您想在 Web 應用程序防火墻(云 WAF)中尋找的一切。您是否知道即使是最嚴重的漏洞也可能需要長達 5 個月的時間才能修復?Web 應用程序安全統計報告指出,大多數公司平均在 146 天內修復關鍵漏洞。
黑客會等待您的開發人員修補代碼嗎?即使他們手頭有時間,您不希望將時間花在更關鍵的業務功能上嗎?這就是您需要?有效且經濟高效的云 WAF 的原因。
根據開放 Web 應用程序安全項目 (OWASP),WAF 將一組規則應用于 HTTP 會話以阻止常見攻擊。這意味著Web 應用程序防火墻(WAF) 旨在修補應用程序的弱點。它可以阻止利用跨站點偽造、跨站點腳本 (XSS)、文件包含和 SQL 注入的攻擊,而無需在應用程序中進行開發/代碼更改。
聽起來很容易,對吧?然而,由于有數十家 WAF 供應商且缺乏相關的技術指南,公司常常難以找到合適的產品。我們的安全分析師和行業專家專門為比較不同 WAF 產品的公司編寫了本指南。以下是應在清單頂部的功能。
1. 云可用性
(使用混合部署模型)2008 年,亞利桑那州立大學發表了一篇關于云計算未來的革命性文章。他們將 SaaS 模型與電力進行了比較。當您插入烤面包機時,您不必考慮電子從源(煤/核/水力發電站)行進多遠來為您的家供電。您知道那里有電,您可以每月支付使用費。您可能永遠不會想知道建立這樣一個發電廠的成本是多少。
Web 應用程序防火墻(以及整個 SaaS 行業)也以類似的方式發展。早些時候,當您不得不投資于本地 WAF 時,只有價值數百萬美元的組織才能負擔得起。
隨著在線業務的蓬勃發展,安全問題和要求也在增長。并非每家在線公司都愿意在安裝的設備上花費如此大的資金,而這些設備也需要軟件升級。它緩慢、昂貴且不必要。如今,WAF是指數級增長的在線企業的首選,這些企業希望易于部署和降低每月成本。
- 無需巨額預付款的月度安全訂閱
- 帶寬靈活性
- 自動更新以修補零日漏洞
- 快速自定義規則部署
- 具有成本效益的 PCI 合規性
此外,支持混合部署模型也很重要,?以使您能夠過渡到云(如果需要),這不可能在一夜之間發生。您根本不能在遷移到云期間延遲安全選擇,如果本地部署不支持免費遷移到云,您也不能對本地部署進行投資。
采用云 WAF 的主要障礙之一是擔心額外的躍點可能會影響網站的性能和響應時間。這是一個有效的擔憂,但可以根據云 WF 可以啟用的某些功能輕松緩解。大多數云 WAF 提供商應該提供一個選項來啟用 CDN 以及 WAF 服務,而無需額外費用。這可以確保您實際上可以提高網站性能和安全性,因為大多數網站(甚至是動態網站)都有超過 75% 的靜態內容可以從用戶瀏覽的最近邊緣自動提供。還要檢查云 WAF 基礎設施是否托管和構建在現有的公共云架構(如 AWS 或 Azure)上,確保在所有這些部署模型中都有一個集中式控制臺,用于管理和查看提供給客戶的應用程序安全性。
2. DDoS防護
分布式拒絕服務 (?DDoS?) 攻擊使在線服務不可用。此類攻擊利用大量僵尸/受損/被黑客入侵的系統或其他網絡資源。根據定義,每個網站都容易受到 DDoS 攻擊。
DDoS 攻擊的成本高達每小時 100,000 美元,如果您計劃比較 Web 應用程序防火墻,最好有某種DDoS 保護以免受這些攻擊。現代的智能 WAF 持續監控您的流量,以防止第 3、4 和 7 層攻擊。他們的全球威脅數據庫將攻擊歷史和威脅情報提供給您的 WAF 以進行保護。
- 實時流量可見性
- 即時第 3、4 和 7 層保護
- 沒有停機時間
- 阻止來自某些國家、IP 的流量的即時規則
- 全球威脅數據庫
3. 自定義規則
(基于具有快速、托管保護的應用程序風險)假設您的應用程序中有一個專有漏洞(OWASP 稱之為業務邏輯缺陷),并且您希望 WAF 覆蓋它。那會有多困難?
有幾個 Web 應用程序防火墻供應商會根據每個請求收取創建自定義規則的費用。如果您有一個需要多個規則的復雜網站,那將是令人沮喪和昂貴的。此外,請確保供應商提供的保證將檢查誤報。測試并將它們置于阻止模式的責任不應僅由客戶承擔,還應由提供這些規則和安全策略更新的供應商承擔。尋找以服務水平協議(SLA)為后盾的零誤報保證來支持其自定義規則服務的供應商。
理想情況下,Web 應用程序防火墻應允許您從門戶網站請求自定義規則,而無需為此大驚小怪或為每個請求收費。確保在付款前比較不同 WAF 供應商的此功能。
- 創建額外保護規則不收取任何費用
- 簡單的規則請求
- 安全分析師創建的規則消除誤報
在不了解您的應用程序漏洞的情況下啟用 WAF 策略可能會使您的應用程序處于高風險之中。重要的是,WAF 提供集成產品以包括應用程序的安全測試和集成產品以立即防范這些風險,以及請求自定義規則的選項。此外,WAF 必須附帶可以從第一天開始以 BLOCK 模式部署的默認策略,以便可以立即阻止大多數常見攻擊。
4. Block-Log-挑戰開關
安全情報是一項無與倫比的資產。它可以幫助您構建更強大的 Web 應用程序來保護請求,保護關鍵數據。WAF 日志對于構建中央安全情報存儲庫至關重要。基本的 Web 應用程序防火墻充當機器人,根據預先編寫的規則阻止請求,而智能 WAF 則賦予您決策權。
- 阻止 -完全阻止請求。用戶/攻擊者不會繞過請求(對于關鍵資產和請求)
- 日志- 標記研究用戶行為的請求。查看日志后啟用阻止或質詢
- 挑戰- 拋出驗證碼請求以允許訪問
- 使用上述每個事件作為情報的基礎單元來學習和更新策略,以進一步加強防御態勢并防止未來的攻擊
5. 免費、全功能試用
這是不費吹灰之力的。您不會想在沒有試用的情況下購買關鍵工具,例如 Web 應用程序防火墻。畢竟,您只會在入職后評估潛在的好處和/或產品兼容性問題。
確保您比較的云 WAF 具有全功能試用選項,沒有“退款”或“我們需要一張卡進行身份驗證”的先決條件。您不希望為 3 種不同的訂閱輸入信用卡以進行試用并最終被收取費用。
理想情況下,一個全功能的 WAF 試用版應該包括它必須為測試提供的所有內容,但您也可以滿足以下條件:
- 保護OWASP 前 10和 SANS 25 問題
- 零日漏洞保護
- 一鍵式國家/IP黑名單
- 對儀表板(包括報告)的完全訪問權限
- 抗DDoS
- 試用期間的問題聊天/電子郵件/電話支持
- 至少 30 GB 的帶寬
- 使用安全掃描對您的應用程序進行安全評估
- 海關規則和虛擬補丁
- 清楚地了解與發生的攻擊相關的安全風險
總結
無論您是初創公司、小型企業還是蓬勃發展的巨頭,Web 應用程序防火墻已成為現代在線業務的必需品。無論您公司的修補能力如何,您都無法承受客戶數據、金融交易和資產可用性方面的風險。此外,WAF 必須通過允許混合部署模型來促進客戶采用云的旅程,但具有集中式窗格的云優勢,可以查看所有 Web 應用程序的安全狀況,而與防火墻的部署位置無關
