WAF（Web應(yīng)用程序防火墻）無(wú)疑是過(guò)去幾十年里應(yīng)用最廣泛、最成熟的網(wǎng)絡(luò)安全產(chǎn)品之一，大部分擁有Web應(yīng)用程序的組織都會(huì)部署應(yīng)用WAF，以保護(hù)數(shù)據(jù)和資產(chǎn)避免被非法闖入。然而，隨著DevOps敏捷應(yīng)用開(kāi)發(fā)時(shí)代的到來(lái)，很多人認(rèn)為WAF將風(fēng)光不再，因?yàn)樗粌H難以跟上當(dāng)前Web應(yīng)用系統(tǒng)不斷加快的發(fā)布更新節(jié)奏，還會(huì)帶來(lái)復(fù)雜又費(fèi)力的系統(tǒng)維護(hù)壓力。

但是大量實(shí)踐經(jīng)驗(yàn)表明，將安全功能完全內(nèi)置到應(yīng)用程序中的“安全左移”模式，并不能適用于所有的Web應(yīng)用系統(tǒng)；很多由第三方研發(fā)提供的應(yīng)用系統(tǒng)也需要在其運(yùn)行時(shí)進(jìn)行額外的威脅控制；同時(shí)，WAF系統(tǒng)本身也在不斷的進(jìn)化，新一代WAF系統(tǒng)的保護(hù)能力和范圍已經(jīng)遠(yuǎn)遠(yuǎn)超出我們的傳統(tǒng)認(rèn)知，它們甚至不僅是一種安全方案，還可以成為一種為業(yè)務(wù)賦能的工具。

在此背景下，安全專(zhuān)業(yè)論壇“cybertalk.org”日前刊文指出，網(wǎng)絡(luò)安全決策者應(yīng)該充分了解，WAF仍然會(huì)是企業(yè)組織未來(lái)高級(jí)網(wǎng)絡(luò)安全戰(zhàn)略中不可或缺的組成部分，通過(guò)使用WAF可以為企業(yè)的數(shù)字化業(yè)務(wù)發(fā)展帶來(lái)以下幫助：

1.滿(mǎn)足合規(guī)要求

法規(guī)遵從是現(xiàn)代企業(yè)開(kāi)展網(wǎng)絡(luò)安全能力建設(shè)的主要推動(dòng)因素之一，而通過(guò)使用WAF系統(tǒng)，組織能夠更輕松地滿(mǎn)足監(jiān)管部門(mén)所制定的法律合規(guī)要求，因?yàn)樗鼈兲峁┝溯^全面的Web應(yīng)用安全控制措施，并可以提供詳細(xì)的系統(tǒng)審計(jì)日志。

幾乎所有的WAF系統(tǒng)都能夠提供的細(xì)粒度日志記錄和報(bào)告功能，組織可以清晰的表明在保護(hù)敏感數(shù)據(jù)方面所做的努力和工作。此外，目前大多數(shù)WAF系統(tǒng)都可以自定義的設(shè)置防護(hù)規(guī)則集，能夠滿(mǎn)足不斷變化的合規(guī)要求，因而使組織更容易保持合規(guī)狀態(tài)。

2.有效防范已知威脅

WAF可以有效應(yīng)對(duì)大多數(shù)的已知應(yīng)用層攻擊類(lèi)型，特別是對(duì)OWASP十大威脅列表中的嚴(yán)重漏洞威脅，WAF系統(tǒng)在防護(hù)時(shí)基本上不需要調(diào)優(yōu)，且誤報(bào)率很低。因?yàn)閃AF能夠不斷更新規(guī)則庫(kù)信息，與最新的OWASP安全指導(dǎo)方針保持一致，從而降低已知攻擊得逞的可能性。

3.實(shí)現(xiàn)API安全保護(hù)

當(dāng)前新一代的WAF系統(tǒng)，已普遍針對(duì)API特有的威脅特點(diǎn)提供了專(zhuān)門(mén)的保護(hù)措施，能夠確保API數(shù)據(jù)交換的完整性。WAF可以快速識(shí)別并阻止API參數(shù)篡改等威脅，并發(fā)現(xiàn)可能表明API濫用的異常行為模式。在一些多功能的WAF系統(tǒng)中，還添加了理解和驗(yàn)證復(fù)雜API調(diào)用的能力，確保Web應(yīng)用系統(tǒng)只處理合法的API調(diào)用請(qǐng)求。這些先進(jìn)的WAF系統(tǒng)還可以執(zhí)行針對(duì)不同API端點(diǎn)的速率限制和訪問(wèn)控制。

4.防護(hù)機(jī)器人程序和DDoS攻擊

通過(guò)使用新一代WAF系統(tǒng)，組織可以準(zhǔn)確識(shí)別惡意的機(jī)器人程序流量和合法的機(jī)器人程序流量，防止DDoS威脅、憑據(jù)填充和內(nèi)容抓取等威脅。WAF系統(tǒng)的這項(xiàng)新功能對(duì)企業(yè)而言，正變得越來(lái)越重要，因?yàn)闄C(jī)器人程序正以前所未有的方式在網(wǎng)上肆虐，并對(duì)組織的經(jīng)營(yíng)收入和客戶(hù)體驗(yàn)產(chǎn)生了嚴(yán)重的負(fù)面影響。

5.實(shí)時(shí)情報(bào)利用

新一代的WAF系統(tǒng)可以利用實(shí)時(shí)威脅情報(bào)和機(jī)器學(xué)習(xí)技術(shù)來(lái)分析流量模式，從而針對(duì)新出現(xiàn)的威脅提供保護(hù)，從而使組織能夠在大規(guī)模攻擊發(fā)生之前應(yīng)對(duì)惡意情形。

6.減輕開(kāi)發(fā)團(tuán)隊(duì)的安全責(zé)任

通過(guò)WAF系統(tǒng)提供的安全防護(hù)能力，組織可以在系統(tǒng)上線后在應(yīng)用層發(fā)現(xiàn)并阻止漏洞，這在很大程度上降低了開(kāi)發(fā)或IT團(tuán)隊(duì)的安全壓力，使其能夠?qū)Ｗ⒂诤诵臉I(yè)務(wù)功能的實(shí)現(xiàn)，而不是在開(kāi)發(fā)過(guò)程中反復(fù)不斷的修補(bǔ)安全問(wèn)題。

盡管這和“安全左移”理念有一定沖突，但通過(guò)降低開(kāi)發(fā)人員的安全壓力，無(wú)疑可以加快業(yè)務(wù)系統(tǒng)的上線周期。此外，通過(guò)WAF提供的威脅檢測(cè)信息，也可以幫助開(kāi)發(fā)人員了解常見(jiàn)的應(yīng)用攻擊模式，讓所有人了解如何開(kāi)展更好的安全實(shí)踐。

7.實(shí)現(xiàn)以業(yè)務(wù)為導(dǎo)向的安全規(guī)則

在很多高級(jí)的WAF系統(tǒng)中，會(huì)允許用戶(hù)靈活地創(chuàng)建和調(diào)整針對(duì)組織特定業(yè)務(wù)需求的防護(hù)規(guī)則。這種定制化能力帶來(lái)很大的靈活性，便于適應(yīng)獨(dú)特的應(yīng)用軟件體系結(jié)構(gòu)和流量模式，盡量減少誤報(bào)，同時(shí)又保持業(yè)務(wù)系統(tǒng)運(yùn)營(yíng)的高可靠性。

組織可以創(chuàng)建規(guī)則來(lái)處理其業(yè)務(wù)特有的威脅，比如防止應(yīng)用軟件特有的業(yè)務(wù)邏輯攻擊。在執(zhí)行新規(guī)則之前，WAF系統(tǒng)能夠在受監(jiān)控模式下逐步實(shí)施和測(cè)試新規(guī)則，確保了安全措施的變更不會(huì)破壞正常的業(yè)務(wù)系統(tǒng)運(yùn)營(yíng)。

8.安全性和用戶(hù)感受兼得

企業(yè)經(jīng)常需要在安全性和系統(tǒng)可用性之間進(jìn)行取舍，而在許多新型WAF系統(tǒng)中，內(nèi)置了先進(jìn)的內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）功能，能夠在保持Web應(yīng)用安全性的同時(shí)，提高了應(yīng)用軟件的工作性能和用戶(hù)體驗(yàn)。

通過(guò)緩存內(nèi)容分發(fā)技術(shù)，可以顯著縮短Web應(yīng)用的延遲，縮短頁(yè)面的加載實(shí)踐，從而增強(qiáng)用戶(hù)的體驗(yàn)感。這種安全性和性能優(yōu)化的雙重體現(xiàn)正是新一代WAF系統(tǒng)的誘人賣(mài)點(diǎn)。組織可以通過(guò)單一的網(wǎng)絡(luò)安全解決方案來(lái)同時(shí)改進(jìn)Web應(yīng)用的安全態(tài)勢(shì)和用戶(hù)滿(mǎn)意度。

9.提升安全運(yùn)營(yíng)能力

新一代WAF系統(tǒng)能夠提供與流量模式、攻擊趨勢(shì)和應(yīng)用軟件行為有關(guān)的多種安全運(yùn)營(yíng)態(tài)勢(shì)觀察和分析能力，并以此給出安全運(yùn)營(yíng)人員明確的行動(dòng)建議。這些洞察有助于企業(yè)組織持續(xù)改進(jìn)安全態(tài)勢(shì)，為主動(dòng)風(fēng)險(xiǎn)評(píng)估提供信息依據(jù)，并幫助網(wǎng)絡(luò)安全人員更好地分配安全資源。

10.向云原生安全演進(jìn)

隨著企業(yè)組織不斷向云計(jì)算平臺(tái)遷移，面向云環(huán)境的WAF系統(tǒng)可確?？缁旌显坪投嘣苹A(chǔ)設(shè)施提供一致的Web應(yīng)用保護(hù)。此外，不斷云化的WAF系統(tǒng)還可以隨應(yīng)用軟件自動(dòng)擴(kuò)展，在流量高峰或云迅速擴(kuò)展時(shí)提供始終如一的保護(hù)。

云WAF能夠提供集中管理，這簡(jiǎn)化了企業(yè)的安全管理工作，并確保策略得到一致的執(zhí)行。憑借實(shí)際可用的功能特性，云WAF可以更有效地防護(hù)層出不窮的威脅。

參考鏈接：https://www.cybertalk.org/2024/06/20/10-web-application-firewall-benefits-to-keep-top-of-mind/