WAF因雲而變

安全

作者：鄒大斌

雲計算的普及推動著越來越多的傳統應用向雲平台遷移，與此同時，越來越多的企業開始青睞輕量型的SaaS應用，這些變化對企業安全構成了嚴峻的挑戰。因為傳統應用安全是基於企業網絡有邊界這一前提的，其最常見的部署方式就是將安全軟件（或設備）部署於企業網絡的出入口。然而，雲應用推倒了企業網絡的圍牆，特別是SaaS應用，它使得企業的數據完全暴露在企業網絡的安全保護體係之外。

顯然，安全領域已經注意到軟件部署方式的最新變化，並找到了解決問題的辦法。日前，Imperva對外公布了一係列最新舉措來應對市場的最新變化，包括收購新興雲安全網關公司Skyfence、與雲計算網絡應用安全公司Incapsula達成協議收購其剩餘股份，同時，Imperva還發布了為亞馬遜AWS提供的SecureSphere網絡應用防火牆。Imperva是專注與數據中心安全的解決方案供應商，其WAF（網絡應用防火牆）在市場頗有知名度。

“經過這一係列動作，Imperva將把我們在應用安全領域的解決方案能力擴展到雲平台上，從而為客戶提供全麵的安全防護。”Imperva亞太及日本區副總裁Stree G.Naidu在接受記者采訪時表示。

據Stree介紹，新興雲網絡Skyfence可以為導入到SaaS應用中的數據提供實時監控和保護，包括執行安全策略、保護敏感數據不受內外部的威脅，並確保運行符合標準。Skyfence采用特有的網絡流量分析和動態用戶指紋技術來記錄正常的用戶行為，並檢測可能由黑客或者內部威脅所引起的異常。而Incapsula則能通過應用程序的全球雲交付網絡為網站和網絡應用程序提供安全保障，包括DDoS防護、負載均衡技術和故障解決方案等。

麵向AWS的SecureSphere網絡應用防火牆類似於Incapsula，主要針對在AWS上運行的生產應用，為之提供企業級的網絡應用防火牆，可直接運行在AWS。本質上，麵向AWS的SecureSphere網絡防火牆是一種SaaS應用，企業采用訂閱的方式，按需部署和使用，利用它企業用戶可以直接將其數據中心基礎架構連同原有的針對本地應用的安全管控一起移至雲端。

目前NGFW（下一代防火牆）被炒得很熱，甚至有說法認為NGFW要替代WAF，Stree對此並不認同。他說，盡管與NGFW相比WAF似乎受關注的程度要低一些，但這不代表其重要性要低於NGFW，NGFW不可能替代WAF，因為到目前位置WAF還是唯一能夠檢測入站網絡流量的技術。

“NGFW能提供部分鑒別應用流量的功能（如HTTP和即時通信），但這些功能不足以應對應用層麵的攻擊。比如，NGFW不能攔截針對定製的Web應用漏洞的攻擊，也無法偵查針對Cookie、會話、參數值的攻擊，同樣，NGFW也不能阻攔被欺詐軟件入侵的終端設備或者業務邏輯攻擊等。因此，僅僅依靠這類網絡安全解決方案是無法保證應用的安全的。”Stree表示。

實際上，Stree的觀點和NGFW概念的提出者Gartner基本一致。Gartner在今年2月發布的題為《Web應用防火牆值得企業投資》的研究報告中指出，對於大部分公共網站、內部關鍵業務以及自定義Web應用而言，防火牆和入侵防禦係統所提供的保護並不夠，需要借助WAF來有效地幫助企業的自定義Web應用防禦網絡攻擊。