高级 Webapplication防火墙 (WAF) 启动板
如今,企业通过使用基于 Web 和云托管的应用来扩展业务,因此,部署强大而灵活的 Web应用防火墙 (WAF) 来保护它们免受安全威胁不再是一种奢侈,而是一种必需品。
随着这些基于网络和云的应用传播得越来越快,攻击也变得越来越复杂和频繁,威胁着企业的关键数据和运营。 这使得管理员和安全团队更难以及时了解最新的攻击和保护措施。 同时,它们必须满足在线商务的严格合规性要求(例如支付卡行业数据安全标准);保护业务关键型 Web应用免受 SQL 注入、DDoS 攻击和多方面零日攻击等常见攻击;并实现传统环境和云环境之间的安全数据共享。
企业可以采用多种技术来确保准确的检测覆盖范围,并且不会阻塞合法流量。 传统上,最广泛使用的 WAF 配置是负面安全模型,它允许除包含威胁/攻击的交易之外的所有交易。 消极安全利用设计用于检测已知威胁和攻击的签名和规则。 随着多年来攻击知识的积累,签名规则数据库将变得相当庞大。 这是一个非常好的开箱即用保护模型,可以阻止常见的威胁,包括 Web 注入、OWASP 十大威胁、跨站点脚本 (XSS) 等。
近年来,积极的安全模式变得越来越流行。 这种方法会阻止所有流量,只允许已知有效且安全的交易。 积极的做法是基于严格的内容验证和统计分析,可以更有效地防止零日威胁和漏洞操纵。 为了真正有效,积极的安全方法需要对应用及其预期用途有深入的了解。
正面和负面模型都能够实现“安全性”和“功能性”之间的微妙平衡。 然而,无论是积极的还是消极的安全模型都无法在每种情况或环境下提供最经济的解决方案。 当与业务需求相结合时,综合的积极和消极方法可以使组织从任何安全策略实施中获得最大的投资回报。
为最符合业务目标的 WAF 部署做出适当的决策可能是一个挑战。 对时间和资源的需求通常与对使用所选产品的充分专业知识和信心的需求相竞争。
在规划和交付 WAF 服务实施项目时,客户需要采取多个步骤:
- 构建“最合适”的 WAF 策略并获得所有内部利益相关者的批准。
- 有效地使用WAF产品来实施正确的策略和参数集。
- 规划 WAF 服务部署,通常涉及数百个应用。
- 规划生产中的日常服务运营和生命周期管理。
- 企业和商业的安全要求(或期望)并不总是充分考虑技术、运营和资源限制。 那么,人们很容易就会想通过设计一个非常复杂的策略来达到高层目标,而没有确保组织已经做好实现这一目标所需的一切准备。 在许多情况下,需要对情况进行中立的评估和分析才能解决这个问题。
- 企业主所需的应用可用性与 CISO 团队所需的保护级别之间的平衡并不总是容易实现的。 例如,企业主不希望他们的应用由于误报或 WAF 策略过于严格而被阻止。 同样,公正、有根据的评估和分析情况可以帮助组织找到适当的平衡,并制定缓解计划来应对可能对生产造成的影响。
- 强烈建议参加软件供应商培训或通过产品认证,但这绝不会节省在实际的公司环境、目标和约束中实践的努力。
- 客户经常遇到的一个问题是如何保障大量应用的安全。 不过,很多时候,数量本身并不是主要问题,而每个应用可用信息的质量和完整性确实会阻碍 WAF 项目,并且应该进一步考虑设计和实施策略。 拥有 WAF 实施经验将非常有助于发现相关标准、建立应用的特征和分组,以及调整整体 WAF 服务设计和实施策略。
- 客户经常会忘记提前考虑后续步骤以确保可行性和可支持性。 这可能是最常犯的错误(即,在设计和规划解决方案时,没有研究所选设计和实施模型在生产环境中长期运行该解决方案的含义)。 一个常见的例子是低估了维护高度复杂的 WAF 策略所需的资源,而整个环境面临来自各个部分的定期变化:威胁、缓解、应用发布等。
BIG-IP Advanced WAF(API 安全 - 新一代 WAF)拥有全面的功能,例如多种部署方法(包括真实流量策略构建器);手动学习;以及漏洞扫描器集成、攻击签名、暴力破解预防、地理位置执行、机器人检测、DDoS 缓解等高级功能,可实现快速适合用途的配置,然后可以扩展和改进,以应对不断变化的威胁世界并满足最苛刻的客户要求。
F5 专业服务专门为购买了Advanced WAF(API 安全 - 新一代 WAF) BIG-IP 模块)但尚未部署有效 WAF 服务(例如,仅在透明模式下采用少量策略)的客户创建了Advanced WAF(API 安全 - 新一代 WAF) Launchpad 服务。
Advanced WAF(API 安全 - 新一代 WAF) Launchpad 服务可以利用 F5 专业服务的专业知识和经验来帮助客户克服特定的用例问题并参与成功的Advanced WAF(API 安全 - 新一代 WAF)实施项目。
该服务涉及 F5 专业服务的安全专家与客户的安全、基础设施、网络和应用管理团队之间的合作。
该服务的双重目标是利用 F5 最佳实践制定适合用途的Advanced WAF(API 安全 - 新一代 WAF)策略实施策略,并传授客户可直接付诸实践的专业知识和技能。
该服务为期两天,涵盖Advanced WAF(API 安全 - 新一代 WAF)功能、部署和管理要求的理论和实践,以确保客户有信心和能力实施有效的Advanced WAF(API 安全 - 新一代 WAF)解决方案,实现最佳应用安全性。
合作的第一天从工作会议开始,参与者包括安全架构师、设计师、工程师、运营人员以及负责Advanced WAF(API 安全 - 新一代 WAF)安全策略管理的其他利益相关者。 F5 顾问将推动数据收集和对现有背景和目标的公正分析,提供建议和最佳实践,并进行彻底的反思以制定高级设计和实施策略。
第一天结束时,F5 顾问将准备一份报告,重点介绍调查结果和建议。
此步骤包括创建一个策略并将其应用于虚拟服务器以覆盖一个给定的 Web应用。 它可以一次执行,也可以分成单独的子任务以适应所选择的政策实施策略。
例如,可以在一个会话中执行使用快速部署方法将策略实施到客户测试平台的操作,而使用自动策略构建器生成策略(即可在较长时间内检查“真实”流量)可以分为一个子任务来设置基本策略,然后执行另一个子任务来执行策略调整并转换到阻止模式。
事实证明,拥有相关专业知识和经验的熟练顾问提供的现场支持往往是使 WAF 服务部署项目走上正轨并帮助Advanced WAF(API 安全 - 新一代 WAF)所有者做出明智而有效的决策的最佳解决方案。
有关 BIG-IP Advanced WAF(API 安全 - 新一代 WAF) Launchpad 服务的更多信息,请联系F5 专业服务。
