的解決方案,主要取決于應用程序的性質和使用情況。如果你的應用程序極易遭受攻擊,建議你可以選擇第三方虛擬WAF或WAF即服務工具,這些工具目前可以為Web應用程序提供更好的防護。
如果該應用程序并不是很重要,且用戶相信云提供商會進一步完善自己的WAF服務,那么你可以選擇使用云原生(cloud-native)的工具。來自主要云服務提供商的WAF安全性尚未與第三方系統保持一致,但正在改善。
專家預計,隨著時間的推移,越來越多的工作負載轉移至云端,人們對于安全性的需求日盛,市場將會依據云IaaS供應商改善自身WAF的情況為其確立排位,最先完善其WAF的云IaaS供應商將占據絕對的市場競爭優勢。雖然他們的WAF服務還遠趕不上第三方解決方案,但是它們的突出優勢在于其成本要低得多。
專家預計,未來一年,安全管理人員可能會對開發團隊究竟是使用云原生保護還是第三方服務提出更多質疑,也將給與更多關注。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
