问:Web应用防火墙部署是否更适合拥有成熟软件安全计划的企业,或者是否任何拥有任何类型安全技术的企业可以从部署web应用防火墙受益? 答:我偶然接触到采取了纵深防御方法防范安全过头了的企业。这种企业将能想到的每一个安全设备都安插在了网络中的某些地方。虽然很高兴地看到安全受到重视,但是这种类型的设置永远不会有成本效益和好的效率。基于上述说法,很高兴听到你问何时部署web应用防火墙才是适当的。
虽然许多供应商主张用他们的最新产品,但最新的产品并不是安全的保障。 如果我们看看支付卡行业数据安全标准 (PCI DSS)的一些指导,我们可以看到它提供了两种选择,以保护web应用程序:查看所有web……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:Web应用防火墙部署是否更适合拥有成熟软件安全计划的企业,或者是否任何拥有任何类型安全技术的企业可以从部署web应用防火墙受益?
答:我偶然接触到采取了纵深防御方法防范安全过头了的企业。这种企业将能想到的每一个安全设备都安插在了网络中的某些地方。虽然很高兴地看到安全受到重视,但是这种类型的设置永远不会有成本效益和好的效率。基于上述说法,很高兴听到你问何时部署web应用防火墙才是适当的。虽然许多供应商主张用他们的最新产品,但最新的产品并不是安全的保障。
如果我们看看支付卡行业数据安全标准 (PCI DSS)的一些指导,我们可以看到它提供了两种选择,以保护web应用程序:查看所有web应用程序代码,或者部署一个web应用防火墙。它还提到“两个选择结合起来适当实施可以提供最好的多层防护。”
找两个企业作为例子,第一,一个有成熟软件安全计划的公司,毫无疑问这类公司已经可以执行源代码审查和脆弱性评估,但可能仍然会从安装web 应用防火墙受益。第二个企业绝对应该考虑安装一个web应用防火墙,因为它不太可能有既具备广泛的应用开发经验又能根据要求进行内部代码安全检查的专业知识人员。
一个好的安全策略将确定您想如何保护数据安全的目标和需求。由于每个Web应用程序是独特的,必须根据特定的应用来减轻风险,针对在威胁的建模过程中发现的潜在威胁展开保护。为了保证从Web应用防火墙部署中真正受益,一定要检查哪些风险需要防范。这样一来你可以决定哪些安全设备是合适的,可以满足这些需求。
当你的选择范围缩小到一个挑选名单时,你很难比较不同的WAFs。值得庆幸的是Web应用程序安全联盟(WASC)开发和倡导了网络应用的安全标准。他们创建了Web应用防火墙评价标准(WAFEC),其目的是为人们比较不同的防火墙提供一个方法。任何理性熟练的技术人员都可以运用它们的测试方法,独立地评估WAF产品的质量。
然而,WAFs并不能包治百病。他们无法防止应用程序逻辑缺陷或潜在的网络和操作系统级的漏洞。并且还需要持续投资。网络管理员必须学会如何安装、配置和维护WAF。您还需要确保您的IT部门有足够资源来处理它识别的任何攻击,以及其他日常的管理。例如, WAFS比旧的包过滤防火墙有更大量的记录功能。管理员将需要时间来充分利用这一额外的信息。
作者
翻译
相关推荐
-
NSS实验室评估下一代防火墙
根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]
-
为什么单靠网络外围安全行不通?
近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…
-
关于POS终端安全 PCI做了哪些要求?
PCI DSS包括对POS终端安全的要求。在本文中,专家Mike Chapple将解释如何理解PCI对于POS终端的要求,并就此的最佳安全实践给出建议。
-
“外围”消亡 企业安全防护需要新形态
外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。