您想在 Web 应用程序防火墙(云 WAF)中寻找的一切。您是否知道即使是最严重的漏洞也可能需要长达 5 个月的时间才能修复?Web 应用程序安全统计报告指出,大多数公司平均在 146 天内修复关键漏洞。
黑客会等待您的开发人员修补代码吗?即使他们手头有时间,您不希望将时间花在更关键的业务功能上吗?这就是您需要 有效且经济高效的云 WAF 的原因。
根据开放 Web 应用程序安全项目 (OWASP),WAF 将一组规则应用于 HTTP 会话以阻止常见攻击。这意味着Web 应用程序防火墙(WAF) 旨在修补应用程序的弱点。它可以阻止利用跨站点伪造、跨站点脚本 (XSS)、文件包含和 SQL 注入的攻击,而无需在应用程序中进行开发/代码更改。
听起来很容易,对吧?然而,由于有数十家 WAF 供应商且缺乏相关的技术指南,公司常常难以找到合适的产品。我们的安全分析师和行业专家专门为比较不同 WAF 产品的公司编写了本指南。以下是应在清单顶部的功能。
1. 云可用性
(使用混合部署模型)2008 年,亚利桑那州立大学发表了一篇关于云计算未来的革命性文章。他们将 SaaS 模型与电力进行了比较。当您插入烤面包机时,您不必考虑电子从源(煤/核/水力发电站)行进多远来为您的家供电。您知道那里有电,您可以每月支付使用费。您可能永远不会想知道建立这样一个发电厂的成本是多少。
Web 应用程序防火墙(以及整个 SaaS 行业)也以类似的方式发展。早些时候,当您不得不投资于本地 WAF 时,只有价值数百万美元的组织才能负担得起。
随着在线业务的蓬勃发展,安全问题和要求也在增长。并非每家在线公司都愿意在安装的设备上花费如此大的资金,而这些设备也需要软件升级。它缓慢、昂贵且不必要。如今,WAF是指数级增长的在线企业的首选,这些企业希望易于部署和降低每月成本。
- 无需巨额预付款的月度安全订阅
- 带宽灵活性
- 自动更新以修补零日漏洞
- 快速自定义规则部署
- 具有成本效益的 PCI 合规性
此外,支持混合部署模型也很重要, 以使您能够过渡到云(如果需要),这不可能在一夜之间发生。您根本不能在迁移到云期间延迟安全选择,如果本地部署不支持免费迁移到云,您也不能对本地部署进行投资。
采用云 WAF 的主要障碍之一是担心额外的跃点可能会影响网站的性能和响应时间。这是一个有效的担忧,但可以根据云 WF 可以启用的某些功能轻松缓解。大多数云 WAF 提供商应该提供一个选项来启用 CDN 以及 WAF 服务,而无需额外费用。这可以确保您实际上可以提高网站性能和安全性,因为大多数网站(甚至是动态网站)都有超过 75% 的静态内容可以从用户浏览的最近边缘自动提供。还要检查云 WAF 基础设施是否托管和构建在现有的公共云架构(如 AWS 或 Azure)上,确保在所有这些部署模型中都有一个集中式控制台,用于管理和查看提供给客户的应用程序安全性。
2. DDoS防护
分布式拒绝服务 ( DDoS ) 攻击使在线服务不可用。此类攻击利用大量僵尸/受损/被黑客入侵的系统或其他网络资源。根据定义,每个网站都容易受到 DDoS 攻击。
DDoS 攻击的成本高达每小时 100,000 美元,如果您计划比较 Web 应用程序防火墙,最好有某种DDoS 保护以免受这些攻击。现代的智能 WAF 持续监控您的流量,以防止第 3、4 和 7 层攻击。他们的全球威胁数据库将攻击历史和威胁情报提供给您的 WAF 以进行保护。
- 实时流量可见性
- 即时第 3、4 和 7 层保护
- 没有停机时间
- 阻止来自某些国家、IP 的流量的即时规则
- 全球威胁数据库
3. 自定义规则
(基于具有快速、托管保护的应用程序风险)假设您的应用程序中有一个专有漏洞(OWASP 称之为业务逻辑缺陷),并且您希望 WAF 覆盖它。那会有多困难?
有几个 Web 应用程序防火墙供应商会根据每个请求收取创建自定义规则的费用。如果您有一个需要多个规则的复杂网站,那将是令人沮丧和昂贵的。此外,请确保供应商提供的保证将检查误报。测试并将它们置于阻止模式的责任不应仅由客户承担,还应由提供这些规则和安全策略更新的供应商承担。寻找以服务水平协议(SLA)为后盾的零误报保证来支持其自定义规则服务的供应商。
理想情况下,Web 应用程序防火墙应允许您从门户网站请求自定义规则,而无需为此大惊小怪或为每个请求收费。确保在付款前比较不同 WAF 供应商的此功能。
- 创建额外保护规则不收取任何费用
- 简单的规则请求
- 安全分析师创建的规则消除误报
在不了解您的应用程序漏洞的情况下启用 WAF 策略可能会使您的应用程序处于高风险之中。重要的是,WAF 提供集成产品以包括应用程序的安全测试和集成产品以立即防范这些风险,以及请求自定义规则的选项。此外,WAF 必须附带可以从第一天开始以 BLOCK 模式部署的默认策略,以便可以立即阻止大多数常见攻击。
4. Block-Log-挑战开关
安全情报是一项无与伦比的资产。它可以帮助您构建更强大的 Web 应用程序来保护请求,保护关键数据。WAF 日志对于构建中央安全情报存储库至关重要。基本的 Web 应用程序防火墙充当机器人,根据预先编写的规则阻止请求,而智能 WAF 则赋予您决策权。
- 阻止 -完全阻止请求。用户/攻击者不会绕过请求(对于关键资产和请求)
- 日志- 标记研究用户行为的请求。查看日志后启用阻止或质询
- 挑战- 抛出验证码请求以允许访问
- 使用上述每个事件作为情报的基础单元来学习和更新策略,以进一步加强防御态势并防止未来的攻击
5. 免费、全功能试用
这是不费吹灰之力的。您不会想在没有试用的情况下购买关键工具,例如 Web 应用程序防火墙。毕竟,您只会在入职后评估潜在的好处和/或产品兼容性问题。
确保您比较的云 WAF 具有全功能试用选项,没有“退款”或“我们需要一张卡进行身份验证”的先决条件。您不希望为 3 种不同的订阅输入信用卡以进行试用并最终被收取费用。
理想情况下,一个全功能的 WAF 试用版应该包括它必须为测试提供的所有内容,但您也可以满足以下条件:
- 保护OWASP 前 10和 SANS 25 问题
- 零日漏洞保护
- 一键式国家/IP黑名单
- 对仪表板(包括报告)的完全访问权限
- 抗DDoS
- 试用期间的问题聊天/电子邮件/电话支持
- 至少 30 GB 的带宽
- 使用安全扫描对您的应用程序进行安全评估
- 海关规则和虚拟补丁
- 清楚地了解与发生的攻击相关的安全风险
总结
无论您是初创公司、小型企业还是蓬勃发展的巨头,Web 应用程序防火墙已成为现代在线业务的必需品。无论您公司的修补能力如何,您都无法承受客户数据、金融交易和资产可用性方面的风险。此外,WAF 必须通过允许混合部署模型来促进客户采用云的旅程,但具有集中式窗格的云优势,可以查看所有 Web 应用程序的安全状况,而与防火墙的部署位置无关