互聯(lián)網(wǎng)經(jīng)過(guò)幾十年的發(fā)展，Web 應(yīng)用防火墻 (WAF) 已變成無(wú)處不在的安全工具包。任何部署 Web 應(yīng)用的組織（包括大多數(shù)大型企業(yè)）都會(huì)安裝 WAF，以保護(hù)數(shù)據(jù)和資產(chǎn)安全。Web 應(yīng)用防護(hù)的最佳實(shí)踐現(xiàn)已發(fā)展為只需在應(yīng)用前部署 WAF 即可。

　　但事實(shí)上，如今現(xiàn)代應(yīng)用生命周期加快了 DevOps 的更新發(fā)布頻率，而傳統(tǒng) WAF 根本無(wú)法跟上發(fā)布步伐，并且 WAF 維護(hù)流程較為復(fù)雜，需要耗費(fèi)大量人力資源。

　　面對(duì)這一挑戰(zhàn)，安全專(zhuān)業(yè)人士應(yīng)該怎么做？什么會(huì)阻止 Web 應(yīng)用成為組織基礎(chǔ)架構(gòu)的前門(mén)？我們知道 DevOps 會(huì)不斷開(kāi)發(fā)新代碼，但如何確定 WAF 是否還值得維護(hù)或者是否已無(wú)藥可救？

　　下面讓我們仔細(xì)了解一下 WAF 如何才能跟上 DevOps 的速度。

　　上下文邏輯是關(guān)鍵所在

　　網(wǎng)絡(luò)安全旨在監(jiān)控使用相同協(xié)議的靜態(tài)網(wǎng)絡(luò)，而 WAF 旨在保護(hù)相差甚遠(yuǎn)的 Web 應(yīng)用。每個(gè)應(yīng)用都是獨(dú)一無(wú)二的，每段代碼也都互不相同，并且各自都有一系列漏洞。在引入云存儲(chǔ)和 DevOps 加速之前，WAF 就被認(rèn)為只是一種“平庸的”安全解決方案。使用位于應(yīng)用前面而非內(nèi)聯(lián)的解決方案意味著無(wú)法進(jìn)行上下文分析。如果沒(méi)有上下文來(lái)幫助理解正在交互的應(yīng)用內(nèi)容，WAF 演進(jìn)的自動(dòng)化速度就無(wú)法跟上應(yīng)用演進(jìn)的速度。

　　學(xué)習(xí)不停歇

　　機(jī)器學(xué)習(xí)的改進(jìn)只是在一定程度上解決了這個(gè)難題。雖然復(fù)雜的 WAF“只”需學(xué)習(xí)一個(gè)月即可創(chuàng)建應(yīng)用基線，但放任應(yīng)用在一個(gè)月內(nèi)不受保護(hù)實(shí)在太久了。人類(lèi)難免需要介入，幫助校準(zhǔn) WAF，但維護(hù)工作的負(fù)擔(dān)也會(huì)因此加重。如果 WAF 在內(nèi)容或代碼每次發(fā)生更改時(shí)都需要花時(shí)間學(xué)習(xí)和創(chuàng)建基線，那么為了減少警報(bào)和創(chuàng)建異常，管理員需要開(kāi)展大量工作。

　　自動(dòng)化關(guān)系成敗

　　面對(duì)持續(xù)交付，WAF 不可能在沒(méi)有人類(lèi)干預(yù)的情況下有效保護(hù) Web 應(yīng)用免受邏輯攻擊。實(shí)際上，大多數(shù) WAF 都不處于警報(bào)模式。過(guò)度攔截存在巨大的風(fēng)險(xiǎn)，因?yàn)榇罅烤瘓?bào)會(huì)造成警報(bào)疲勞。也許管理員可以進(jìn)行微調(diào)，以便使用攔截規(guī)則保護(hù)應(yīng)用的敏感部分，而應(yīng)用的其余部分則由處于警報(bào)模式下的 WAF 使用模式匹配及其他簡(jiǎn)單技術(shù)加以保護(hù)。但這會(huì)導(dǎo)致安全解決方案無(wú)法隨著應(yīng)用的發(fā)展自動(dòng)部署以防止新的邏輯攻擊。

　　加速還是棄用

　　原生云計(jì)算關(guān)乎敏捷性。2015 年需要花兩周時(shí)間才能創(chuàng)建完的內(nèi)容現(xiàn)在只需幾秒鐘即可完成。借助新型微服務(wù)，您可以在幾分鐘內(nèi)大幅更改應(yīng)用。在這種新環(huán)境下，考慮使用依賴(lài)學(xué)習(xí)或手動(dòng)配置的標(biāo)準(zhǔn)傳統(tǒng)應(yīng)用安全解決方案會(huì)很荒謬。

　　每當(dāng)開(kāi)發(fā)人員調(diào)整和對(duì)外發(fā)布代碼，都是單方面的舉動(dòng)，無(wú)需與安全人員協(xié)商。如果您使用的 WAF 假設(shè)環(huán)境中的一切都是通用的，則意味您的 WAF 已經(jīng)失效，是時(shí)候放棄使用了。

　　WAF 已成過(guò)去，DevOps 時(shí)代來(lái)臨。現(xiàn)在是時(shí)候進(jìn)行取證分析，以確定您的 WAF 是否尚可使用，還是已成為累贅。請(qǐng)回答以下幾個(gè)問(wèn)題：

　　• 您的 WAF 是專(zhuān)為云設(shè)計(jì)的嗎？

　　• 您的 WAF 能否辨別合法流量用戶(hù)和惡意流量用戶(hù)？

　　• 您的 WAF 可以辨別合法查詢(xún)和 BOT 及其他 OWASP 攻擊向量嗎？

　　如果上述問(wèn)題的回答均為“否”，那么是時(shí)候評(píng)估您的云應(yīng)用安全性了。