隨著網(wǎng)絡(luò)攻擊的演進(jìn)，Web應(yīng)用防火墻（WAF）的應(yīng)用也在發(fā)生變化。企業(yè)組織部署WAF不僅要對(duì)網(wǎng)站進(jìn)行保護(hù)，還要對(duì)逐漸普及的Kubernetes、微服務(wù)、API和無(wú)服務(wù)器部署等新興應(yīng)用進(jìn)行保障和支撐。因此，部署和管理WAF已不再是安全團(tuán)隊(duì)的責(zé)任，而是從應(yīng)用設(shè)計(jì)、敏捷開(kāi)發(fā)、信息化應(yīng)用到安全團(tuán)隊(duì)所有人的任務(wù)。

　　在傳統(tǒng)模式中，WAF通常作為物理的、本地化的（on-premises）工具部署在Web服務(wù)器的前面，保護(hù)Web應(yīng)用和API遠(yuǎn)離內(nèi)外攻擊，尤其是防止注入攻擊和應(yīng)用層拒絕服務(wù)攻擊（DoS），監(jiān)控對(duì)Web應(yīng)用的訪(fǎng)問(wèn)以及收集訪(fǎng)問(wèn)日志用于合規(guī)審計(jì)和溯源分析。而近年來(lái)，基于云的WAF服務(wù)也成為一種很流行的應(yīng)用方案，它通過(guò)訂閱方式SaaS化交付服務(wù)，安全策略由服務(wù)提供商預(yù)先定義好，能夠共享威脅數(shù)據(jù)并得到標(biāo)準(zhǔn)化的運(yùn)維支持，從而更快捷地應(yīng)用和管理。

　　然而，并非所有企業(yè)都適用云WAF。兩種服務(wù)模式各有利弊，企業(yè)需要從價(jià)格、性能、功能以及應(yīng)用程序和數(shù)據(jù)的敏感程度進(jìn)行綜合評(píng)估。

　　云WAF的價(jià)值

　　易于部署

　　云WAF通常更易于部署，服務(wù)商會(huì)在交付前對(duì)其進(jìn)行優(yōu)化，并設(shè)計(jì)更規(guī)范的工作流程和功能。用戶(hù)無(wú)需安裝任何軟件或者部署任何硬件設(shè)備，只需修改DNS即可實(shí)現(xiàn)云WAF服務(wù)的部署應(yīng)用。

　　較低的購(gòu)買(mǎi)成本

　　云WAF一般會(huì)用標(biāo)準(zhǔn)化的規(guī)則或訪(fǎng)問(wèn)控制列表（ACL）來(lái)實(shí)現(xiàn)防護(hù)功能，因此服務(wù)交付的難度低，應(yīng)用成本可控。

　　與其他服務(wù)的集成

　　原生化的云WAF可以與云上其他服務(wù)（比如日志工具、DNS管理和應(yīng)用交付功能）更好集成。如果企業(yè)正在運(yùn)行Kubernetes或其他容器編排工具，這一點(diǎn)顯得尤為重要。對(duì)于企業(yè)組織來(lái)說(shuō)，IT團(tuán)隊(duì)肩負(fù)許多工作職責(zé)，輕松集成可以節(jié)省大量時(shí)間，降低運(yùn)營(yíng)復(fù)雜性。

　　運(yùn)維難度低

　　云WAF的防護(hù)規(guī)則都處于云端，一旦發(fā)現(xiàn)新的安全威脅，可以由服務(wù)商統(tǒng)一在云端更新規(guī)則并維護(hù)，用戶(hù)無(wú)需擔(dān)心因?yàn)槭韬龆鴮?dǎo)致安全事件的發(fā)生。

　　云WAF的不足

　　擴(kuò)展性不足

　　云WAF往往是標(biāo)準(zhǔn)化的解決方案，無(wú)法讓企業(yè)對(duì)未來(lái)的擴(kuò)展性進(jìn)行精細(xì)化控制，一些復(fù)雜的安全防護(hù)配置通常難以在云WAF上實(shí)現(xiàn)。

　　可靠性較低

　　云WAF處理請(qǐng)求時(shí)，需要經(jīng)過(guò)DNS解析、請(qǐng)求調(diào)度、流量過(guò)濾等多個(gè)環(huán)節(jié)，其中涉及協(xié)同關(guān)聯(lián)工作，其中只要有一個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題，就會(huì)導(dǎo)致網(wǎng)站無(wú)法正常訪(fǎng)問(wèn)的情況。必要時(shí)，還需要手動(dòng)切換為原DNS來(lái)保證業(yè)務(wù)正常運(yùn)行。

　　不可預(yù)測(cè)的成本

　　云WAF常常根據(jù)多個(gè)參數(shù)來(lái)定價(jià)，比如訪(fǎng)問(wèn)控制列表（ACL）的數(shù)量、防火墻規(guī)則的數(shù)量、防火墻組的數(shù)量、處理的請(qǐng)求數(shù)量等。如果發(fā)生不可預(yù)見(jiàn)的事件（比如重大擴(kuò)展事件或復(fù)雜的網(wǎng)絡(luò)攻擊），反而會(huì)導(dǎo)致更高的使用成本。

　　不支持多云或混合云

　　由于大多數(shù)組織選擇多云或混合架構(gòu)，這會(huì)給云WAF的應(yīng)用帶來(lái)阻礙。安全團(tuán)隊(duì)必須通曉每個(gè)云上WAF服務(wù)所特有的身份驗(yàn)證方案、管理控制臺(tái)和語(yǔ)法規(guī)則。

　　服務(wù)商鎖定

　　如果企業(yè)在一個(gè)云中構(gòu)建了復(fù)雜的WAF規(guī)則，會(huì)難以擴(kuò)展到另一個(gè)云平臺(tái)，因?yàn)閷⑦@些規(guī)則導(dǎo)出會(huì)非常困難。當(dāng)然，企業(yè)可以手動(dòng)完成這項(xiàng)任務(wù)，但在微服務(wù)環(huán)境下，這可能意味著遷移大量WAF規(guī)則，甚至可能出現(xiàn)規(guī)則丟失的情況。

　　結(jié)語(yǔ)

　　分析利弊后，我們發(fā)現(xiàn)基于云的WAF更適合安全需求較低的企業(yè)應(yīng)用，但可能不適用在大型應(yīng)用程序、復(fù)雜用例和不斷變化的應(yīng)用架構(gòu)等場(chǎng)景中。尤其是可能有數(shù)千個(gè)微服務(wù)，東西向流量與南北向流量一樣備受關(guān)注的Kubernetes、微服務(wù)和無(wú)服務(wù)器環(huán)境，云WAF的管理可能變得棘手起來(lái)。

　　此外，當(dāng)開(kāi)發(fā)人員或DevOps團(tuán)隊(duì)需要更全面地控制應(yīng)用擴(kuò)展模式和規(guī)則時(shí)，云WAF可能無(wú)法提供足夠的細(xì)粒度。公共云中的管理控制臺(tái)可自動(dòng)管理ACL和規(guī)則，并簡(jiǎn)化這種管理，但它們通常無(wú)法在多云或混合云環(huán)境使用。

　　具體采用哪種WAF形式并不是“一方醫(yī)百病”的問(wèn)題，企業(yè)安全人員需要結(jié)合業(yè)務(wù)需求，弄清楚企業(yè)重心是什么，以及轉(zhuǎn)向云端的速度如何，當(dāng)明確了企業(yè)業(yè)務(wù)發(fā)展路線(xiàn)之后，他們就可以決定自己想要的WAF部署模式究竟是本地化還是云交付的模式。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<