随着网络攻击的演进,Web应用防火墙(WAF)的应用也在发生变化。企业组织部署WAF不仅要保护网站,还要保障和支持逐渐流行的Kubernetes、微服务、API、Serverless部署等新兴应用。因此,部署和管理WAF不再是安全团队的职责,而是从应用设计、敏捷开发、信息应用到安全团队每个人的任务。传统模式下,WAF通常作为物理的、本地化的(on-premises)工具部署在Web服务器前,保护Web应用和API免受内外部攻击,尤其是防止注入攻击和应用层拒绝服务攻击(DoS),监控对Web应用程序的访问并收集访问日志以进行合规性审计和可追溯性分析。近年来,基于云的WAF服务也成为一种非常流行的应用解决方案。它通过订阅作为SaaS提供服务。安全策略由服务提供商预先定义。共享威胁数据,获得标准化运维支持。这使得它更容易应用和管理。但是,并不是所有的企业都适合上云WAF。这两种服务模式各有优缺点。企业需要从价格、性能、功能、应用和数据的敏感性等方面进行综合评估。云WAF的价值在于易于部署云WAF通常更易于部署,服务提供商会在交付前对其进行优化,设计更标准化的工作流程和功能。用户无需安装任何软件或部署任何硬件设备,只需修改DNS即可实现云WAF服务的部署和应用。采购成本低云WAF一般采用标准化规则或访问控制列表(ACL)来实现保护功能,服务交付难度较低,应用成本可控。与其他服务集成原生云WAF可以更好地与云上的其他服务(如日志工具、DNS管理和应用程序交付功能)集成。如果企业正在运行Kubernetes或其他容器编排工具,这一点尤其重要。对于企业组织,IT团队有很多工作职责,轻松集成可以节省大量时间并降低操作复杂性。云WAF的保护规则都在云端。一旦发现新的安全威胁,规则可以由云中的服务提供商更新和维护。用户无需担心因疏忽造成的安全事故。云WAF可扩展性不足云WAF往往是一种标准化的解决方案,无法让企业精细地控制未来的可扩展性,一些复杂的安全防护配置通常很难在云WAF上实现。可靠性低云WAF在处理请求时,需要经过DNS解析、请求调度、流量过滤等多个环节,涉及协同、关联工作。只要一个链接出现问题,网站就无法正常访问。必要时需要手动切换到原DNS,以保证业务的正常运行。不可预测的成本云WAF通常根据多个参数定价,例如访问控制列表(ACL)的数量、防火墙规则的数量、防火墙组的数量、处理的请求数量等。如果发生不可预见的事件,例如作为重大的扩展事件或复杂的网络攻击,它可能会导致更高的使用成本。不支持多云或混合云由于大多数组织选择多云或混合架构,这将阻碍云WAF的应用。安全团队必须熟悉云上每个WAF服务的独特认证方案、管理控制台和语法规则。提供商锁定如果企业在一个云中构建复杂的WAF规则,将很难扩展到另一个云平台,因为这些规则很难导出。当然,企业可以手动完成这项工作,但在微服务环境下,这可能意味着要迁移大量的WAF规则,甚至会出现规则丢失的情况。分析结论的优缺点后,我们发现基于云的WAF更适合安全要求不高的企业应用,但可能不适用于大型应用、复杂用例、应用架构不断变化等场景。特别是在可能有数千个微服务的Kubernetes、微服务和无服务器环境中,东西向流量与南北向流量一样受到关注,云WAF管理可能会变得棘手。此外,当开发人员或DevOps团队需要对应用程序扩展模式和规则进行更全面的控制时,云WAF可能无法提供足够的粒度。公共云中的管理控制台可自动化并简化ACL和规则的管理,但它们通常在多云或混合云环境中不可用。使用哪种WAF形式并不是“一药治百病”的问题。企业安全人员需要结合业务需求,搞清楚企业的重心在哪里,上云的速度有多快。在明确了企业的业务发展路线后,他们就可以决定自己想要的WAF部署方式是本地化还是云交付。参考链接:https://thenewstack.io/pros-and-cons-of-public-cloud-wafs/
