devops没有’杀死waf,因为waf永远不会真正死亡

Web应用程序防火墙(WAF)已死, 他们说并且devops是罪魁祸首,在服务器室的身体上发现,在其手中的刀片和衬衫上的闪烁着代码。但虽然有些人可能会争辩,Devops有手段,动机和机会,事实上,WAF根本并没有死亡,也没有很快就会发生。

WAF. 死了

如果您通过代码审核和年度测试完全实现安全进程和审核流程,只能摆脱WAF。但 devsecops 无法为企业环境中的所有Web应用程序进行实际实现,因此WAF将坚持,因为它仍然有工作要做。

WAF. 没有死,剩下什么?

Devops和持续的集成和连续部署(CI / CD)管道提供了实现安全性的绝佳机会,特别是如果您的敏捷方法包括安全冲刺。它允许从一开始,而不是稍后将传统应用的传统应用程序内置于应用中,这不仅效率低下,而且–在CI / CD的狂热节点中–可以被忽视,忽略或忘记。

虽然所有网络应用程序的安全性应该从一开始就会内置,但我们的经验表明它通常仅适用于“皇冠珠宝”,如公司的主要客户门户或客户支付系统。在企业环境中,公司运行旧应用程序并不罕见,其中代码不再维护或通过收购集成的应用程序。

此外,r等部门&D和营销经常实施定制或第三方应用程序。此应用程序扩散可导致由Devops或其他不同IT组管理的组织中面向50%的公开Web应用程序。这些应用程序需要额外的缓解控制,这是WAF进入的地方。

Devops Security的限制

Web应用程序成为企业的关键部分时,Web应用程序防火墙成为必不可少的安全层。单个网络防火墙旨在保护主要静态网络环境不够。 WAFS特定于每个应用程序,因此需要不同的保护。过滤,监控和策略执行(例如阻止恶意流量)提供有价值的保护,但携带成本影响并消耗计算资源。在一个DevopS送媒的云环境中,将WAFS电流与常量更新和变化流动保持挑战。

向安全介绍 CI / CD管道 可以解决这个问题,但仅针对这些应用程序开发的方式。将安全冲刺构建到由不同部门部署的旧第三方应用程序或应用程序构建安全冲刺。这些应用程序的存在会对企业提供风险。他们仍然需要得到保护,而WAF可能仍然是最好的选择。

重要的是要记住,没有网络安全的方法是完美的,并且敏捷Devops方法是自身不够的。即使在被认为没有过时或第三方应用程序的环境中,你也无法确定其他组正在做什么或部署 - 阴影它 是企业持续存在的问题。除了安全冲刺,代码评价和其他步骤外,至少每年至少每年执行渗透测试是个好主意。

渗透测试,也称为道德黑客,模拟系统,网络和Web应用程序的网络攻击,以暴露黑客可以利用的漏洞。笔测试为组织提供了同步安全姿势现实预期的绝佳机会。

WAF. 住在上

一个敏捷的Devops方法,即积极构建安全到Web应用程序的方法应该被视为最佳实践。它确保安全在CI / CD管道中的创新速度保持速度,有助于在安全和运营团队之间建立合作文化,并将网络安全与业务需求保持一致。但在企业层面,由于可能发生在开发团队的范围之外的其他部门,不受旧的,不支持的申请,第三方添加和独立活动,因此不可能在董事会上申请安全。

WAF. 的报告大大夸大了。只要遗留应用程序存在于Devops环境之外 - 或Devops团队 不要完全实施安全性 从地上(仍然相当普遍),需要保护应用和减轻攻击的其他方法。对于可预见的未来,至少,WAF在这里留下来。

分享这个