网络安全界“Dev(Sec)Ops来了,WAF死了”的论断流行了一段时间。WAF(WebApplicationFirewall)真的要退出历史舞台了吗?Dev(Sec)Ops是WAF的掘墓人?答案是不。虽然有些人可能认为DevOps有手段、动力和机会,但事实是WAF不仅没有消失,而且还会长期存在。WAF还有什么价值?DevOps以及持续集成和持续部署(CI/CD)管道为实施安全策略提供了极好的机会,特别是如果开发团队以敏捷方法添加安全冲刺。Dev(Sec)Ops从一开始就将安全功能构建到应用程序中,而不是尝试在传统开发方法之后修复它们。后者不仅效率低下,而且在繁忙的CI/CD过程中经常被忽略或遗忘。尽管DevSecOps从一开始就将安全性内置到所有Web应用程序中,但经验表明,它通常只适用于“皇冠上的宝石”,例如公司的主要客户门户或客户支付系统。在企业环境中,公司运行其代码不再维护的遗留应用程序或通过收购来集成应用程序的情况并不少见。此外,研发和营销等部门通常会实施自定义或第三方应用程序。应用程序的这种激增可能导致组织中超过50%的面向公众的Web应用程序由DevOps或其他不同的IT团队管理。这些应用程序将需要其他威胁缓解控制,而WAF就是其中之一。DevOps安全的局限性当Web应用程序成为企业的关键应用程序时,WAF已成为企业安全的基石。旨在保护大部分静态网络环境的单一网络防火墙已不再足够。WAF针对特定的应用提供不同的安全保护。但是WAF过滤、监控和策略执行(例如阻止恶意流量)在提供有价值的保护的同时,也会带来成本影响并消耗计算资源。另外,在DevOps云环境中,WAF要匹配不断更新变化的过程也是一个挑战。将安全性引入CI/CD管道可以解决这个问题,但仅限于以这种方式开发的应用程序。无法在传统第三方应用程序或不同部门部署的应用程序中实施安全功能的冲刺。这些应用程序的存在给企业带来了风险,但它们仍然需要保护,WAF可能仍然是最好的选择。同样重要的是,没有针对所有网络安全问题的通用解决方案,仅采用敏捷的DevOps方法是不够的。即使在不包含过时应用程序或第三方应用程序的环境中,您也永远无法确定其他团队在做什么——影子IT是企业的长期困扰。除了安全冲刺、代码审查等,每年至少需要进行一次渗透测试。渗透测试模拟对系统、网络和Web应用程序的网络攻击,发现黑客可能利用的漏洞。渗透测试为企业提供了使他们的安全状况符合预期的绝佳机会。毫无疑问,在应用程序安全性方面,主动将安全性构建到Web应用程序中的DevOps敏捷方法应该被视为最佳实践。它确保安全与CI/CD管道中的创新速度保持同步,有助于在安全和运营团队之间建立协作文化,并使网络安全与业务需求保持一致。但在企业层面,DevSecOps并未涵盖应用程序安全的全部范围,因为较旧的不受支持的应用程序、第三方添加以及可能超出开发团队权限的其他部门的独立活动。总之,有关WAF即将消亡的报道是危言耸听。只要DevOps环境之外仍然存在遗留应用程序,或者DevOps团队还没有从头开始完全实施安全性(这仍然相当普遍),那么就需要其他方法来保护应用程序和减轻攻击。至少在可预见的未来,WAF将成为企业安全武器库中的必备品。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
