传统防火墙已死,至少濒临死亡

早些时候,Web应用没那么普遍,Web威胁也就没有那么突出。恶意机器人程序不算很复杂,检测简单直接。网络安全需求还非常基础,采用基本网络安全管理就能妥善应对。

时至今日,所有这一切发生了改变。Web应用存在于本地、云端或混合环境中,客户和雇员通过网络在任意地点加以访问。由于IP地址不断改变,且被内容分发网络(CDN)遮蔽,防火墙无法追踪访问请求源自何方、去向何处,也无法确知网络上正在发生什么。

WAF应该能抵御一系列复杂高端威胁。传统WAF以硬件设备形式实现,不仅难以使用,还深受可见性缺乏和性能低下之苦。以至于90%的公司企业声称自己的WAF太过复杂了。最糟的情况下,公司企业被WAF拖累,十分后悔投入如此多的资产却在重要事项上毫无安全进展。于是,新时代Web应用防火墙的需求应运而生。AppTrana等新时代WAF是基于云的托管服务,更易于部署,拥有更便利的订阅商业模式,且依托专业人才和知识持续管理安全策略,让公司企业能够专注自身核心专业技能,不用费心学习复杂的应用安全新技术。

传统WAF面临的挑战

从传统Web应用防火墙转向下一代WAF的产业界人士表达了他们做出WAF切换决策的动机。大部分原因不外乎以下几种:

1. 技术创新

Web应用标准不断发展变化,提高了对WAF必要功能的要求。

JSON有效负载和HTTP/2采纳的增长令大多数Web应用防火墙供应商疲于追赶。尽管市场预期不断创新,很多WAF供应商却越来越脆弱。

2. 缺乏扩展性

公司企业对网络扩展的需求加剧了成本、耗时和复杂性等挑战。设备集群的部署和维护变得非常复杂。

开发运维和敏捷方法需要持续重新配置和重新微调集群,耗干安全团队资源。

3. 零日漏洞利用

尽管能够有效监测Web流量以阻止特定于HTTP的攻击,WAF却对零日攻击束手无策。WAF用于检测预配置的模式,但零日漏洞可通过各种攻击途径加以利用,预配置的规则无法覆盖这些途径。

4. 阻塞合法流量

大多数WAF用户的另一个不满之处,是传统WAF会无意阻塞有效流量,也就是所谓的误报。尽管从安全角度考虑,这似乎相对无害,但对公司企业而言却可能是灾难性的。误报可能会阻止访客获取应用功能、上传媒体或购买产品。

解决这个问题的一个潜在方法是只应用最低限度的模式,但这可能会让网络更加脆弱。大多数WAF解决方案都难以平衡这一操作。除非投入专用资源加以管理,否则很难充分发挥传统WAF的效用。这就是传统WAF无法满足预期的最大缺陷。

5. DDoS攻击

最重要的是,DDoS难题困扰WAF安装。很多公司企业都使用WAF防止DDoS攻击。他们选择这么做主要是因为可以将WAF升级到具备缓解DDoS攻击的功能。

然而问题在于,传统WAF就不是用来抵御大规模DDoS攻击的。而且,现代应用由第三方平台共享或提供,靠本地防御层也保护不了。没有基于云的WAF,就难以规划前期容量,即使勉强规划,也依然存在上限。

云WAF和专用托管云WAF能够解决扩展问题。公司企业只需基于价值付费,无需为了未来可能或可能不会发生的事件支付前期固定费用。

了解新时代WAF的功能

尽管很多WAF供应商都宣称提供下一代WAF,其实其中大部分都采用与传统WAF相同的安全范式,根本不能称之为下一代。我们需要的是真正称得上下一代的新时代WAF。正如Indusface的AppTrana所呈现的,新时代WAF的基本特征包括:

1. 应用和Web使用控制

应用和Web使用控制能够解决阻止哪类流量的问题。WAF采用多种标识类别来识别网站和网上应用的确切身份,确定该怎样处理这些网站和应用。

准确的流量分类是下一代WAF的核心。这么做可以防止公司企业访问可能导致法律问题或恶意/无关的网站和应用。

2. 高级Web应用安全数据分

基于云的WAF不仅能够处理大多数Web应用正在经历的新兴攻击,还可稳定提升威胁可见性和改善数据分析。如果采用传统WAF,公司企业基本等于盲飞,只能期待一切都“好”,而事故总会发生。

WAF实时监视性能指标,突出显示基础设施、应用和最终用户的状态。可以信任WAF会按既定功能运行,让用户能在事件发生前早做准备。

3. Web应用安全评估和恶意软件检测

新时代防火墙很清楚:即使合法网站也可能无意中存在漏洞,甚至可能含有链向恶意站点和恶意攻击载荷的链接。而且,即使知道常会含有恶意链接或恶意文件,公司企业有时候也会赋予社交媒体平台访问权。

AppTrana之类新时代WAF的主要好处,是能够提供与应用风险相关的WAF策略并持续执行。

4. 全球威胁情报

基于云的安全平台能够利用其国际部署,维持完整的全球流量趋势洞察。此类安全平台监视和分析全球所有部署的流量,只要某个位置识别出安全威胁,全球所有部署都能收到更新并响应加强防御。