精明的應(yīng)用程序安全解決方案提供商可以在Web應(yīng)用程序防火墻（WAF）的選擇、部署和管理中為客戶提供額外的好處，協(xié)助客戶建立有效的應(yīng)用程序以及數(shù)據(jù)保護(hù)方案。

近年來(lái)，Web應(yīng)用程序防火墻已經(jīng)成為企業(yè)滿足某些規(guī)則遵從要求（包括數(shù)據(jù)保護(hù)）所需要的工具，可是很少有企業(yè)在部署和管理WAF方面具有專(zhuān)業(yè)知識(shí)。因此，許多公司將依靠方案提供商，讓他們協(xié)助自己實(shí)現(xiàn)最好的產(chǎn)品部屬。

“整個(gè)應(yīng)用程序安全策略市場(chǎng)仍被嚴(yán)重低估”，位于美國(guó)密蘇里州堪薩斯市的Fishnet安全公司常務(wù)董事Mark Carney表示，“情況正在改善，但是整個(gè)安全社區(qū)并不能很快地理解應(yīng)用程序防火墻所需要的操作和管理水平，以及如何才能有效地對(duì)付Web應(yīng)用程序漏洞。”

即使對(duì)于那些所謂的“復(fù)選框”規(guī)則遵從部署而言，這也可能是真的，因?yàn)樗麄冃枰獫M足某些特定的遵從規(guī)則，比如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)中的要求6.6，該規(guī)則要求用戶要么部署Web應(yīng)用程序防火墻，要么采用手動(dòng)或自動(dòng)的源代碼審查或者應(yīng)用程序漏洞掃描。

PCI DSS要求對(duì)Level 1商家（每年交易量超過(guò)六百萬(wàn)份的企業(yè)）進(jìn)行審計(jì)；MasterCard最近增加了Level 2商家（每年的交易量在一百萬(wàn)份到六百萬(wàn)份之間的企業(yè)）的審計(jì)要求。經(jīng)驗(yàn)豐富、積極的、合格的安全評(píng)估員（QSA）都希望公司能夠證明他們已經(jīng)安裝了Web應(yīng)用程序防火墻，并且正在運(yùn)行。

位于美國(guó)賓夕法尼亞州梅卡尼克斯堡市的ICSA Labs公司（該公司是Verizon Business公司的獨(dú)立部門(mén)，提供中立的安全產(chǎn)品測(cè)試和安全產(chǎn)品認(rèn)證，其中包括WAF認(rèn)證）負(fù)責(zé)WAF的經(jīng)理Brian Monkman說(shuō)道，“有些審計(jì)員會(huì)問(wèn)，‘你們有Web應(yīng)用程序防火墻嗎？’然后說(shuō)，‘好吧，檢查一下’。但是有些審計(jì)員會(huì)問(wèn)更具體的問(wèn)題，而Web應(yīng)用程序防火墻存在的時(shí)間越長(zhǎng)，它們就越成熟，這些問(wèn)題就越深入。”

位于美國(guó)加利福尼亞州Redmond Shores的Imperva公司首席安全戰(zhàn)略家Brian Contos表示，企業(yè)通常需要確定用戶如何與應(yīng)用程序進(jìn)行交互，以及應(yīng)用程序可以訪問(wèn)哪些關(guān)鍵數(shù)據(jù)等。而合作伙伴所提供的預(yù)先發(fā)現(xiàn)（up-front discovery）功能可以當(dāng)成一種WAF服務(wù)，從而確定應(yīng)用程序和相關(guān)數(shù)據(jù)是否在規(guī)定的操作范圍以內(nèi)。

“毫無(wú)疑問(wèn)，數(shù)據(jù)安全比網(wǎng)絡(luò)安全更難管理，”Contos表示。“如果你不知道敏感數(shù)據(jù)在哪兒，就很難搞清楚用戶是如何進(jìn)行交互的。”

一般而言，WAF是通過(guò)最初的規(guī)則標(biāo)準(zhǔn)進(jìn)行“學(xué)習(xí)”的，其中包括一段時(shí)間的測(cè)試，以便確定哪些是可接受的行為、哪些有問(wèn)題，以及哪些是惡意的。

這是方案提供商的另一個(gè)機(jī)會(huì)，因?yàn)闇y(cè)試結(jié)果必須加以分析，并把結(jié)果報(bào)告給客戶。結(jié)果分析完成之后，方案提供商可以跟客戶一起合作，根據(jù)公司策略以及潛在的攻擊，建立自定義規(guī)則，確定哪些行為是允許的，哪些需要警告，哪些需要阻止等。

Contos 指出，“這變成了一種顧問(wèn)式關(guān)系，與只是提供技術(shù)相比大大提升了產(chǎn)品的附加值。”

大型的、復(fù)雜的WAF部署尤其如此。專(zhuān)家表示，為了能夠最好地協(xié)助客戶，VAR應(yīng)該懂得應(yīng)用程序后面隱藏的業(yè)務(wù)邏輯、應(yīng)用程序是如何工作的、它的開(kāi)發(fā)平臺(tái)式，以及它所使用的編程語(yǔ)言等。

Fishnet公司的Carney表示，“我們需要了解的最重要的事情是應(yīng)用程序都比較復(fù)雜。它們不像網(wǎng)絡(luò)流量那么簡(jiǎn)單、那么容易預(yù)測(cè)。”

他指出，了解即將部署的新應(yīng)用程序以及現(xiàn)存的應(yīng)用程序是否有所變化尤其重要?？蛻舯仨毥?jīng)過(guò)培訓(xùn)，知道如何修改WAF規(guī)則來(lái)適應(yīng)這些變化；或者必須與方案提供商約定好額外的服務(wù)，讓他們來(lái)完成這些工作。

Carney指出，“環(huán)境越是多變，產(chǎn)品就越需要照顧和管理。”

在動(dòng)態(tài)的環(huán)境中，方案提供商可以用Web應(yīng)用程序掃描器進(jìn)行滲透測(cè)試，以發(fā)現(xiàn)變化引起的漏洞。Monkman表示，消費(fèi)者的WAF部署最好結(jié)合掃描工具或掃描服務(wù)。比如，WhiteHat Security公司基于云的應(yīng)用程序掃描服務(wù)就集成了多個(gè)WAF產(chǎn)品。該服務(wù)（或者說(shuō)產(chǎn)品）可以創(chuàng)建“虛擬補(bǔ)丁”，從而阻止某些特定的漏洞利用，直到問(wèn)題代碼被修復(fù)為止。

這對(duì)于不能離線的關(guān)鍵生產(chǎn)應(yīng)用程序來(lái)說(shuō)至關(guān)重要。創(chuàng)建和測(cè)試補(bǔ)丁都需要時(shí)間，尤其是當(dāng)開(kāi)發(fā)過(guò)程已被外包給別人時(shí)。

“你需要有人能夠完全理解安全編碼、Web應(yīng)用程序防火墻，以及漏洞掃描器是如何工作的、應(yīng)該怎樣整合它們，”Monkman說(shuō)道。

這種專(zhuān)業(yè)知識(shí)的整合非常短缺，這讓方案提供商有了提供應(yīng)用程序安全服務(wù)的機(jī)會(huì)，不僅僅是簡(jiǎn)單的WAF部署。

“為應(yīng)用程序，尤其是為動(dòng)態(tài)的應(yīng)用程序設(shè)計(jì)安全特性，你最好有一個(gè)合作伙伴，”Contos指出,“隨著網(wǎng)絡(luò)安全日益商品化，我認(rèn)為這個(gè)領(lǐng)域?qū)?lái)會(huì)有很大的增長(zhǎng)。”

【編輯推薦】

1. 建立應(yīng)用層防火墻規(guī)則基礎(chǔ)
2. Web應(yīng)用層防火墻真的像宣傳的那般好用嗎？
3. 下一代防火墻常見(jiàn)問(wèn)答
4. 企業(yè)需要帶有入侵防御系統(tǒng)及應(yīng)用可見(jiàn)的下一代防火墻