Web Application Firewall (WAF) Best Practices
網路應用程式防火牆是現代網路安全的關鍵,但有時難以破解的規則集會讓安全新手無所適從,也會讓有經驗的團隊耗費時間。 不一定要這麼複雜。本指南概述了 WAF 政策的最佳實務,以及為成功奠定基礎的實施實務。
資料庫的問題& 資料存取
對許多企業而言,敏感資料都儲存在許多後端資料庫中,並透過網路應用程式和應用程式開發介面存取。 這些資料會在相關的團隊中共用- 但隨著團隊架構逐漸擴大,存取這些資料的裝置數量和類型也開始擴大,遠遠超出手動追蹤的範圍。
若無法監控應用程式層所進行的線上交易,應用程 式就會成為攻擊者的主要攻擊目標,攻擊者試圖利用 脆弱性來取得寶貴的資料。
網路應用程式防火牆 (WAF) Explained
核心來說,網路應用程式防火牆(WAF) 是一種安全解決方案,用來監控流動於網路應用程式、應用程式開發介面和網際網路之間的 HTTP/HTTPS 流量。
它會檢查每個資料封包中的幾項基本資訊,例如:
- 目的地
- 港口
- 規範
它能夠分辨哪些封包來自合法使用者,哪些封包試圖注入惡意程式碼或授予攻擊者存取權限。由於 WAF 位於網路路應用程式的前端,就像一個反向代理程式,因此能夠在惡意流量到達應用程式之前就加以拒絕。
基本上,實施 WAF 可確保只有合法的流量才能到達您的網路路應用程式。
但是,不同類型的 WAF 所採用的不同方法可能會讓實務人員感到困惑 - 因此需要建立最佳實務。
WAF 最佳實務
作為核心原則,每一個網路應用程式在整個開發過程中都應該盡可能的安全。 然而,脆弱的性質並非一成不變的景觀:
- 後部署性軟體可能會在毫無預警的情況下突然出現,尤其是依賴開放原始碼元件的應用程式。
當發現應用程式程式碼不安全時,若要將其下線並修復核心原始碼問題,可能成本過高或停機時間過長。
以下是 WAF 如何在潛在風險下仍能協助維持網路路應用程式的安全性。
#1:與中央、現有的基礎設施整合
為了確保安全性,WAF 需要順利整合至您現有的基礎架構。WAF 應該具有彈性,可以輕鬆適應並為您的應用程式和使用者提供保護,而不需要進行全面性的變更。
這並不表示 WAF 應該在沒有仔細監督的情況下安裝。
Hub-And-Spoke 模組
舉例來說,如果您的企業依賴於樞紐(hub)-and-輻射(spoke)模式,許多使用者和資料庫都從一個地方進行管理,那麼實際上只有一個地方可以安裝 WAF。它需要安裝在穩定的中央基礎架構上,例如硬體裝置。
這提供了效能可靠性的基礎,而安全規則則可圍繞此基礎進行調整。
分散式或快速成長的基礎架構
相反地,如果您的組織擁有分散或快速成長的基礎架構,例如線上電子商務商店,分散式 WAF 會比較適合。
在多個應用程式中部署 WAF 產品並不意味著它的管理就一定很複雜 - Check Point WAF 等現代安全工具可讓您從中央平台管理一切,讓事情變得簡單。
#2: 制定績效標準
追蹤 WAF 的效能對於其長期管理至關重要,最好在 WAF 使用期限的早期就開始建立。
關於技術吞吐量,這可以和 WAF 的實際吞吐量一樣基本:留意:
- 應用程式的同時使用人數
- 平均和高峰負載時間內每個時間單位的HTTP 請求量
若要支援此功能,請啟用 WAF 內的記錄功能,並將其連接到中央記錄管理系統 (請繼續閱讀整合最佳實務)。有了這些指標,您就能即時瞭解規則的效能,為 WAF 的成功做好準備。
#3: 引進 WAF 特定角色
WAF 保護應用程式的能力幾乎完全來自正確的實作,以及持續維護其規則 - 因此,釐清責任誰屬非常重要。如果您找來承包商負責新 WAF 的一次性試運作,他們本身對 WAF 功能的瞭解必須符合您本身的基礎架構需求。
為了長期維護 WAF 規則集,請釐清由誰以及多久檢閱一次。為了幫助這一點,建立 WAF 與企業更廣泛機制之間的聯繫非常重要。
在安全方面,您更廣泛的 SOC 需要有一個:
- 設定管理警示的工作流程
- 適用於警報管理時標的 KPI
在應用程式開發方面,您的規則需要與特定應用程式的通訊協定和需求同步開發 - WAF 團隊與開發運營之間的合作是必要的。
如果您的應用程式文件包含服務擁有者,這個過程會變得更快。
#4: 調整 WAF 的規則集
安全 WAF 工具附有預先設定的清單,可快速上手並運作。您也可以自由選擇規則集類型 - 黑名單僅依賴於識別和封鎖惡意流量。除可驗證的安全流量外,白名單會封鎖所有流量。
白名單是更安全的方法,但不一定適合您 WAF 的確切部署。
根據您自己特定的應用程式部署調整 WAF 的規則集,對於防止誤報和降低規則複雜性是非常重要的。要實現這一目標,可以:
- 進入 WAF 工具
- 透過儀表板定義異常
但是,在安裝更新時,請注意您的 WAF 供應商如何處理這些規則。
通常,如果您透過 PowerShell 或 CLI 將 WAF 規則排除定義為程式碼,則即使更新規則集後,仍可維持規則調整。
#5:與其他安全工具整合
入侵防禦系統 (IPS) 是一種安全解決方案,可進一步放置在網路中,以識別和緩解可能繞過防火牆的惡意活動。
入侵防禦系統
它可以類似的方式設定為報告、封鎖或丟棄可疑流量 - 但透過整合這兩種解決方案,可以將 WAF 的拒絕或允許方法與 IPS 所提供的一些情境應用程式瞭解功能相結合。
為了加強防護,您也可以整合專為防禦分散式阻斷服務(DDoS) 攻擊而設計的雲端解決方案。當整合式 WAF 偵測到 DDoS 嘗試時,它可以將流量重新路由到 DDoS 保護平台,而 DDoS 保護平台有適當的配備來處理大規模、佔用資源的攻擊 - 保護您的網路安全。
還有更多的升級可能...
內容遞送網路
由於 WAF 位於網路邊緣,雲端託管的 WAF 也可以包含內容傳送網路 (CDN) 功能,以快取網站資料並改善載入時間。 CDN 使用多個全球分佈的存在點 (PoP),因此可從最近的位置為使用者提供服務,確保使用者獲得更好的效能。
安全資訊與事件管理
最後,與安全性資訊與事件管理 (Security Informationand EventManagement) 系統整合可集中監控與分析安全性事件。 每當觸發規則時,WAF 可將記錄與警示傳送至安全性資訊與事件管理平台,並與其他安全工具 (例如) 的資料彙整:
這可讓安全團隊偵測模式、關聯事件,並依風險排序事件。
這些整合可讓您將逐個請求的規則集擴充為整體安全狀態的全面可見性,並可即時偵測威脅,以及產生詳細報告的能力,以供合規和稽核之用。
使用 Check Point WAF 提升應用程式安全性
保點公司的Check Point WAF是整合式網路與應用程式開發介面安全解決方案,旨在以無與倫比的精確度與凝聚力保護您的應用程式。 與以簽章為基礎的 WAF 工具不同,Check Point WAF 利用機器學習和情境人工智慧來提供高層級的威脅防護,以對抗已知和未知的威脅,網路應用程式和應用程式開發介面只需最少的調整。
它已成功阻擋近年來所有最大的零時差威脅 (例如 Log4J 和 MOVEit),幾乎不會產生誤報,為安全團隊節省寶貴的時間和資源。
這也是 我們在《2024 年 Gigaom 雷達報告》中 被評為業界 領導者 的原因。
透過其創新的應用程式開發介面發現功能,Check Point 可以毫不費力地識別您的雲端資產,例如公共資產與內部資產。內部應用程式開發介面,以及舊版與新版端點,讓您可以自訂安全程式以提供最佳保護。
從人工智慧驅動的威脅偵測和 DDoS 防禦,到檔案安全、速率限制和殭屍防禦,Check Point的 WAF 即服務為現代雲端環境提供了全面的保護。
立即預約示範,開始為完全安全的應用程式奠定基礎。
