【.com速译】在过去的几十年里,Web应用防火墙(WAF)已经成为无处不在的安全设备。所有拥有Web应用程序的组织(包括大多数大型企业)都安装了WAF以保护其数据和资产免遭利用和攻击。保护Web应用程序安全的最佳实践已经演变为在应用程序前面简单地部署WAF。但在当前市场上,现代应用生命周期帮助DevOps以极快的频率发布更新,传统的WAF能否跟上?在现代敏捷开发环境下,WAF并没有人们说的那么好,它已经是公开的行业秘密了。WAF跟不上频繁的应用更新,维护WAF变得非常费时费力。如果WAF失效,安全专家会怎么做?是什么阻止您的Web应用程序成为您组织安全环境的前门?知道DevOps不断推出新代码,您如何确定WAF是否值得维护,或者它是否已走到尽头??看看您的WAF如何跟上DevOps的速度。图1上下文为王Web安全旨在监控静态网络(彼此使用相同的协议),而WAF旨在保护彼此截然不同的Web应用程序。每个应用程序都是独一无二的,每段代码都是不同的,都有自己的一组漏洞。甚至在引入云存储和DevOps速度之前,WAF就被认为是一种常见的安全解决方案。使用位于应用程序前面而不是内联的解决方案意味着无法进行上下文分析。如果没有了解交互应用程序内部内容的上下文,WAF开发就不可能自动跟上应用程序开发的步伐。教育、教育、教育机器学习的改进只能在一定程度上解决这个难题。复杂的WAF“只”需要一个月的时间来适应并学习为应用程序创建基线,但让应用程序不受保护一个月太长了。难免需要人介入调优WAF,这时维护就成了一项繁重的工作。如果WAF在内容或代码发生变化时需要时间来学习和创建基线,那么管理员将面临大量繁重的工作以减少警报和创建异常。在没有自动化的情况下发生故障会出现下一个问题:您的WAF是否真的可以在没有人为干预的情况下保护您的Web应用程序免受逻辑攻击?答案是持续交付根本不可能。事实上,大多数WAF都没有处于警报模式。允许它们阻塞太危险了,因为大量警报会导致警报疲劳。也许管理员会进行一些小的调整,以使用阻止规则保护应用程序的敏感部分,但应用程序的其余部分将由WAF在警报模式下使用模式匹配和其他粗略技术进行保护。这可以防止安全解决方案随着应用程序的发展而自动部署,以防止新的逻辑攻击。云计算的主题是敏捷。2015年需要两周才能创建的软件现在只需要几秒钟。如果您利用微服务,您可以在几分钟内显着改变您的应用程序。在这个新环境中,考虑依赖学习或手动配置的标准老式应用程序安全解决方案是荒谬的。每当开发人员调整代码并将其发送到外部时,这都是单方面的举动,没有与安全部门协商。如果您使用的WAF依赖于假设您环境中的所有内容都是非专有的并且您的WAF已死,那么是时候改变了。WAF已死,DevOps杀死了它。现在是时候进行分析以确定您的WAF是否仍在运行,或者您是否在使用它很麻烦。原标题:WebAppFirewallIsDeadandWeKnowWhoKilledIt,作者:TJGonen
