互聯(lián)網(wǎng)經(jīng)過幾十年的發(fā)展，Web 應(yīng)用防火墻 (WAF) 已變成無處不在的安全工具包。任何部署 Web 應(yīng)用的組織（包括大多數(shù)大型企業(yè)）都會安裝 WAF，以保護(hù)數(shù)據(jù)和資產(chǎn)安全。Web 應(yīng)用防護(hù)的最佳實(shí)踐現(xiàn)已發(fā)展為只需在應(yīng)用前部署 WAF 即可。

　　但事實(shí)上，如今現(xiàn)代應(yīng)用生命周期加快了 DevOps 的更新發(fā)布頻率，而傳統(tǒng) WAF 根本無法跟上發(fā)布步伐，并且 WAF 維護(hù)流程較為復(fù)雜，需要耗費(fèi)大量人力資源。

　　面對這一挑戰(zhàn)，安全專業(yè)人士應(yīng)該怎么做？什么會阻止 Web 應(yīng)用成為組織基礎(chǔ)架構(gòu)的前門？我們知道 DevOps 會不斷開發(fā)新代碼，但如何確定 WAF 是否還值得維護(hù)或者是否已無藥可救？

　　下面讓我們仔細(xì)了解一下 WAF 如何才能跟上 DevOps 的速度。

　　上下文邏輯是關(guān)鍵所在

　　網(wǎng)絡(luò)安全旨在監(jiān)控使用相同協(xié)議的靜態(tài)網(wǎng)絡(luò)，而 WAF 旨在保護(hù)相差甚遠(yuǎn)的 Web 應(yīng)用。每個應(yīng)用都是獨(dú)一無二的，每段代碼也都互不相同，并且各自都有一系列漏洞。在引入云存儲和 DevOps 加速之前，WAF 就被認(rèn)為只是一種“平庸的”安全解決方案。使用位于應(yīng)用前面而非內(nèi)聯(lián)的解決方案意味著無法進(jìn)行上下文分析。如果沒有上下文來幫助理解正在交互的應(yīng)用內(nèi)容，WAF 演進(jìn)的自動化速度就無法跟上應(yīng)用演進(jìn)的速度。

　　學(xué)習(xí)不停歇

　　機(jī)器學(xué)習(xí)的改進(jìn)只是在一定程度上解決了這個難題。雖然復(fù)雜的 WAF“只”需學(xué)習(xí)一個月即可創(chuàng)建應(yīng)用基線，但放任應(yīng)用在一個月內(nèi)不受保護(hù)實(shí)在太久了。人類難免需要介入，幫助校準(zhǔn) WAF，但維護(hù)工作的負(fù)擔(dān)也會因此加重。如果 WAF 在內(nèi)容或代碼每次發(fā)生更改時都需要花時間學(xué)習(xí)和創(chuàng)建基線，那么為了減少警報和創(chuàng)建異常，管理員需要開展大量工作。

　　自動化關(guān)系成敗

　　面對持續(xù)交付，WAF 不可能在沒有人類干預(yù)的情況下有效保護(hù) Web 應(yīng)用免受邏輯攻擊。實(shí)際上，大多數(shù) WAF 都不處于警報模式。過度攔截存在巨大的風(fēng)險，因為大量警報會造成警報疲勞。也許管理員可以進(jìn)行微調(diào)，以便使用攔截規(guī)則保護(hù)應(yīng)用的敏感部分，而應(yīng)用的其余部分則由處于警報模式下的 WAF 使用模式匹配及其他簡單技術(shù)加以保護(hù)。但這會導(dǎo)致安全解決方案無法隨著應(yīng)用的發(fā)展自動部署以防止新的邏輯攻擊。

　　加速還是棄用

　　原生云計算關(guān)乎敏捷性。2015 年需要花兩周時間才能創(chuàng)建完的內(nèi)容現(xiàn)在只需幾秒鐘即可完成。借助新型微服務(wù)，您可以在幾分鐘內(nèi)大幅更改應(yīng)用。在這種新環(huán)境下，考慮使用依賴學(xué)習(xí)或手動配置的標(biāo)準(zhǔn)傳統(tǒng)應(yīng)用安全解決方案會很荒謬。

　　每當(dāng)開發(fā)人員調(diào)整和對外發(fā)布代碼，都是單方面的舉動，無需與安全人員協(xié)商。如果您使用的 WAF 假設(shè)環(huán)境中的一切都是通用的，則意味您的 WAF 已經(jīng)失效，是時候放棄使用了。

　　WAF 已成過去，DevOps 時代來臨?，F(xiàn)在是時候進(jìn)行取證分析，以確定您的 WAF 是否尚可使用，還是已成為累贅。請回答以下幾個問題：

　　• 您的 WAF 是專為云設(shè)計的嗎？

　　• 您的 WAF 能否辨別合法流量用戶和惡意流量用戶？

　　• 您的 WAF 可以辨別合法查詢和 BOT 及其他 OWASP 攻擊向量嗎？

　　如果上述問題的回答均為“否”，那么是時候評估您的云應(yīng)用安全性了。