何時使用 Azure Web 應(yīng)用程序防火墻

了解 Azure Web 應(yīng)用程序防火墻的涵義及其工作原理。 現(xiàn)在你需要一些標(biāo)準(zhǔn)來幫助你評估 Azure Web 應(yīng)用程序防火墻是否適合你的公司。 為了幫助你做出決定，讓我們考慮以下場景：

• 你具有包含敏感或?qū)Ｓ袛?shù)據(jù)的 Web 應(yīng)用。

• 你具有需要用戶登錄的 Web 應(yīng)用。

• Web 應(yīng)用開發(fā)人員缺乏安全專業(yè)知識。

• Web 應(yīng)用開發(fā)人員具有其他優(yōu)先級。

• 你的 Web 應(yīng)用開發(fā)預(yù)算有限。

• 你的 Web 應(yīng)用開發(fā)時間有限。

• 必須快速生成和部署 Web 應(yīng)用。

• Web 應(yīng)用發(fā)布將非常引人注目。

作為 Azure Web 應(yīng)用程序防火墻評估的一部分，你知道 Contoso 適用于其中幾種場景。 閱讀相應(yīng)章節(jié)了解更多詳細(xì)信息。

你具有包含敏感或?qū)Ｓ袛?shù)據(jù)的 Web 應(yīng)用

有些 Web 攻擊者的動機只是為了入侵系統(tǒng)。 然而，大多數(shù)惡意黑客都會利用注入、協(xié)議攻擊和類似的攻擊并希望有所回報。 回報可能是以下任何一項：

• 客戶信用卡號

• 敏感的個人信息，例如駕照號碼或護照號碼

• 專有或機密公司數(shù)據(jù)

攻擊者可能會直接使用此數(shù)據(jù)。 例如，用戶可以用盜來的信用卡號購買物品。 但更有可能的是，攻擊者會在犯罪市場上出售數(shù)據(jù)，或持有數(shù)據(jù)以換取贖金。

如果你的公司運行一個或多個存儲敏感或?qū)Ｓ袛?shù)據(jù)的 Web 應(yīng)用，Azure Web 應(yīng)用程序防火墻可以保護這些數(shù)據(jù)免受入侵和外泄嘗試。

你具有需要用戶登錄的 Web 應(yīng)用

Web 應(yīng)用攻擊者通常試圖獲取帳戶用戶名和密碼。 擁有用戶帳戶憑據(jù)對攻擊者有以下好處：

• 攻擊者可以作為授權(quán)用戶訪問應(yīng)用。

• 攻擊者可能能夠運行具有更高權(quán)限的腳本或命令。

• 攻擊者可能能夠訪問網(wǎng)絡(luò)的其他部分。

• 攻擊者可以使用帳戶的憑據(jù)登錄到其他站點和服務(wù)。

你的企業(yè)是否使用需要用戶登錄的 Web 應(yīng)用？ Azure Web 應(yīng)用程序防火墻可以檢測到試圖顯示或竊取帳戶憑據(jù)的漏洞，如 SQL 注入和本地文件包含。

 重要

請記住，Azure Web 應(yīng)用程序防火墻只是多管齊下的網(wǎng)絡(luò)安全策略的一個方面。 對于登錄數(shù)據(jù)，該策略可能還包括嚴(yán)格的密碼要求以及以加密形式存儲密碼。

Web 應(yīng)用開發(fā)人員缺乏安全專業(yè)知識

針對各種潛在的 Web 應(yīng)用漏洞進行編碼需要大量的專業(yè)知識。 這些專業(yè)知識包括對以下概念的詳細(xì)了解：

• HTTP/HTTPS 請求和響應(yīng)的一般結(jié)構(gòu)

• 特定的 HTTP/HTTPS 請求類型（例如 GET、POST 和 PUT）

• URL 和 UTF 編碼

• 用戶代理、查詢字符串和其他變量

• 多個服務(wù)器操作系統(tǒng)的命令、路徑、shell 和類似數(shù)據(jù)

• 前端 Web 技術(shù)（例如 HTML、CSS 和 JavaScript）

• 服務(wù)器端 Web 技術(shù)（例如 SQL、PHP 和用戶會話）

如果貴公司的 Web 開發(fā)團隊缺乏這些方面的知識怎么辦？ 那么 Web 應(yīng)用就容易受到多重攻擊。 相比之下，Azure Web 應(yīng)用程序防火墻由 Microsoft 安全專家團隊進行維護和更新。

Web 應(yīng)用開發(fā)人員具有其他優(yōu)先級

貴公司部署 Web 應(yīng)用的唯一目的不太可能是為了阻止 SQL 注入和遠(yuǎn)程命令執(zhí)行等攻擊。 更有可能的是在其 Web 應(yīng)用上還有其他用途。 這樣做的目的可能是銷售產(chǎn)品、提供服務(wù)或推廣業(yè)務(wù)。

很可能你更希望 Web 開發(fā)團隊專注于實現(xiàn)這些目的，而不是編寫可靠的應(yīng)用安全代碼。 使用 Azure Web 應(yīng)用程序防火墻，可以讓 Microsoft 管理安全性，同時讓團隊專注于業(yè)務(wù)。

你的 Web 應(yīng)用開發(fā)預(yù)算有限

針對所有 OWASP 漏洞進行內(nèi)部編碼是一項昂貴的提議：

• 具備必要安全專業(yè)知識的 Web 開發(fā)人員相對罕見。 與缺乏此類專業(yè)知識的同事相比，這些開發(fā)人員通常薪水更高。

• 針對各種 Web 應(yīng)用漏洞進行編碼并不是一次性的提議。 隨著新的或修改過的漏洞被發(fā)現(xiàn)，你的團隊必須不斷維護和更新其安全代碼。 你的安全專家必須成為 Web 開發(fā)團隊的永久成員，并成為預(yù)算中的永久行項目。

Azure Web 應(yīng)用程序防火墻不是免費的。 不過，你可能會發(fā)現(xiàn)，這種解決方案比雇傭全職 Web 安全專家團隊更具經(jīng)濟效益。

你的 Web 應(yīng)用開發(fā)時間有限

許多 Web 開發(fā)團隊針對所有的 OWASP 漏洞進行內(nèi)部編碼。 然而，大多數(shù)團隊很快就意識到創(chuàng)建和維護這些代碼既費力又耗時。 如果你想在一個緊迫的截止日期前發(fā)布一個新的 Web 應(yīng)用，則保護應(yīng)用程序免受所有 OWASP 攻擊所需的數(shù)千小時人力是一個主要的障礙，

可以在幾分鐘內(nèi)使用 Azure Web 應(yīng)用程序防火墻配置 Azure 應(yīng)用程序網(wǎng)關(guān)實例或 Azure Front Door 配置文件。

必須快速生成和部署 Web 應(yīng)用

許多 Web 應(yīng)用不需要完全的開發(fā)處理。 例如，請考慮以下兩種應(yīng)用類型：

• 概念證明。 該應(yīng)用只是為了證明某些技術(shù)、建議或設(shè)計是可行的。

• 最小可行產(chǎn)品 (MVP)。 該應(yīng)用包含的功能足夠供早期采用者使用，他們?yōu)閷淼陌姹咎峁┓答仭?/p>

概念證明和 MVP Web 應(yīng)用都需要快速創(chuàng)建和部署。 在這些情況下，手動編碼來對付常見攻擊是沒有意義的。 你仍希望保護這些應(yīng)用免受攻擊者的攻擊，因此可以將它們置于 Web 應(yīng)用程序防火墻之后。

Web 應(yīng)用發(fā)布將非常引人注目

你的營銷團隊是否大力推廣即將發(fā)布的 Web 應(yīng)用？ 他們是否在多個社交媒體平臺上發(fā)布消息，以在該應(yīng)用發(fā)布前激起人們的興趣？ 這很好，但你是否知道還有誰對你的應(yīng)用版本感興趣？ 惡意用戶可能決定通過對應(yīng)用發(fā)起一些常見攻擊來中斷應(yīng)用發(fā)布。

為了避免中斷，可以使用 Azure Web 應(yīng)用程序防火墻來保護 Web 應(yīng)用。