精明的應(yīng)用程序安全解決方案提供商可以在Web應(yīng)用程序防火墻（WAF）的選擇、部署和管理中為客戶提供額外的好處，協(xié)助客戶建立有效的應(yīng)用程序以及數(shù)據(jù)保護(hù)方案。

近年來，Web應(yīng)用程序防火墻已經(jīng)成為企業(yè)滿足某些規(guī)則遵從要求（包括數(shù)據(jù)保護(hù)）所需要的工具，可是很少有企業(yè)在部署和管理WAF方面具有專業(yè)知識。因此，許多公司將依靠方案提供商，讓他們協(xié)助自己實現(xiàn)最好的產(chǎn)品部屬。

“整個應(yīng)用程序安全策略市場仍被嚴(yán)重低估”，位于美國密蘇里州堪薩斯市的Fishnet安全公司常務(wù)董事Mark Carney表示，“情況正在改善，但是整個安全社區(qū)并不能很快地理解應(yīng)用程序防火墻所需要的操作和管理水平，以及如何才能有效地對付Web應(yīng)用程序漏洞。”

即使對于那些所謂的“復(fù)選框”規(guī)則遵從部署而言，這也可能是真的，因為他們需要滿足某些特定的遵從規(guī)則，比如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)中的要求6.6，該規(guī)則要求用戶要么部署Web應(yīng)用程序防火墻，要么采用手動或自動的源代碼審查或者應(yīng)用程序漏洞掃描。

PCI DSS要求對Level 1商家（每年交易量超過六百萬份的企業(yè)）進(jìn)行審計；MasterCard最近增加了Level 2商家（每年的交易量在一百萬份到六百萬份之間的企業(yè)）的審計要求。經(jīng)驗豐富、積極的、合格的安全評估員（QSA）都希望公司能夠證明他們已經(jīng)安裝了Web應(yīng)用程序防火墻，并且正在運(yùn)行。

位于美國賓夕法尼亞州梅卡尼克斯堡市的ICSA Labs公司（該公司是Verizon Business公司的獨(dú)立部門，提供中立的安全產(chǎn)品測試和安全產(chǎn)品認(rèn)證，其中包括WAF認(rèn)證）負(fù)責(zé)WAF的經(jīng)理Brian Monkman說道，“有些審計員會問，‘你們有Web應(yīng)用程序防火墻嗎？’然后說，‘好吧，檢查一下’。但是有些審計員會問更具體的問題，而Web應(yīng)用程序防火墻存在的時間越長，它們就越成熟，這些問題就越深入。”

位于美國加利福尼亞州Redmond Shores的Imperva公司首席安全戰(zhàn)略家Brian Contos表示，企業(yè)通常需要確定用戶如何與應(yīng)用程序進(jìn)行交互，以及應(yīng)用程序可以訪問哪些關(guān)鍵數(shù)據(jù)等。而合作伙伴所提供的預(yù)先發(fā)現(xiàn)（up-front discovery）功能可以當(dāng)成一種WAF服務(wù)，從而確定應(yīng)用程序和相關(guān)數(shù)據(jù)是否在規(guī)定的操作范圍以內(nèi)。

“毫無疑問，數(shù)據(jù)安全比網(wǎng)絡(luò)安全更難管理，”Contos表示。“如果你不知道敏感數(shù)據(jù)在哪兒，就很難搞清楚用戶是如何進(jìn)行交互的。”

一般而言，WAF是通過最初的規(guī)則標(biāo)準(zhǔn)進(jìn)行“學(xué)習(xí)”的，其中包括一段時間的測試，以便確定哪些是可接受的行為、哪些有問題，以及哪些是惡意的。

這是方案提供商的另一個機(jī)會，因為測試結(jié)果必須加以分析，并把結(jié)果報告給客戶。結(jié)果分析完成之后，方案提供商可以跟客戶一起合作，根據(jù)公司策略以及潛在的攻擊，建立自定義規(guī)則，確定哪些行為是允許的，哪些需要警告，哪些需要阻止等。

Contos 指出，“這變成了一種顧問式關(guān)系，與只是提供技術(shù)相比大大提升了產(chǎn)品的附加值。”

大型的、復(fù)雜的WAF部署尤其如此。專家表示，為了能夠最好地協(xié)助客戶，VAR應(yīng)該懂得應(yīng)用程序后面隱藏的業(yè)務(wù)邏輯、應(yīng)用程序是如何工作的、它的開發(fā)平臺式，以及它所使用的編程語言等。

Fishnet公司的Carney表示，“我們需要了解的最重要的事情是應(yīng)用程序都比較復(fù)雜。它們不像網(wǎng)絡(luò)流量那么簡單、那么容易預(yù)測。”

他指出，了解即將部署的新應(yīng)用程序以及現(xiàn)存的應(yīng)用程序是否有所變化尤其重要。客戶必須經(jīng)過培訓(xùn)，知道如何修改WAF規(guī)則來適應(yīng)這些變化；或者必須與方案提供商約定好額外的服務(wù)，讓他們來完成這些工作。

Carney指出，“環(huán)境越是多變，產(chǎn)品就越需要照顧和管理。”

在動態(tài)的環(huán)境中，方案提供商可以用Web應(yīng)用程序掃描器進(jìn)行滲透測試，以發(fā)現(xiàn)變化引起的漏洞。Monkman表示，消費(fèi)者的WAF部署最好結(jié)合掃描工具或掃描服務(wù)。比如，WhiteHat Security公司基于云的應(yīng)用程序掃描服務(wù)就集成了多個WAF產(chǎn)品。該服務(wù)（或者說產(chǎn)品）可以創(chuàng)建“虛擬補(bǔ)丁”，從而阻止某些特定的漏洞利用，直到問題代碼被修復(fù)為止。

這對于不能離線的關(guān)鍵生產(chǎn)應(yīng)用程序來說至關(guān)重要。創(chuàng)建和測試補(bǔ)丁都需要時間，尤其是當(dāng)開發(fā)過程已被外包給別人時。

“你需要有人能夠完全理解安全編碼、Web應(yīng)用程序防火墻，以及漏洞掃描器是如何工作的、應(yīng)該怎樣整合它們，”Monkman說道。

這種專業(yè)知識的整合非常短缺，這讓方案提供商有了提供應(yīng)用程序安全服務(wù)的機(jī)會，不僅僅是簡單的WAF部署。

“為應(yīng)用程序，尤其是為動態(tài)的應(yīng)用程序設(shè)計安全特性，你最好有一個合作伙伴，”Contos指出,“隨著網(wǎng)絡(luò)安全日益商品化，我認(rèn)為這個領(lǐng)域?qū)頃泻艽蟮脑鲩L。”

【編輯推薦】

1. 建立應(yīng)用層防火墻規(guī)則基礎(chǔ)
2. Web應(yīng)用層防火墻真的像宣傳的那般好用嗎？
3. 下一代防火墻常見問答
4. 企業(yè)需要帶有入侵防御系統(tǒng)及應(yīng)用可見的下一代防火墻