Firewall aplikasi web (WAF) ialah alat keselamatan yang digunakan untuk melindungi daripada akses yang tidak diingini kepada aplikasi web. Ia selalunya merupakan peranti keselamatan yang terletak di atas pelayan web dan melindungi daripada ancaman daripada internet atau dari luar perimeter rangkaian.

Tidak seperti Lapisan 3 (Rangkaian) dan Lapisan 4 (Pengangkutan) tembok api, yang tidak dapat mengenal pasti pertanyaan lapisan aplikasi yang berniat jahat, WAF ialah Lapisan 7 firewall yang boleh melihat melepasi paket yang disulitkan. Menggunakan WAF membolehkan organisasi mempertahankan kehadiran dalam talian mereka daripada pelbagai serangan web berasaskan internet, termasuk cross-site scripting (XSS), injeksi SQL, dan cross-site request forgery (CSRF). Serangan ini boleh memberi penggodam keupayaan untuk mencuri maklumat kritikal, mengambil alih pelayan web, atau melancarkan serangan terhadap sistem lain, yang boleh menjadi bencana bagi aplikasi web.

Masalah

1. Perkhidmatan mikro asli awan dan WAF

WAF kurang berkesan dalam aplikasi web asli awan dan di dalam persekitaran awan. Salah satu sebab ialah peraturan keselamatan yang mengikat aplikasi web tradisional dalam persekitaran di premis tidak boleh digunakan di dalam awan.

Dalam pusat data tradisional, tembok api aplikasi web biasanya dipasang di pinggir rangkaian untuk melindungi aplikasi yang berjalan dalam perimeter rangkaian dalaman. Walau bagaimanapun, dalam persekitaran awan, aplikasi sering digunakan dalam mesin maya atau bekas yang fleksibel dan boleh dihidupkan dan dimatikan apabila perubahan permintaan. Ini bermakna pendekatan berasaskan perimeter tradisional untuk keselamatan boleh menjadi kurang berkesan dalam persekitaran awan, di mana aplikasi boleh tinggal di mana-mana sahaja pada rangkaian dan lebih sukar untuk dipantau dan dikawal.

Satu lagi cabaran dengan aplikasi web asli awan ialah ia selalunya lebih diedarkan dan kompleks daripada aplikasi web tradisional. Aplikasi berasaskan awan biasanya terdiri daripada perkhidmatan mikro yang berkomunikasi antara satu sama lain melalui API dan mungkin menggunakan pelbagai storan data serta perkhidmatan pihak ketiga. Ini boleh menjadikan pengenalpastian dan pengurangan risiko keselamatan lebih sukar, kerana serangan boleh berlaku pada mana-mana titik dalam seni bina aplikasi.

2. Cabaran WAF dan API

API (antara muka pengaturcaraan aplikasi) adalah kaedah utama untuk menghubungkan perkhidmatan mikro dan juga digunakan untuk membolehkan komunikasi antara perkhidmatan serta aplikasi luaran. API menggunakan protokol komunikasi dan corak trafik yang berbeza daripada aplikasi web tradisional, yang menjadikan lebih sukar bagi WAF untuk mengenal pasti dan melindungi trafik API dengan tepat. Ini boleh membawa kepada positif palsu atau negatif palsu, melemahkan keselamatan, atau menyekat trafik sah secara tidak perlu.

Salah satu cabaran dengan trafik API ialah ia boleh menggunakan protokol yang berbeza seperti HTTP, HTTPS, dan Web-Sockets, yang boleh mengandungi pelbagai jenis beban data dan pengepala yang menjadikannya sukar untuk WAF mengenal pasti trafik dengan tepat. Sebagai contoh, sesetengah API boleh menggunakan beban binari atau penyulitan, yang sukar untuk WAF tafsir dan analisis.

Cabaran lain ialah API boleh mempunyai corak trafik yang berbeza daripada aplikasi web tradisional. API biasanya mempunyai jumlah trafik yang tinggi dengan banyak permintaan setiap saat, menjadikannya sukar untuk WAF mengikuti kadar trafik. Selain itu, berbanding dengan aplikasi web, API sering mempunyai corak trafik yang lebih boleh diramal dan konsisten, menjadikannya lebih mudah bagi penyerang mengenal pasti kelemahan dan melancarkan serangan.

Tempahan, sebuah kumpulan penyelidikan keselamatan menerbitkan kaedah baharu untuk memintas berbilang tembok api aplikasi web, termasuk Palo Alto, F5, Amazon Web Services, Cloudflare, dan Imperva. Vendor yang ditentukan mengakui (menurut penyelidik) pendedahan dan membuat perubahan pada produk mereka’ Proses pemeriksaan SQL untuk menyokong sintaks JSON.

Penyelesaian

1. Anomali Tertentu API

Untuk mengatasi cabaran yang dinyatakan di atas, WAF hendaklah direka khusus untuk mengendalikan trafik API. Ini mungkin termasuk mengenal pasti dan melindungi trafik API menggunakan pelbagai teknik, termasuk analitik berasaskan tandatangan atau algoritma pembelajaran mesin yang boleh mengesan anomali dalam corak trafik. WAF juga mungkin perlu disepadukan dengan alat keselamatan lain seperti gerbang API untuk menyediakan penyelesaian keselamatan yang lebih komprehensif.

Secara keseluruhan, menjamin trafik API dengan WAF memerlukan pendekatan yang berbeza daripada keselamatan aplikasi web tradisional. WAF mesti direka khas untuk menangani protokol komunikasi dan corak trafik spesifik API bagi mengenal pasti dan mempertahankan ancaman keselamatan dengan tepat.

2. WAF yang bersepadu

Untuk menghadapi cabaran ini, WAF harus dibina khas untuk aplikasi web asli awan. Ini mungkin melibatkan penyebaran WAF sebagai sebahagian daripada seni bina aplikasi anda dan bukannya sebagai penyelesaian berasaskan perimeter. Selain itu, WAF mungkin perlu berintegrasi dengan alat keselamatan asli awan lain seperti platform keselamatan kontena dan gerbang API untuk menyediakan penyelesaian keselamatan yang lebih menyeluruh.

WAF masih boleh memainkan peranan penting dalam menjamin keselamatan aplikasi web asli awan, tetapi ia mungkin perlu disesuaikan dan dipertingkatkan untuk menangani cabaran keselamatan unik dalam persekitaran berasaskan awan.

3. WAF dan pertahanan berlapis

WAF perlu dianggap sebagai satu lapisan pendekatan keselamatan berlapis-lapis, bersama dengan alat keselamatan lain seperti sistem pengesanan dan pencegahan pencerobohan, pintu masuk API yang selamat, perlindungan titik akhir, firewall rangkaian, dan kawalan capaian. Dengan melaksanakan pelbagai lapisan kawalan keselamatan, organisasi dapat membina kedudukan keselamatan yang lebih kukuh dan lebih baik mempertahankan daripada pelbagai ancaman.

Menggunakan WAF sebagai sebahagian daripada strategi pertahanan berlapis boleh membantu mencegah pelbagai serangan aplikasi web dan mengurangkan risiko pelanggaran data dan insiden keselamatan lain. WAF membantu memberikan keterlihatan ke dalam trafik aplikasi web, membolehkan organisasi memantau dan menganalisis corak trafik serta mengenal pasti ancaman keselamatan yang berpotensi. Ini amat penting dalam persekitaran awan di mana aplikasi web dan API boleh menjadi lebih teragih dan kompleks.

Dengan mengintegrasikan WAF dengan alat keselamatan lain seperti gerbang API dan Sistem Maklumat dan Pengurusan Acara Keselamatan (SIEM) sistem, organisasi boleh mewujudkan penyelesaian keselamatan yang lebih menyeluruh yang memberi mereka penglihatan dan kawalan yang lebih baik terhadap persekitaran awan mereka.

4. WAF Teragih

WAF teragih (tembok api aplikasi web) adalah jawapan kepada cabaran untuk mengamankan mikroperkhidmatan berasaskan awan yang teragih. Untuk aplikasi monolitik tradisional, satu WAF tunggal boleh dipasang di tepi rangkaian untuk melindungi keseluruhan aplikasi. Walau bagaimanapun, dalam persekitaran mikroperkhidmatan teragih berasaskan awan, aplikasi dibahagikan kepada bahagian yang lebih kecil, komponen modular, setiap satu dengan API dan keperluan keselamatannya sendiri. Ini boleh menjadikan sukar untuk melindungi semua komponen dengan satu WAF, kerana setiap komponen mungkin memerlukan dasar keselamatan dan konfigurasi yang berbeza.

Sebuah WAF diedarkan telah dibangunkan untuk mengatasi cabaran ini dengan menyediakan penyelesaian keselamatan yang diedarkan dan boleh skala untuk perkhidmatan mikro berasaskan awan. Sebuah WAF diedarkan terdiri daripada pelbagai instans WAF yang ditempatkan di lokasi berbeza seperti pusat data dan kawasan awan. Setiap instans WAF boleh dikonfigurasikan dengan dasar keselamatan dan konfigurasi sendiri yang disesuaikan dengan keperluan khusus perkhidmatan mikro yang dilindunginya.

Dengan menempatkan pelbagai instans WAF di lokasi berbeza, organisasi dapat menggubal penyelesaian keselamatan yang lebih komprehensif dan skala yang boleh ditingkatkan yang boleh menyesuaikan diri dengan keperluan persekitaran mikro-perkhidmatan yang sentiasa berubah. WAF yang diagihkan juga boleh meningkatkan ketahanan dan ketersediaan, kerana ia boleh terus beroperasi walaupun satu atau lebih instans gagal.

Selain itu, WAF yang diagihkan boleh diintegrasikan dengan alat keselamatan lain seperti pintu gerbang API dan sistem SIEM untuk menyediakan penyelesaian keselamatan yang lebih komprehensif untuk mikro-perkhidmatan berasaskan awan. Sebagai contoh, pintu gerbang API boleh digunakan untuk menguruskan akses ke mikro-perkhidmatan, WAF yang diagihkan boleh digunakan untuk melindungi daripada serangan aplikasi web, dan keterlihatan terhadap trafik aplikasi web boleh dicapai.

Kesimpulan

Firewall Aplikasi Web (WAF) bermain peranan penting dalam mempertahankan aplikasi web daripada serangan yang berasal dari internet, termasuk suntikan SQL, skrip merentas tapak (XSS), dan cross-site request forgery (CSRF). Walau bagaimanapun, aplikasi web dan API asli awan menimbulkan cabaran khusus untuk WAF kerana sifatnya yang kompleks dan teragih, menyukarkan WAF untuk mengesan dan mengurangkan risiko keselamatan dengan betul.

Untuk menangani cabaran ini, WAF perlu direka khusus untuk aplikasi web asli awan dan disepadukan dengan alat keselamatan asli awan yang lain, termasuk platform keselamatan kontena dan pintu masuk API. Selain itu, WAF harus dianggap sebagai satu lapisan pendekatan keselamatan berbilang lapisan, termasuk alat keselamatan lain seperti sistem pengesanan dan pencegahan pencerobohan, gerbang API terjamin, perlindungan titik akhir, firewall rangkaian, dan kawalan capaian.

Dengan menyepadukan WAF dengan alat keselamatan lain dan menggunakan berbilang lapisan kawalan keselamatan, organizations can create a more comprehensive security solution that provides more visibility and control over their cloud environment.