網(wǎng)絡(luò)安全業(yè)界關(guān)于“Dev(Sec)Ops當(dāng)立,,WAF已死”的斷言已經(jīng)流行了一段時(shí)間,,WAF(Web應(yīng)用程序防火墻)真的要退出歷史舞臺(tái)了嗎?Dev(Sec)Ops是WAF的掘墓人嗎,?答案是否定的。盡管有些人可能認(rèn)為DevOps具有手段、動(dòng)機(jī)和機(jī)會(huì),,但事實(shí)是WAF不但未完全消失,而且會(huì)繼續(xù)存在很長時(shí)間,。
WAF還有什么價(jià)值,?
DevOps以及持續(xù)集成和持續(xù)部署(CI/CD)管道為實(shí)施安全策略提供了極好的機(jī)會(huì),尤其是開發(fā)團(tuán)隊(duì)在敏捷方法增加了安全性Sprint的情況下,。Dev(Sec)Ops從一開始就將安全功能內(nèi)置到應(yīng)用程序中,,而不是像傳統(tǒng)開發(fā)方法那樣亡羊補(bǔ)牢。后者不僅效率低下,,而且在緊鑼密鼓的CI/CD流程往往被忽略或遺忘,。
盡管DevSecOps從一開始就內(nèi)置所有Web應(yīng)用程序的安全性,但是經(jīng)驗(yàn)表明,,它通常僅適用于“皇冠上的寶石”,,例如公司的主要客戶門戶或客戶支付系統(tǒng)。在企業(yè)環(huán)境中,對(duì)于公司來說,,運(yùn)行不再維護(hù)代碼的舊應(yīng)用程序或通過收購集成應(yīng)用程序的場(chǎng)景并不少見,。
此外,研發(fā)和市場(chǎng)營銷等部門經(jīng)常實(shí)施自定義或第三方應(yīng)用程序,。這種應(yīng)用程序的激增可能導(dǎo)致組織中超過50%的面向公眾的Web應(yīng)用程序由DevOps或其他不同的IT小組進(jìn)行管理,。這些應(yīng)用將需要其他威脅緩解控制,而WAF正是其中一種,。
DevOps安全性的局限性
當(dāng)Web應(yīng)用程序成為企業(yè)的關(guān)鍵應(yīng)用時(shí),,WAF已成為企業(yè)安全的基石。設(shè)計(jì)用于保護(hù)很大程度上是靜態(tài)網(wǎng)絡(luò)環(huán)境的單個(gè)網(wǎng)絡(luò)防火墻已不再足夠,。WAF針對(duì)特定應(yīng)用程序,,提供不同的安全防護(hù)。但是WAF的過濾,、監(jiān)控和策略執(zhí)行(例如阻止惡意流量)雖然提供了有價(jià)值的保護(hù),,但會(huì)帶來成本影響并消耗計(jì)算資源。此外,,在DevOps的云環(huán)境中,,匹配不斷更新和更改的流程對(duì)于WAF來說也是一項(xiàng)挑戰(zhàn)。
將安全性引入CI/CD管道可以解決該問題,,但僅適用于以此種方式開發(fā)的應(yīng)用程序,。無法在舊的第三方應(yīng)用程序或由不同部門部署的應(yīng)用程序中實(shí)施安全功能的Sprint。這些應(yīng)用程序的存在給企業(yè)帶來了風(fēng)險(xiǎn),,但它們?nèi)匀恍枰玫奖Wo(hù),,而WAF仍然可能是最佳選擇。
同樣重要的是,,沒有什么方法可以完美解決所有網(wǎng)絡(luò)安全問題,,僅靠敏捷的DevOps方法是不夠的。即使在不包含過時(shí)應(yīng)用或第三方應(yīng)用程序的環(huán)境中,,您也永遠(yuǎn)無法確定其他團(tuán)隊(duì)在做什么——影子IT對(duì)企業(yè)來說是一個(gè)持續(xù)存在的頑疾。除了安全Sprint,、代碼審查等措施外,,您還需要至少每年執(zhí)行一次滲透測(cè)試。
滲透測(cè)試可模擬系統(tǒng),、網(wǎng)絡(luò)和Web應(yīng)用程序上的網(wǎng)絡(luò)攻擊,,發(fā)現(xiàn)黑客可能會(huì)利用的漏洞。滲透測(cè)試為企業(yè)提供了絕佳的機(jī)會(huì),,使安全狀況與預(yù)期保持同步,。
WAF來日方長
毫無疑問,對(duì)于應(yīng)用安全來說,,主動(dòng)將安全性內(nèi)置到Web應(yīng)用程序中的DevOps敏捷方法應(yīng)被視為最佳實(shí)踐,。它能確保安全性與CI/CD管道中的創(chuàng)新速度保持同步,,幫助建立安全性和運(yùn)營團(tuán)隊(duì)之間的協(xié)作文化,并使網(wǎng)絡(luò)安全性與業(yè)務(wù)需求保持一致,。但是在企業(yè)級(jí)別,,由于存在較舊的不受支持的應(yīng)用程序,第三方添加的內(nèi)容以及其他部門可能在開發(fā)團(tuán)隊(duì)權(quán)限范圍之外進(jìn)行的獨(dú)立活動(dòng),,因此DevSecOps并不能覆蓋全部的應(yīng)用安全,。
總之,關(guān)于WAF即將消亡的報(bào)道是危言聳聽,。只要依然有遺留應(yīng)用程序存在于DevOps環(huán)境之外,,或者DevOps團(tuán)隊(duì)沒有從頭開始完全實(shí)現(xiàn)安全性(這仍然相當(dāng)普遍),那么就有必要采取其他保護(hù)應(yīng)用程序和緩解攻擊的方法,。至少在可預(yù)見的未來,,WAF都會(huì)是企業(yè)安全武器庫中的必備品。