云计算网络应用防火墙提高应用程序的安全性

人们通过云计算网络应用防火墙以确保未在本地托管的应用程序,这是可行的。行业专家马特·帕斯库奇解释它们是如何工作的,以及企业对此所需要了解哪些事情。

如今,网络应用程序漏洞和攻击的风险仍然持续存在于其应用程序运行的环境中。这使得那些在互联网上公开访问应用程序的组织面临更大的风险。WAF(网络应用防火墙)可以减轻这些威胁,这是人们所熟悉的常识,但这意味着托管数据中心部署昂的贵硬件维护这些公共应用程序的恶意使用。

为什么产生云计算网络应用防火墙?

在当今的现代网络中,通常有并购行为发生,而这使得某些应用程序不受保护。由于应用程序并不是部署在同一地点,因此不能很好地获得物理网络应用防火墙的保护。例如企业迁移应用程序或数据中心被异地托管,或企业将业务迁移到云中。从应用程序保护的角度来看,这是令人担忧的,因这些应用程序并不在物理网络应用防火墙保护的范围内。如果一个企业将业务迁移到云中或由企业某处运营的数据中心被其他企业收购,这些应用程序仍然由企业进行保护,但很可能无法采用物理网络应用防火墙架构。云计算网络应用防火墙是协助企业管理所负责的资产,但他们有自己的管辖权。但大多数情况下,即使通过在所有这些位置上安装相同的物理硬件,这在技术上可以实现,但在经济上是不可行的。云计算网络应用防火墙使组织能够在托管数据中心广泛地保护自己的应用程序,并采用类似的策略保护多数的应用层免受攻击保护它。

实现云计算网络应用防火墙最终意味着在第三方负责之前,将数据传递到其原始服务器来筛选企业的网络应用程序的流量。对在这些服务器上运行的应用程序进行保护是组织的责任,但数据到达应用程序之前,云计算网络应用防火墙厂商正在执行过滤。在所有情况下,应用程序或网站正在由云计算网络应用防火墙保护他们公共DNS记录,并指向云计算网络应用防火墙提供商所拥有的地址。这使得所有的流量被分流到云计算网络应用防火墙提供商,过滤之后并直接发送到原始服务器。这允许任何公共网站进行快速过滤,并具有相同或类似的策略作为云计算网络应用防火墙保护下的其他应用程序。这不会留下保护缺口,并且一个网站可以迅速激活一个简单的DNS变化。而云计算网络应用防火墙的分权保护使得公共应用程序实现全覆盖。

云计算网络应用防火墙的好处

云计算网络应用防火墙使组织能够在托管数据中心广泛地保护自己的应用程序,并采用类似的策略保护多数的应用层免受攻击保护它。

某些云计算网络应用防火墙提供商的目标采用一个“黑盒子”的方法应用过滤,而不为用户提供详细的了解目前过滤应用与内部部署软件的能力。它允许采用OWASPTop10过滤,再加上提供商联合创建的额外的供应商规则,网络封锁,速率控制,威胁情报提供者收集其他恶意流量,并对网络和自定义规则创建和应用能力。让所有这些策略和自定义在云中更改的好处是,他们可以很容易地应用到其他网站一个DNS的变化,为用户带来灵活性和敏捷性。如果一个组织正在运行倚重其当前的内部部署云计算网络应用防火墙定制代码或其依赖于推动云计算网络应用防火墙变化的速度,云计算网络应用防火墙安装可能面临一些挑战。被推到云计算网络应用防火墙需要审核通过,供应商才能传播到他们的服务定制的变化。这是因为厂商不希望将错误配置的变化推送到他们的服务,并给为其他客户带来性能问题。

由于云计算网络应用防火墙不在本地,企业必须确定他们将如何接收来自云服务提供商的登录到更多的基础设施他们目前相关的日志。网络应用防火墙日志对于安全信息和事件管理(SIEM)是非常有价值的,更重要的是企业的合规性。许多时候,这些记录将需要被保持在一定的保留期限。大多数提供商采用安全文件传送协议(SFTP)将需要的日志和相关API软件传送到一个网站进行保留。登录的能力固然重要,但有能力报告和预警企业的流量也势在必行。跟所有可用的云计算网络应用防火墙提供商需要得到他们熟悉的报告/报警功能,如果他们要达到预期目的话。

实施步骤

在云计算网络应用防火墙的实施过程中,企业应该了解如何将一个新的应用程序,创建新的云计算网络应用防火墙的策略,并确定如何在误报事件列入白名单的签名。这将包括研究如何将证书SSL导入到云提供商的软件,以及如何在云计算网络应用防火墙内进行筛选。大多数解决方案已经审核合规性,但它仍然具有由第三方托管的云证书的风险。云计算供应商还将为用户在其网络上的所有系统从网络应用防火墙转发代理回原来地址的IP列表。这里,一个企业可以限制可以发送数据到其面向公众的应用的源地址,并在其周边配置防火墙规则。此外,企业应确定是否需要在其云计算网络应用防火墙的临时区域,并要求供应商做到这一点。

最后,云计算网络应用防火墙供应商的帐单可能取决于流量,而这与企业配置SSL保护位点的数目和策略有关。这可能是一个庞大的前期费用,但是从长远来看,云计算网络应用防火墙安装在每个物理位置成本更加低廉。这些解决方案都是每年计费结算,并宣称作为运作费用。许多供应商提供CDN服务,以及提供域名系统和分布式拒绝保护攻击的保护,这可能有利于云计算网络应用防火墙的实现。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2016-06-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏码神联盟

高效编程所需要做的那点事

聊聊如果才能高效编程 计划(Plan) 所谓Plan,其实就是对应于编程中的设计阶段,当然,这里的Plan并不像设计那样重量级。它要求我们程序员在正式...

2799
来自专栏杨建荣的学习笔记

运维平台元数据稽核小结

数据库运维中的元数据建设都是重中之重,如果元数据不具有参考的价值,那么后续的操作都会受到影响,但是元数据的建设也应该是分成几个步子来走,首先得能够收集到元数...

1394
来自专栏FreeBuf

一张GIF引发的微信崩溃

今早,朋友发了一个表情给我,看下面,就是这个。。 ? 这不是天线宝宝卖萌系列表情包么,正当我看着俩宝宝撞屁股的GIF图寻开心的时候,微信突然卡死闪退了。。然后我...

3129
来自专栏Python中文社区

Python=R+SQL/Hive?在数据分析与挖掘方面该选哪一个?

什么是R语言? R语言,一种自由软件编程语言与操作环境,主要用于统计分析、绘图、数据挖掘。R本来是由来自新西兰奥克兰大学的罗斯·伊哈卡和罗伯特·杰特曼开发(也因...

22010
来自专栏java一日一条

关于烂代码的那些事(中)

这是烂代码系列的第二篇,在文章中我会跟大家讨论一下如何尽可能高效和客观的评价代码的优劣。

1492
来自专栏牛客网

百度 提前批C++ 一面 二面 三面

【每日一语】当你厌恶你身边的人,你表达厌恶最好的方式不是和他们争吵,而是自己勤快点儿,加把劲离开他们。那样,他们就永远从你的生活中消失,和死了差不多。

1943
来自专栏数据的力量

职场干货|高效工作的信息搜集及整理术

1102
来自专栏云端架构

【云端架构】程序员常用四十个小技巧

4、注释贵精不贵多。杜绝大姨妈般的“例注”。漫山遍野的碎碎念注释,实际就是背景噪音。

4479
来自专栏take time, save time

python 爬虫 入门 commit by commit -- 前言&&准备篇

"每一个commit都是程序员的心酸,哦不,心路历程的最好展示。" -- by 我自己

2372
来自专栏Java学习网

互联网高手教你如何搜集你想要的信息

  写在前面   几个月前,团队邀我做次内部的分享,主题是如何有效搜索信息。这是因为平时工作中,我经常会分享一些专业学习文档,而这些文档的出现往往很及时,回应一...

3678

扫码关注云+社区

领取腾讯云代金券