فایروال برنامه وب (WAF) یک ابزار امنیتی است که برای محافظت در برابر دسترسی ناخواسته به برنامه های کاربردی وب استفاده می شود. این اغلب یک دستگاه امنیتی است که در بالای یک سرور وب نشسته و نگهبانان در برابر تهدید از اینترنت و یا از فراتر از محیط شبکه.

بر خلاف لایه 3 (شبکه) و لایه 4 (انتقال) فایروال, که قادر به شناسایی نمایش داده شد لایه نرم افزار مخرب, WAF یک لایه است 7 فایروال که می تواند بسته های رمزنگاری شده گذشته را ببیند. استفاده از WAF سازمان ها را قادر می سازد تا از حضور آنلاین خود در برابر حملات متعدد وب مبتنی بر اینترنت دفاع کنند, از جمله اسکریپت نویسی متقابل سایت (Xss), تزریق SQL, و درخواست متقابل سایت جعل (Csrf). این حملات می تواند به مهاجمان این توانایی را بدهد که اطلاعات بحرانی را بدزدند, گرفتن بیش از سرورهای وب, یا حمله علیه سیستم های دیگر را آغاز کنید, که می تواند فاجعه بار به برنامه های کاربردی وب.

مشکلات

1. ابر بومی میکرو خدمات و WAF

WAFs کمتر موثر در برنامه های کاربردی وب ابر بومی و در داخل محیط های ابر. یکی از دلایل این است که قوانین امنیتی که برنامه های کاربردی وب سنتی در محیط های پیش فرض محدود شده بودند در داخل ابر قابل اجرا نیست.

در مراکز داده سنتی, فایروال های برنامه وب به طور معمول در لبه شبکه نصب می شوند تا از برنامه های کاربردی در حال اجرا در محیط شبکه داخلی محافظت کنند. اما, در محیط های ابر, برنامه های کاربردی اغلب در ماشین آلات مجازی و یا ظروف که انعطاف پذیر هستند و می تواند روشن و خاموش به عنوان تغییرات تقاضا مستقر. این بدان معنی است که رویکردهای سنتی مبتنی بر محیط به امنیت می تواند در محیط های ابری کمتر موثر باشد, که در آن برنامه های کاربردی می تواند در هر نقطه از شبکه زندگی می کنند و سخت تر برای نظارت و کنترل.

چالش دیگر با برنامه های کاربردی وب ابر بومی این است که آنها اغلب توزیع شده تر و پیچیده تر از برنامه های کاربردی وب سنتی. برنامه های کاربردی ابر-بومی به طور معمول از سرویس های خرد تشکیل شده اند که از طریق APIs با یکدیگر ارتباط برقرار می کنند و ممکن است از فروشگاه های داده های متعدد و خدمات شخص ثالث استفاده کنند. این امر می تواند شناسایی و کاهش خطرات امنیتی را دشوارتر کند, به عنوان حملات می تواند در هر نقطه از معماری برنامه رخ می دهد.

2. WAF و چالش های API

Apis (رابط های برنامه نویسی برنامه نویسی) روش های اولیه اتصال بین خدمات میکرو هستند و همچنین برای فعال کردن ارتباط بین خدمات خارجی و برنامه های کاربردی استفاده می شوند. APIs استفاده از پروتکل های ارتباطی مختلف و الگوهای ترافیک نسبت به برنامه های کاربردی وب سنتی, که باعث می شود آن را دشوار تر برای WAFs به دقت شناسایی و محافظت از ترافیک API. این امر می تواند منجر به مثبت کاذب یا منفی کاذب شود, تضعیف امنیت, و یا مسدود کردن ترافیک مشروع بی مورد.

یکی از چالش های با ترافیک API این است که می تواند از پروتکل های مختلفی مانند HTTP استفاده کند, HTTPS, و وب سوکت, که می تواند شامل انواع مختلف payloads و هدر است که آن را دشوار برای WAF به دقت شناسایی ترافیک. به عنوان مثال, برخی از APIs ها می توانند از محموله های دودویی یا رمزنگاری استفاده کنند, که تفسیر و تجزیه برای WAFs دشوار است.

چالش دیگر این است که APIs می تواند الگوهای ترافیک متفاوت از برنامه های کاربردی وب سنتی داشته باشد. APIs به طور معمول حجم بالایی از ترافیک با درخواست های بسیاری در ثانیه, و آن را دشوار برای WAF به نگه دارید تا با سرعت ترافیک. علاوه, در مقایسه با برنامه های کاربردی وب, APIs اغلب الگوهای ترافیکی قابل پیش بینی تر و سازگار تری دارند, آسان تر کردن شناسایی آسیب پذیری ها و راه اندازی حملات برای مهاجمان.

تازگی, یک گروه تحقیقاتی امنیتی یک روش جدید منتشر کرد برای دور زدن چندین فایروال برنامه وب, از جمله پالو آلتو, اف۵, خدمات وب سایت آمازون, ابرفلر, و ایمپروا. فروشندگان مشخص اذعان کردند (به گفته محققان) افشاگری و ایجاد تغییرات در محصولات خود را’ SQL فرایندهای بازرسی برای پشتیبانی از نحو.

راه حل

1. API غیرهنجاری های مشخص شده

برای غلبه بر چالش های ذکر شده در بالا, WAF باید به طور خاص طراحی شده برای رسیدگی به ترافیک API. این ممکن است شامل شناسایی و حفاظت از ترافیک API با استفاده از تکنیک های مختلف, از جمله تجزیه و تحلیل مبتنی بر امضا و یا الگوریتم های یادگیری ماشین است که می تواند آنومالی در الگوهای ترافیک تشخیص. WAF همچنین ممکن است نیاز به ادغام با ابزارهای امنیتی دیگر مانند دروازه API برای ارائه یک راه حل امنیتی جامع تر.

کلی, تامین امنیت ترافیک API با WAF نیاز به یک رویکرد متفاوت از امنیت برنامه وب سنتی. WAF باید به طور خاص طراحی شده برای رسیدگی به پروتکل های ارتباطی خاص API و الگوهای ترافیک به دقت شناسایی و دفاع در برابر تهدیدات امنیتی.

2. WAFs یکپارچه

برای پاسخگویی به این چالش ها, WAF باید به طور خاص برای برنامه های کاربردی وب ابر بومی ساخته شده. این ممکن است شامل استقرار WAF به عنوان بخشی از معماری برنامه خود را به جای به عنوان یک راه حل مبتنی بر محیط. علاوه, WAFs ممکن است نیاز به ادغام با دیگر ابر بومی ابزار امنیتی مانند سیستم عامل های امنیتی کانتینر و دروازه API برای ارائه یک راه حل امنیتی جامع تر.

WAFs هنوز هم می تواند نقش مهمی در تامین امنیت برنامه های کاربردی وب ابر بومی, اما آنها ممکن است نیاز به سازگار و افزایش یافته برای رسیدگی به چالش های امنیتی منحصر به فرد از محیط های ابر بومی.

3. WAF و دفاع در عمق

WAF باید یک لایه از یک رویکرد امنیتی چند لایه در نظر گرفته شود, همراه با دیگر ابزارهای امنیتی مانند سیستم های تشخیص و پیشگیری نفوذ, دروازه های API امن, حفاظت نقطه پایانی, فایروال های شبکه, و کنترل های دسترسی. با پیاده سازی چندین لایه از کنترل های امنیتی, سازمان ها می توانند یک موضع امنیتی قوی تر بسازند و بهتر در برابر تهدیدات مختلف دفاع کنند.

استفاده از WAF به عنوان بخشی از یک استراتژی دفاعی در عمق می تواند به جلوگیری از طیف گسترده ای از حملات برنامه وب و کاهش خطر نقض داده ها و دیگر حوادث امنیتی کمک کند. WAF کمک می کند تا ارائه دید به ترافیک برنامه وب, سازمان ها را قادر به نظارت و تجزیه و تحلیل الگوهای ترافیک و شناسایی تهدیدات امنیتی بالقوه. این امر به ویژه در محیط های ابری که برنامه های کاربردی وب و APIs می توانند توزیع و پیچیده تر شوند مهم است.

با ادغام WAFs با ابزارهای امنیتی دیگر مانند دروازه API و امنیت اطلاعات و مدیریت رویداد (SIEM) سیستم, سازمان ها می توانند یک راه حل امنیتی جامع تر ایجاد کنند که به آنها دید و کنترل بیشتری بر محیط ابری خود می دهد.

4. WAFs توزیع شده

WAF توزیع شده (فایروال برنامه وب) پاسخ به چالش تامین امنیت خدمات خرد مبتنی بر ابر توزیع شده است. برای کاربردهای یکپارچه سنتی, WAF تنها می تواند در لبه شبکه مستقر برای محافظت از کل برنامه. اما, در محیط های میکرو سرویس های توزیع شده مبتنی بر ابر, برنامه های کاربردی به کوچکتر تقسیم, اجزای مدولار, هر کدام با API خود و الزامات امنیتی. این می تواند آن را دشوار برای محافظت از تمام قطعات با WAF تنها, همانطور که هر جزء ممکن است نیاز به سیاست های امنیتی و پیکربندی های مختلف.

WAF توزیع شده برای رسیدگی به این چالش با ارائه یک راه حل امنیتی توزیع شده و مقیاس پذیر برای خدمات میکرو مبتنی بر ابر توسعه داده شد. WAF توزیع شده شامل نمونه های متعددی از WAF مستقر در مکان های مختلف مانند مراکز داده و مناطق ابری. هر نمونه WAF را می توان با سیاست امنیتی و پیکربندی خود را متناسب با نیازهای خاص از خدمات خرد آن محافظت پیکربندی.

با استقرار نمونه های متعدد WAF در مکان های مختلف, سازمان ها می توانند راه حل امنیتی جامع تر و مقیاس پذیر تری را مستقر کنند که بتواند با نیازهای در حال تغییر محیط های خدمات خرد سازگار شود. WAF توزیع شده نیز می تواند تاب آوری و در دسترس بودن را بهبود بخشد, همانطور که می تواند به کار خود ادامه دهد حتی اگر یک یا چند نمونه شکست بخورد.

علاوه, WAFs توزیع شده را می توان با دیگر ابزارهای امنیتی مانند دروازه API و سیستم های SIEM یکپارچه برای ارائه یک راه حل امنیتی جامع تر برای ابر مبتنی بر خدمات میکرو. به عنوان مثال, یک دروازه API می تواند برای مدیریت دسترسی به سرویس های خرد مورد استفاده قرار گیرد, WAF توزیع شده می تواند مورد استفاده قرار گیرد برای محافظت در برابر حملات برنامه وب, و دید به ترافیک برنامه وب را می توان به دست آورد.

نتیجه

فایروال های برنامه وب (WAFs) بازی نقش قابل توجهی در دفاع از برنامه های کاربردی وب از حملات اینترنت سرچشمه, از جمله تزریق SQL, اسکریپت نویسی متقابل سایت (Xss), و درخواست متقابل سایت جعل (Csrf). اما, ابر بومی برنامه های کاربردی وب و APIs چالش های خاص برای WAFs به دلیل ماهیت پیچیده و توزیع شده خود را مطرح, و آن را دشوار برای WAFs به درستی تشخیص و کاهش خطرات امنیتی.

برای پرداختن به این چالش ها, WAFs نیاز به طور خاص برای برنامه های کاربردی وب ابر بومی طراحی شده و یکپارچه با دیگر ابر بومی ابزار امنیتی, از جمله سیستم عامل های امنیتی کانتینر و دروازه API. علاوه, WAFs باید به عنوان یک لایه از یک رویکرد امنیتی چند لایه در نظر گرفته شود, از جمله ابزارهای امنیتی دیگر مانند سیستم های تشخیص و پیشگیری نفوذ, دروازه API امن, حفاظت نقطه پایانی, فایروال های شبکه, و کنترل های دسترسی.

با یکپارچه سازی WAFs با دیگر ابزارهای امنیتی و استقرار لایه های متعددی از کنترل های امنیتی, سازمان ها می توانند یک راه حل امنیتی جامع تر ایجاد کنند که دید و کنترل بیشتری بر محیط ابری خود فراهم می کند.