互聯(lián)網(wǎng)經(jīng)過幾十年的發(fā)展，Web 應用防火墻 （WAF） 已變成無處不在的安全工具包。任何部署 Web 應用的組織（包括大多數(shù)大型企業(yè)）都會安裝 WAF，以保護數(shù)據(jù)和資產(chǎn)安全。Web 應用防護的最佳實踐現(xiàn)已發(fā)展為只需在應用前部署 WAF 即可。

但事實上，如今現(xiàn)代應用生命周期加快了 DevOps 的更新發(fā)布頻率，而傳統(tǒng) WAF 根本無法跟上發(fā)布步伐，并且 WAF 維護流程較為復雜，需要耗費大量人力資源。

面對這一挑戰(zhàn)，安全專業(yè)人士應該怎么做？什么會阻止 Web 應用成為組織基礎架構的前門？我們知道 DevOps 會不斷開發(fā)新代碼，但如何確定 WAF 是否還值得維護或者是否已無藥可救？

下面讓我們仔細了解一下 WAF 如何才能跟上 DevOps 的速度。

上下文邏輯是關鍵所在

網(wǎng)絡安全旨在監(jiān)控使用相同協(xié)議的靜態(tài)網(wǎng)絡，而 WAF 旨在保護相差甚遠的 Web 應用。每個應用都是獨一無二的，每段代碼也都互不相同，并且各自都有一系列漏洞。在引入云存儲和 DevOps 加速之前，WAF 就被認為只是一種“平庸的”安全解決方案。使用位于應用前面而非內(nèi)聯(lián)的解決方案意味著無法進行上下文分析。如果沒有上下文來幫助理解正在交互的應用內(nèi)容，WAF 演進的自動化速度就無法跟上應用演進的速度。

學習不停歇

機器學習的改進只是在一定程度上解決了這個難題。雖然復雜的 WAF“只”需學習一個月即可創(chuàng)建應用基線，但放任應用在一個月內(nèi)不受保護實在太久了。人類難免需要介入，幫助校準 WAF，但維護工作的負擔也會因此加重。如果 WAF 在內(nèi)容或代碼每次發(fā)生更改時都需要花時間學習和創(chuàng)建基線，那么為了減少警報和創(chuàng)建異常，管理員需要開展大量工作。

自動化關系成敗

面對持續(xù)交付，WAF 不可能在沒有人類干預的情況下有效保護 Web 應用免受邏輯攻擊。實際上，大多數(shù) WAF 都不處于警報模式。過度攔截存在巨大的風險，因為大量警報會造成警報疲勞。也許管理員可以進行微調(diào)，以便使用攔截規(guī)則保護應用的敏感部分，而應用的其余部分則由處于警報模式下的 WAF 使用模式匹配及其他簡單技術加以保護。但這會導致安全解決方案無法隨著應用的發(fā)展自動部署以防止新的邏輯攻擊。

加速還是棄用

原生云計算關乎敏捷性。2015 年需要花兩周時間才能創(chuàng)建完的內(nèi)容現(xiàn)在只需幾秒鐘即可完成。借助新型微服務，您可以在幾分鐘內(nèi)大幅更改應用。在這種新環(huán)境下，考慮使用依賴學習或手動配置的標準傳統(tǒng)應用安全解決方案會很荒謬。

每當開發(fā)人員調(diào)整和對外發(fā)布代碼，都是單方面的舉動，無需與安全人員協(xié)商。如果您使用的 WAF 假設環(huán)境中的一切都是通用的，則意味您的 WAF 已經(jīng)失效，是時候放棄使用了。

WAF 已成過去，DevOps 時代來臨。現(xiàn)在是時候進行取證分析，以確定您的 WAF 是否尚可使用，還是已成為累贅。請回答以下幾個問題：

? 您的 WAF 是專為云設計的嗎？

? 您的 WAF 能否辨別合法流量用戶和惡意流量用戶？

? 您的 WAF 可以辨別合法查詢和 BOT 及其他 OWASP 攻擊向量嗎？

如果上述問題的回答均為“否”，那么是時候評估您的云應用安全性了。