Web應(yīng)用防火墻是復(fù)雜的產(chǎn)品,在本文中,專家Brad Causey介紹了在購買Web應(yīng)用防火墻(WAF)產(chǎn)品之前企業(yè)需要考慮的關(guān)鍵問題。
確保Web應(yīng)用的安全性需要多層安全防御,其中很重要的是Web應(yīng)用防火墻??紤]到Web訪問數(shù)據(jù)的機(jī)密性、可用性和完整性時,WAF是很關(guān)鍵的防御層。本指南旨在幫助企業(yè)選購WAF,為企業(yè)提供了在調(diào)查市場時應(yīng)該考慮的關(guān)鍵問題。
對于WAF,價格、部署方法、復(fù)雜性和很多其他規(guī)格的范圍非常大。在購買WAF之前,企業(yè)應(yīng)該先了解業(yè)務(wù)需求、功能和可用資源(例如內(nèi)部人才和資金情況),這可以幫助企業(yè)選擇最符合其要求的產(chǎn)品。適當(dāng)?shù)囊?guī)劃和仔細(xì)評估市場產(chǎn)品情況也很重要。
下面列出的要點和問題旨在為企業(yè)提供方法來朝著正確的方向前進(jìn),并作出正確的評估。這些關(guān)鍵因素包括:確定WAF如何整合到環(huán)境、檢測和響應(yīng)攻擊、執(zhí)行日志記錄,以及WAF管理和維護(hù)的要求。企業(yè)應(yīng)對所調(diào)查的每個WAF產(chǎn)品回答這些問題,這將幫助企業(yè)縮小選擇范圍到滿足其需求的產(chǎn)品。
WAF如何整合到你的環(huán)境?
在評估WAF時需要考慮的最關(guān)鍵問題之一是部署。換句話說,如何讓W(xué)AF運作?現(xiàn)在有一些不同的WAF部署選項,企業(yè)應(yīng)該考慮每個選項,并結(jié)合企業(yè)現(xiàn)有環(huán)境,以確定哪種WAF類型最合適自己。在很多情況下,通過刪除不適合其網(wǎng)絡(luò)和IT環(huán)境的產(chǎn)品,這將幫助決策者縮小供應(yīng)商和產(chǎn)品范圍。
· 內(nèi)部設(shè)備:這種常見的WAF部署方法涉及在用戶和Web應(yīng)用之間的網(wǎng)絡(luò)部署設(shè)備。這種方法通常需要一定的內(nèi)部專業(yè)技能,因為管理員將要更改內(nèi)部網(wǎng)絡(luò)配置。理想情況是,企業(yè)有相關(guān)內(nèi)部技術(shù)人員或者有足夠資金來支付供應(yīng)商提供的部署服務(wù)。
· 基于云的WAF:這種WAF方法通常需要企業(yè)重定向DNS記錄來解析到WAF供應(yīng)商的IP地址,并讓W(xué)eb流量從供應(yīng)商轉(zhuǎn)發(fā)到實際應(yīng)用主機(jī)。在很多情況下,企業(yè)將需要提供他們的SSL密鑰,因為供應(yīng)商的服務(wù)器在轉(zhuǎn)發(fā)前將解密數(shù)據(jù)。
這里可能會出現(xiàn)性能問題,因為流量在到達(dá)企業(yè)服務(wù)器之前要經(jīng)過額外的步驟。不過,大多數(shù)供應(yīng)商都有足夠的帶寬,因此在大多數(shù)情況下這都不是問題(但應(yīng)該記住這一點)。這種基于云的WAF通常更容易部署,因為它只需要DNS變更(可能還要安裝SSL密鑰),并且不太需要內(nèi)部IT技術(shù)技能。請注意:很多基于云的產(chǎn)品現(xiàn)在還提供DDoS保護(hù)。
· 集成WAF:基于代碼或軟件的WAF最有可能需要對企業(yè)Web應(yīng)用代碼或其Web服務(wù)器的直接更改。對于技術(shù)熟練的人員來說,這是不錯的選擇,并且比其他WAF產(chǎn)品更便宜。它不需要更改網(wǎng)絡(luò)架構(gòu)或者DNS重定向,同時,集成WAF產(chǎn)品對網(wǎng)絡(luò)、系統(tǒng)和性能的整體影響最小。
在評估企業(yè)想要購買的WAF類型時,最好與供應(yīng)商進(jìn)行交談,并讓內(nèi)部技術(shù)團(tuán)隊參與進(jìn)來。有些要求或限制可能在表面來看無法發(fā)現(xiàn),但可能對最終決策有著重大影響。這方面的例子包括所選擇的集成WAF如何與Web服務(wù)器使用,對此,讓W(xué)eb服務(wù)器管理員參與可能會避免部署過程中的問題。另一個常見問題是通過基于云的WAF加載重型基于網(wǎng)絡(luò)的內(nèi)容,讓網(wǎng)絡(luò)團(tuán)隊和性能測試人員參與可以確保用戶不會遭遇延遲問題。
另一個重要考慮因素是WAF如何處理安全套接字層(SSL),SSL保護(hù)網(wǎng)站身份和數(shù)據(jù)在互聯(lián)網(wǎng)的安全。從SSL來看,WAF部署各有不同。
在基于云或設(shè)備的WAF部署中,企業(yè)需要解密流量以查看流量。這涉及終止SSL會話以及重建它(如果需要的話),或解密會話—在它們通過WAF時。請確保你所選擇的產(chǎn)品支持這些選項。
WAF如何檢測和響應(yīng)攻擊?
WAF的運作主要是通過檢測應(yīng)用服務(wù)器和客戶端之間的請求和響應(yīng)內(nèi)容來實現(xiàn)。WAF如何檢測以及檢測什么對能否有效保護(hù)企業(yè)資產(chǎn)至關(guān)重要。
WAF檢測什么(例如表頭、會話、文件上傳等)將決定其響應(yīng)能力。WAF應(yīng)該能夠檢測請求/響應(yīng)對象的所有組件,包括會話詳細(xì)內(nèi)容。如果應(yīng)用有要求,例如限制用戶會話數(shù)量,大多數(shù)WAF可以幫助實現(xiàn)。WAF應(yīng)該提供可用的配置讓管理員來輕松選擇這些選項。如果企業(yè)對GET與POST如何使用有具體要求,或者對訪問者進(jìn)入網(wǎng)站的途徑有特定要求,WAF也應(yīng)該提供支持。
檢測異?;驉阂饬髁恐饕腔趲讉€模型,了解每個模型很重要。
如果WAF采用黑名單的做法,它只會阻止列表中包含已知攻擊的請求。眾所周知的攻擊(例如SQL注入和跨站腳本)通常包含容易檢測的某些字符。黑名單很好用,只要WAF支持這種攻擊方法。并且,由于威脅經(jīng)常變化,必須保持黑名單的更新。
如果WAF使用白名單的做法,它只會允許滿足列表或配置中標(biāo)準(zhǔn)的請求。這種檢測方法需要部署期間前端的更多工作,但通常這是更安全的方法,因為它會阻止一切沒有被定義為可接受的事物。
這兩種方法都應(yīng)該由企業(yè)的技術(shù)團(tuán)隊來配置。
除了檢測,WAF如何響應(yīng)攻擊或異常也很關(guān)鍵。WAF提供多種響應(yīng)選項,這些選項在配置界面應(yīng)該容易變更。通常情況下,WAF會以某種方式與請求或會話進(jìn)行交互(當(dāng)發(fā)現(xiàn)攻擊或異常時),例如終止與應(yīng)用服務(wù)器的會話或阻止單個請求。每種方法都有優(yōu)點和缺點,企業(yè)應(yīng)了解哪些方法可行,這很重要。
WAF應(yīng)該可配置為使用下列方法來阻止攻擊:
· 阻止會話
· 阻止IP地址
· 阻止請求
· 注銷用戶
· 阻止用戶
理想情況下,WAF應(yīng)該在各種配置中支持這些方法,以響應(yīng)對攻擊或異常的檢測。在某些情況下,WAF可能需要依賴其他設(shè)備(例如網(wǎng)絡(luò)防火墻或路由器)來執(zhí)行阻止操作。如果企業(yè)想要使用這個功能,企業(yè)應(yīng)該確保所選擇的WAF產(chǎn)品與現(xiàn)有網(wǎng)絡(luò)設(shè)備兼容。
WAF如何進(jìn)行日志記錄?
WAF最重要的功能是抵御攻擊,緊隨其后的是日志記錄并提醒管理員正在發(fā)生的情況。在某些情況下,企業(yè)可能懷疑出現(xiàn)攻擊或者受感染用戶,并想要看到詳細(xì)信息。這正是WAF日志的重要性所在。對于如何進(jìn)行這種日志記錄,最簡單的做法是經(jīng)過檢驗而可靠的“哪里、何時、什么”方法。
首先,讓我們討論“什么”。WAF日志記錄什么內(nèi)容?應(yīng)該盡可能地詳細(xì)地記錄。它應(yīng)當(dāng)追蹤每個事務(wù),包括會話、導(dǎo)航信息以及兩者之間的所有信息。每個事務(wù)性日志條目的全部細(xì)節(jié)都應(yīng)該詳細(xì)記錄,以減少調(diào)查事故的時間和精力。通過非常詳細(xì)的日志記錄,企業(yè)將能夠解決因為WAF本身配置問題發(fā)生的問題。
接下來,讓我們討論“何時”。這是非常簡單的,但重要的是看兩個關(guān)鍵點。在最低限度應(yīng)該有兩組日志:第一組應(yīng)該是訪問或事務(wù)日志,包含所有通過WAF的活動;第二組是事件日志,當(dāng)有事件觸發(fā)WAF的檢測或反應(yīng)時會創(chuàng)建條目。雖然說,這兩種日志都很重要,但事件日志更常使用,因為這些條目通常會指明異常行為,例如攻擊或者疑似攻擊。
最后,讓我們來討論“哪里”。日志存儲在哪里或者它們?nèi)绾伟l(fā)送到中央日志記錄服務(wù)是至關(guān)重要的。日志采用的格式和傳輸方式是按照企業(yè)使用的安全信息和事件管理(或SIEM)系統(tǒng)支持的格式和協(xié)議嗎?日志會在設(shè)備保留一定時間嗎?WAF會混淆任何敏感信息,例如請求中包含的社會安全號碼或永久賬號(例如信用卡號碼)嗎?這對遵守法規(guī)很重要,例如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)版本(或PCI DSS)。
除了存儲,“哪里”還應(yīng)該包含警報如何產(chǎn)生以及發(fā)送到企業(yè)。電子郵件警報、門戶網(wǎng)站和SNMP都是常見方式,但如果有更多選項則更好。
如何管理和更新WAF?
WAF并不是配置好就可以置之不管,從長期使用來看,如何管理WAF很重要。如果WAF使用黑名單簽名或規(guī)則,企業(yè)應(yīng)該弄清楚如何對它們進(jìn)行更新。企業(yè)還應(yīng)該確??梢宰远x這些規(guī)則和簽名以為他們提供最大靈活性。
如果企業(yè)沒有在使用PHP腳本語言,可能不需要這些黑名單簽名或表示規(guī)則,而應(yīng)該禁用它們。通常情況下,這些選項可以通過管理界面的WAF政策來配置。企業(yè)應(yīng)確保這些政策完全可由用戶配置,以確保保持對WAF運作的最大控制。
如果企業(yè)正試圖進(jìn)行定期供應(yīng)商更新,這些更新如何提供給企業(yè)?很多供應(yīng)商會提供手動更新文件,或者允許設(shè)備自動連接更新服務(wù)。同樣需要關(guān)注的是底層操作系統(tǒng)更新,這取決于WAF運行的平臺(例如Windows或Linux)。請確保無論WAF產(chǎn)品使用何種更新方法,最終都真正執(zhí)行了更新。畢竟,不安全的設(shè)備保護(hù)企業(yè)的Web應(yīng)用的話,結(jié)果只會適得其反。
結(jié)論
綜上所述,在選擇WAF產(chǎn)品或供應(yīng)商之前,企業(yè)決策者應(yīng)該對需要考慮的問題有著全面和詳細(xì)的清單。確保提前準(zhǔn)備這些問題,并在最后決定之前回答或解決所有問題。對于額外的資源,企業(yè)可以參閱Web應(yīng)用安全聯(lián)盟提供的WAF評估標(biāo)準(zhǔn)文件,該文件非常詳盡。