对于在云中运行的各种规模的应用程序,安全是一种共同的责任模式。你的云供应商在更广泛的网络和主机层面上确保了一定的安全水平,但当涉及到保护你的工作负载时,每个开发人员都需要了解可用的安全层。
什么是WAF?
网络应用程序防火墙(WAF)可防止恶意流量与应用程序交互,并保护数据免遭未经授权的访问。网络应用程序防火墙 Cloud Firewall网络应用防火墙的目的是创建微调规则和行为检测,以保护哪些类型的流量可以真正到达应用层。网络应用程序很容易受到跨站脚本和 SQL 注入等攻击,这些攻击可以绕过更广泛的网络级安全配置。
这里有一个现实世界的比较。WAF类似于当你作为客人进入一栋大楼时,大楼保安的作用。安全性着手于...
- 询问你的入境目的
- 凭胸卡或访客通行证允许或拒绝进入特定建筑区域
- 当你在大楼里时,要对任何可疑的行为保持警惕
- 在离开时收集你的徽章
- 注意你何时退出
对于一个有WAF的应用,安全卫士代表了WAF的基本行为和目标,但用于监控网络流量。
何时使用WAF
随着你的应用程序的发展,你可能开始处理更多的数据量和不同类别的敏感数据。这里有一些重要的问题,在研究改善你的应用安全和决定你需要如何实施你的安全解决方案时,需要考虑。
- 你的应用程序如何使用数据?
- 你在处理什么样的数据?
- 还有哪些网络可以访问你所处理的数据?
- 如果出现数据泄露,你的用户会发生什么?
这对于处理个人可识别信息(PII)尤其重要。PII可以是一个单一的数据,如护照ID号码,或几个可以显示一个人身份的数据,如某人的全名和出生日期的组合。
WAF并不总是必要的。如果你有一个简单的应用程序,不处理任何金融交易,只收集用户的电子邮件,并且需要加密的密码来访问内容,那么你可能没有必要运行WAF。以一个基本的日历或约会安排的应用程序为例,WAF不会进一步保护这些基本信息。
如果你正在运行一个有适量PII交易的小型应用程序,实施WAF可能是有价值的。即使是适度的交易量,也有可能成为不良分子的专门目标。此外,如果有任何期望扩大你的应用程序,有一个WAF将确保你的用户的数据,并减少在未来增加交易量的努力程度。
对于大批量的电子商务或其他处理和存储大量敏感信息的应用程序,需要更多的安全性。这包括实施一个强大的WAF。当涉及到需要强大保护的数据时,这些类型的应用程序是你可能想到的重灾区:金融机构、医疗机构和政府实体。
选择一个WAF
选择WAF取决于两个关键因素:你的应用程序处理的数据所要求的合规性水平,以及你的工作负载是否最适合自我管理的解决方案,而不是将所有的控制权交给拥有必要的专业知识和合规性的可信的安全公司。
就像其他技术服务一样,WAF解决方案是自我管理和供应商管理解决方案的组合。有一些免费的开源WAF需要管理和更新,这很适合想要精细控制水平的开发者。
较大的工作负载和处理敏感数据的应用程序受益于供应商管理的解决方案,这些解决方案根据最新的威胁情报和潜在漏洞积极更新。有信誉的网络安全公司列出并保持其合规性水平,这将决定其产品在与你的应用程序互动时是否合规。这也是选择云供应商来托管应用程序和数据本身的考虑。
不同的WAF解决方案包括额外的功能,如监控的深度,包括获得实时更新的能力),日志保留,以及与你的技术或业务堆栈的其他部分的整合。
寻找正确的WAF解决方案
我们提供不同级别的WAF解决方案,因此,无论你是刚开始使用开源的自我管理解决方案,还是你的应用程序需要强大的保护,你都可以找到合适的匹配。
对于一个相当基本的WAF,保护你的应用程序免受主要攻击并提供一些监测,Haltdos社区WAF是一个很好的开始。Haltdos是一个自我管理的解决方案,有一个直观的GUI,你可以看到传入的请求量、IP地址,以及监测风险的顶级攻击IP。
通过 LinodeMarketplace 部署|在现有资源上安装|了解更多信息
对于处理PII的企业工作负载和大型应用,Akamai的App & API Protector 可保护应用和API网络免受各种威胁,包括OWASP API安全十大漏洞。App & API Protector 利用机器学习分析和Akamai威胁情报与缓解团队的数据,不断增强安全性,与安全威胁、标准和需求保持同步。
注释