人們通過(guò)云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻以確保未在本地托管的應(yīng)用程序，這是可行的。行業(yè)專家馬特·帕斯庫(kù)奇解釋它們是如何工作的，以及企業(yè)對(duì)此所需要了解哪些事情。

　　如今，網(wǎng)絡(luò)應(yīng)用程序漏洞和攻擊的風(fēng)險(xiǎn)仍然持續(xù)存在于其應(yīng)用程序運(yùn)行的環(huán)境中。這使得那些在互聯(lián)網(wǎng)上公開訪問(wèn)應(yīng)用程序的組織面臨更大的風(fēng)險(xiǎn)。WAF(網(wǎng)絡(luò)應(yīng)用防火墻)可以減輕這些威脅，這是人們所熟悉的常識(shí)，但這意味著托管數(shù)據(jù)中心部署昂的貴硬件維護(hù)這些公共應(yīng)用程序的惡意使用。

[[167912]]

　　為什么產(chǎn)生云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻?

　　在當(dāng)今的現(xiàn)代網(wǎng)絡(luò)中，通常有并購(gòu)行為發(fā)生，而這使得某些應(yīng)用程序不受保護(hù)。由于應(yīng)用程序并不是部署在同一地點(diǎn)，因此不能很好地獲得物理網(wǎng)絡(luò)應(yīng)用防火墻的保護(hù)。例如企業(yè)遷移應(yīng)用程序或數(shù)據(jù)中心被異地托管，或企業(yè)將業(yè)務(wù)遷移到云中。從應(yīng)用程序保護(hù)的角度來(lái)看，這是令人擔(dān)憂的，因這些應(yīng)用程序并不在物理網(wǎng)絡(luò)應(yīng)用防火墻保護(hù)的范圍內(nèi)。如果一個(gè)企業(yè)將業(yè)務(wù)遷移到云中或由企業(yè)某處運(yùn)營(yíng)的數(shù)據(jù)中心被其他企業(yè)收購(gòu)，這些應(yīng)用程序仍然由企業(yè)進(jìn)行保護(hù)，但很可能無(wú)法采用物理網(wǎng)絡(luò)應(yīng)用防火墻架構(gòu)。云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻是協(xié)助企業(yè)管理所負(fù)責(zé)的資產(chǎn)，但他們有自己的管轄權(quán)。但大多數(shù)情況下，即使通過(guò)在所有這些位置上安裝相同的物理硬件，這在技術(shù)上可以實(shí)現(xiàn)，但在經(jīng)濟(jì)上是不可行的。云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻使組織能夠在托管數(shù)據(jù)中心廣泛地保護(hù)自己的應(yīng)用程序，并采用類似的策略保護(hù)多數(shù)的應(yīng)用層免受攻擊保護(hù)它。

　　實(shí)現(xiàn)云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻最終意味著在第三方負(fù)責(zé)之前，將數(shù)據(jù)傳遞到其原始服務(wù)器來(lái)篩選企業(yè)的網(wǎng)絡(luò)應(yīng)用程序的流量。對(duì)在這些服務(wù)器上運(yùn)行的應(yīng)用程序進(jìn)行保護(hù)是組織的責(zé)任，但數(shù)據(jù)到達(dá)應(yīng)用程序之前，云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻廠商正在執(zhí)行過(guò)濾。在所有情況下，應(yīng)用程序或網(wǎng)站正在由云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻保護(hù)他們公共DNS記錄，并指向云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻提供商所擁有的地址。這使得所有的流量被分流到云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻提供商，過(guò)濾之后并直接發(fā)送到原始服務(wù)器。這允許任何公共網(wǎng)站進(jìn)行快速過(guò)濾，并具有相同或類似的策略作為云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻保護(hù)下的其他應(yīng)用程序。這不會(huì)留下保護(hù)缺口，并且一個(gè)網(wǎng)站可以迅速激活一個(gè)簡(jiǎn)單的DNS變化。而云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻的分權(quán)保護(hù)使得公共應(yīng)用程序?qū)崿F(xiàn)全覆蓋。

　　云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻的好處

　　云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻使組織能夠在托管數(shù)據(jù)中心廣泛地保護(hù)自己的應(yīng)用程序，并采用類似的策略保護(hù)多數(shù)的應(yīng)用層免受攻擊保護(hù)它。

　　某些云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻提供商的目標(biāo)采用一個(gè)“黑盒子”的方法應(yīng)用過(guò)濾，而不為用戶提供詳細(xì)的了解目前過(guò)濾應(yīng)用與內(nèi)部部署軟件的能力。它允許采用 OWASPTop10過(guò)濾，再加上提供商聯(lián)合創(chuàng)建的額外的供應(yīng)商規(guī)則，網(wǎng)絡(luò)封鎖，速率控制，威脅情報(bào)提供者收集其他惡意流量，并對(duì)網(wǎng)絡(luò)和自定義規(guī)則創(chuàng)建和應(yīng)用能力。讓所有這些策略和自定義在云中更改的好處是，他們可以很容易地應(yīng)用到其他網(wǎng)站一個(gè)DNS的變化，為用戶帶來(lái)靈活性和敏捷性。如果一個(gè)組織正在運(yùn)行倚重其當(dāng)前的內(nèi)部部署云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻定制代碼或其依賴于推動(dòng)云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻變化的速度，云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻安裝可能面臨一些挑戰(zhàn)。被推到云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻需要審核通過(guò)，供應(yīng)商才能傳播到他們的服務(wù)定制的變化。這是因?yàn)閺S商不希望將錯(cuò)誤配置的變化推送到他們的服務(wù)，并給為其他客戶帶來(lái)性能問(wèn)題。

　　由于云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻不在本地，企業(yè)必須確定他們將如何接收來(lái)自云服務(wù)提供商的登錄到更多的基礎(chǔ)設(shè)施他們目前相關(guān)的日志。網(wǎng)絡(luò)應(yīng)用防火墻日志對(duì)于安全信息和事件管理(SIEM)是非常有價(jià)值的，更重要的是企業(yè)的合規(guī)性。許多時(shí)候，這些記錄將需要被保持在一定的保留期限。大多數(shù)提供商采用安全文件傳送協(xié)議(SFTP)將需要的日志和相關(guān)API軟件傳送到一個(gè)網(wǎng)站進(jìn)行保留。登錄的能力固然重要，但有能力報(bào)告和預(yù)警企業(yè)的流量也勢(shì)在必行。跟所有可用的云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻提供商需要得到他們熟悉的報(bào)告/報(bào)警功能，如果他們要達(dá)到預(yù)期目的話。

　　實(shí)施步驟

　　在云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻的實(shí)施過(guò)程中，企業(yè)應(yīng)該了解如何將一個(gè)新的應(yīng)用程序，創(chuàng)建新的云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻的策略，并確定如何在誤報(bào)事件列入白名單的簽名。這將包括研究如何將證書SSL導(dǎo)入到云提供商的軟件，以及如何在云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻內(nèi)進(jìn)行篩選。大多數(shù)解決方案已經(jīng)審核合規(guī)性，但它仍然具有由第三方托管的云證書的風(fēng)險(xiǎn)。云計(jì)算供應(yīng)商還將為用戶在其網(wǎng)絡(luò)上的所有系統(tǒng)從網(wǎng)絡(luò)應(yīng)用防火墻轉(zhuǎn)發(fā)代理回原來(lái)地址的IP列表。這里，一個(gè)企業(yè)可以限制可以發(fā)送數(shù)據(jù)到其面向公眾的應(yīng)用的源地址，并在其周邊配置防火墻規(guī)則。此外，企業(yè)應(yīng)確定是否需要在其云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻的臨時(shí)區(qū)域，并要求供應(yīng)商做到這一點(diǎn)。

　　最后，云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻供應(yīng)商的帳單可能取決于流量，而這與企業(yè)配置SSL保護(hù)位點(diǎn)的數(shù)目和策略有關(guān)。這可能是一個(gè)龐大的前期費(fèi)用，但是從長(zhǎng)遠(yuǎn)來(lái)看，云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻安裝在每個(gè)物理位置成本更加低廉。這些解決方案都是每年計(jì)費(fèi)結(jié)算，并宣稱作為運(yùn)作費(fèi)用。許多供應(yīng)商提供CDN服務(wù)，以及提供域名系統(tǒng)和分布式拒絕保護(hù)攻擊的保護(hù)，這可能有利于云計(jì)算網(wǎng)絡(luò)應(yīng)用防火墻的實(shí)現(xiàn)。