何時使用 Azure Web 應(yīng)用程序防火墻

了解 Azure Web 應(yīng)用程序防火墻的涵義及其工作原理。 現(xiàn)在你需要一些標(biāo)準(zhǔn)來幫助你評估 Azure Web 應(yīng)用程序防火墻是否適合你的公司。 為了幫助你做出決定，讓我們考慮以下場景：

• 你具有包含敏感或?qū)Ｓ袛?shù)據(jù)的 Web 應(yīng)用。

• 你具有需要用戶登錄的 Web 應(yīng)用。

• Web 應(yīng)用開發(fā)人員缺乏安全專業(yè)知識。

• Web 應(yīng)用開發(fā)人員具有其他優(yōu)先級。

• 你的 Web 應(yīng)用開發(fā)預(yù)算有限。

• 你的 Web 應(yīng)用開發(fā)時間有限。

• 必須快速生成和部署 Web 應(yīng)用。

• Web 應(yīng)用發(fā)布將非常引人注目。

作為 Azure Web 應(yīng)用程序防火墻評估的一部分，你知道 Contoso 適用于其中幾種場景。 閱讀相應(yīng)章節(jié)了解更多詳細(xì)信息。

你具有包含敏感或?qū)Ｓ袛?shù)據(jù)的 Web 應(yīng)用

有些 Web 攻擊者的動機(jī)只是為了入侵系統(tǒng)。 然而，大多數(shù)惡意黑客都會利用注入、協(xié)議攻擊和類似的攻擊并希望有所回報。 回報可能是以下任何一項：

• 客戶信用卡號

• 敏感的個人信息，例如駕照號碼或護(hù)照號碼

• 專有或機(jī)密公司數(shù)據(jù)

攻擊者可能會直接使用此數(shù)據(jù)。 例如，用戶可以用盜來的信用卡號購買物品。 但更有可能的是，攻擊者會在犯罪市場上出售數(shù)據(jù)，或持有數(shù)據(jù)以換取贖金。

如果你的公司運(yùn)行一個或多個存儲敏感或?qū)Ｓ袛?shù)據(jù)的 Web 應(yīng)用，Azure Web 應(yīng)用程序防火墻可以保護(hù)這些數(shù)據(jù)免受入侵和外泄嘗試。

你具有需要用戶登錄的 Web 應(yīng)用

Web 應(yīng)用攻擊者通常試圖獲取帳戶用戶名和密碼。 擁有用戶帳戶憑據(jù)對攻擊者有以下好處：

• 攻擊者可以作為授權(quán)用戶訪問應(yīng)用。

• 攻擊者可能能夠運(yùn)行具有更高權(quán)限的腳本或命令。

• 攻擊者可能能夠訪問網(wǎng)絡(luò)的其他部分。

• 攻擊者可以使用帳戶的憑據(jù)登錄到其他站點和服務(wù)。

你的企業(yè)是否使用需要用戶登錄的 Web 應(yīng)用？ Azure Web 應(yīng)用程序防火墻可以檢測到試圖顯示或竊取帳戶憑據(jù)的漏洞，如 SQL 注入和本地文件包含。

 重要

請記住，Azure Web 應(yīng)用程序防火墻只是多管齊下的網(wǎng)絡(luò)安全策略的一個方面。 對于登錄數(shù)據(jù)，該策略可能還包括嚴(yán)格的密碼要求以及以加密形式存儲密碼。

Web 應(yīng)用開發(fā)人員缺乏安全專業(yè)知識

針對各種潛在的 Web 應(yīng)用漏洞進(jìn)行編碼需要大量的專業(yè)知識。 這些專業(yè)知識包括對以下概念的詳細(xì)了解：

• HTTP/HTTPS 請求和響應(yīng)的一般結(jié)構(gòu)

• 特定的 HTTP/HTTPS 請求類型（例如 GET、POST 和 PUT）

• URL 和 UTF 編碼

• 用戶代理、查詢字符串和其他變量

• 多個服務(wù)器操作系統(tǒng)的命令、路徑、shell 和類似數(shù)據(jù)

• 前端 Web 技術(shù)（例如 HTML、CSS 和 JavaScript）

• 服務(wù)器端 Web 技術(shù)（例如 SQL、PHP 和用戶會話）

如果貴公司的 Web 開發(fā)團(tuán)隊缺乏這些方面的知識怎么辦？ 那么 Web 應(yīng)用就容易受到多重攻擊。 相比之下，Azure Web 應(yīng)用程序防火墻由 Microsoft 安全專家團(tuán)隊進(jìn)行維護(hù)和更新。

Web 應(yīng)用開發(fā)人員具有其他優(yōu)先級

貴公司部署 Web 應(yīng)用的唯一目的不太可能是為了阻止 SQL 注入和遠(yuǎn)程命令執(zhí)行等攻擊。 更有可能的是在其 Web 應(yīng)用上還有其他用途。 這樣做的目的可能是銷售產(chǎn)品、提供服務(wù)或推廣業(yè)務(wù)。

很可能你更希望 Web 開發(fā)團(tuán)隊專注于實現(xiàn)這些目的，而不是編寫可靠的應(yīng)用安全代碼。 使用 Azure Web 應(yīng)用程序防火墻，可以讓 Microsoft 管理安全性，同時讓團(tuán)隊專注于業(yè)務(wù)。

你的 Web 應(yīng)用開發(fā)預(yù)算有限

針對所有 OWASP 漏洞進(jìn)行內(nèi)部編碼是一項昂貴的提議：

• 具備必要安全專業(yè)知識的 Web 開發(fā)人員相對罕見。 與缺乏此類專業(yè)知識的同事相比，這些開發(fā)人員通常薪水更高。

• 針對各種 Web 應(yīng)用漏洞進(jìn)行編碼并不是一次性的提議。 隨著新的或修改過的漏洞被發(fā)現(xiàn)，你的團(tuán)隊必須不斷維護(hù)和更新其安全代碼。 你的安全專家必須成為 Web 開發(fā)團(tuán)隊的永久成員，并成為預(yù)算中的永久行項目。

Azure Web 應(yīng)用程序防火墻不是免費的。 不過，你可能會發(fā)現(xiàn)，這種解決方案比雇傭全職 Web 安全專家團(tuán)隊更具經(jīng)濟(jì)效益。

你的 Web 應(yīng)用開發(fā)時間有限

許多 Web 開發(fā)團(tuán)隊針對所有的 OWASP 漏洞進(jìn)行內(nèi)部編碼。 然而，大多數(shù)團(tuán)隊很快就意識到創(chuàng)建和維護(hù)這些代碼既費力又耗時。 如果你想在一個緊迫的截止日期前發(fā)布一個新的 Web 應(yīng)用，則保護(hù)應(yīng)用程序免受所有 OWASP 攻擊所需的數(shù)千小時人力是一個主要的障礙，

可以在幾分鐘內(nèi)使用 Azure Web 應(yīng)用程序防火墻配置 Azure 應(yīng)用程序網(wǎng)關(guān)實例或 Azure Front Door 配置文件。

必須快速生成和部署 Web 應(yīng)用

許多 Web 應(yīng)用不需要完全的開發(fā)處理。 例如，請考慮以下兩種應(yīng)用類型：

• 概念證明。 該應(yīng)用只是為了證明某些技術(shù)、建議或設(shè)計是可行的。

• 最小可行產(chǎn)品 (MVP)。 該應(yīng)用包含的功能足夠供早期采用者使用，他們?yōu)閷淼陌姹咎峁┓答仭?/p>

概念證明和 MVP Web 應(yīng)用都需要快速創(chuàng)建和部署。 在這些情況下，手動編碼來對付常見攻擊是沒有意義的。 你仍希望保護(hù)這些應(yīng)用免受攻擊者的攻擊，因此可以將它們置于 Web 應(yīng)用程序防火墻之后。

Web 應(yīng)用發(fā)布將非常引人注目

你的營銷團(tuán)隊是否大力推廣即將發(fā)布的 Web 應(yīng)用？ 他們是否在多個社交媒體平臺上發(fā)布消息，以在該應(yīng)用發(fā)布前激起人們的興趣？ 這很好，但你是否知道還有誰對你的應(yīng)用版本感興趣？ 惡意用戶可能決定通過對應(yīng)用發(fā)起一些常見攻擊來中斷應(yīng)用發(fā)布。

為了避免中斷，可以使用 Azure Web 應(yīng)用程序防火墻來保護(hù) Web 應(yīng)用。