新技术论坛
搜索
查看: 775|回复: 0
打印 上一主题 下一主题

[安全产品] Web应用防火墙的的未来

[复制链接]
  • TA的每日心情
    开心
    2016-12-9 18:18
  • 签到天数: 85 天

    连续签到: 1 天

    [LV.6]常住居民II

    扫一扫,手机访问本帖
    楼主
    跳转到指定楼层
    发表于 2016-3-29 23:30:56 来自手机 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    Web应用防火墙(英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款工具。

    多年以来这款工具在一定程度上解决了基于应用层检测/防护安全威胁,分析Web访问日志等安全问题,并通过配置策略实现一部分业务安全的功能。针对于网站、OA、ERP、邮件及所有Web应用,目前已经成为安全控制措施的标配产品。

    尤其是随着互联网+的兴起,WAF在信息安全产品中的重要性日益增强。

    根据《中华人民共和国公共安全行业标准:信息安全技术-web应用防火墙安全技术要求(GA/T 1140-2014)》标准要求结合网络上公开的招标要求,目前国内的WAF的基本功能主要包含以下几方面:

    防护能力
    防护策略
    响应处理
    报表和统计
    HTTPS支持
    旁路功能
    双机热备
    升级能力
    标识与鉴别
    安全管理
    审计日志

    随着国内信息安全公司的不断努力和创新,主流WAF厂商在功能规划上逐渐形成了共识。导致不同品牌的产品出现了功能同质化的趋势,很多时候甲方在竞品的选择中更多考虑的是性能、稳定性和相关服务。

    部分厂商在WAF增加了自动识别资产、安全工具联动、策略自学习、虚拟补丁、安全扫描和防篡改等功能,做了一些积极的创新尝试。但目前的WAF仍远远不能满足网络安全环境日益复杂的需求。

    我们应该可以做得更好。

    对WAF未来的设想可以有几个方向:

    一、整合其它安全工具的功能。

    如:网络层防护、流量分析、恶意代码防护等。这样做的好处是可以用少量的设备实现更多的安全功能,应用于小流量的保护对象的时候,可以降低成本,但性能能否满足要求令人担忧。

    在这个方向上,安全产品的定位变得模糊,安全产品的名字成本一种以营销为目的的包装手段;

    二、明确定位,精简功能,增加智能。

    防护类设备的性能至关重要,设备中大量日志的存储、查询、分析和展现会影响到设备的性能,性能调优存在极限,后期提升性能意味着增加成本。

    同时静态的安全策略,无法满足目前极速变化的威胁形势,既然大家已经充分意识到大数据可能给我们带来的价值机会,那么为什么不将WAF自身大量日志的存储和相对复杂的数据处理工作放在统一集中的数据处理平台。由数据处理平台提供动态的、更加智能的策略给防护设备;

    三、基本功能在特殊部署场景下的适应性增强。

    大型互联网公司的巨大规模流量的适应、多WAF弹性扩容、单台设备的超大性能要求、云上环境的部署、与普通CDN的耦合、与应用服务器同主机部署;

    四、结合业务安全。

    业务和Web应用的紧密联系,使WAF称为最适合通过技术手段提升业务安全的工具之一。通过WAF获得的流量及日志,可以实现如业务运营分析、用户画像等功能。提升安全产品交付的价值;

    五、易用性增强。

    国内甲方内部信息安全人员的职能定位和知识结构存在差异,一部分研发资源充足的互联网公司会考虑采取开源方案结合二次开发,来实现自身Web安全防护的需求。但是还有很大一部分组织,出于资源的不足,尚缺乏足够的精力,将商业安全工具的高级配置部分充分利用,对这部分用户,安全设备的交互体验,快速部署和配置都有很大的空间;

    六、关注浏览者的安全。

    WAF的初衷是保护服务器端,但服务的提供者同样对浏览者的安全负有一定的责任。任何的信息安全控制措施都不能规避安全事件发生的可能性,作为网关类设备,WAF可以考虑降低一旦出现安全事件所能造成的影响;

    七、合规匹配及展现增强。

    大部分通用的信息安全规范要求不会明确提出必须部署哪种安全产品,但会对具体的安全的防护能力提出要求。

    WAF作为一种事实上基本的安全防护工具,与部分规范要求的具体内容本身具有很强的匹配度,但由于这部分功能的在合规方面的展现不够明确突出,部分信息安全运维人员在面临检查或审计的时候,不太清楚自己是否符合相关要求。

    检查和审计往往是一项需要消耗大量人力成本的工作,明确的展现,有助于提升相关人员的工作效率。

    总之,Web应用防火墙过去为我们解决了很多问题,将来它可以解决更多问题。

    任何产品在迭代的过程中,当下可能存在一些不足,也可能在产品规划的方向上走一些弯路。

    但我们应该相信机器的计算效率和人的智慧。

    毕竟,信息安全行业汇聚了很多最聪明的人。
    高级模式
    B Color Image Link Quote Code Smilies

    本版积分规则

    手机版|Archiver|开发者俱乐部 ( ICP/ISP证:辽B-2-4-20110106号 IDC证:辽B-1-2-20070003号 )

    GMT+8, 2024-12-23 10:02 , Processed in 0.112718 second(s), 19 queries .

    X+ Open Developer Network (xodn.com)

    © 2009-2017 沈阳讯网网络科技有限公司

    快速回复 返回顶部 返回列表