那些急于满足PCI规则遵从要求的企业在选择Web应用程序防火墙时(WAF)可能会陷入困境。你怎么知道应该选择什么样的产品?你怎样才能有效地部署和管理这个工具或者软件?你如何让它与现存的基础设施相匹配?在本文中,我们将着重讨论这些产品评估中的关键问题,从而为你公司的规则遵从提供帮助。 Web应用程序防火墙或者应用层防火墙指的是那些保护网络应用程序不受攻击、防止数据泄漏的工具或者软件。它位于Web客户端和Web服务器之间,分析应用层消息、查找违反安全政策的内容。
Web应用程序防火墙处理的安全问题与网络防火墙和入侵监测/防护系统处理的有所不同,后者是用来保护网络外围环境安全的。在你购买这种产品之……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
那些急于满足PCI规则遵从要求的企业在选择Web应用程序防火墙时(WAF)可能会陷入困境。你怎么知道应该选择什么样的产品?你怎样才能有效地部署和管理这个工具或者软件?你如何让它与现存的基础设施相匹配?在本文中,我们将着重讨论这些产品评估中的关键问题,从而为你公司的规则遵从提供帮助。
Web应用程序防火墙或者应用层防火墙指的是那些保护网络应用程序不受攻击、防止数据泄漏的工具或者软件。它位于Web客户端和Web服务器之间,分析应用层消息、查找违反安全政策的内容。Web应用程序防火墙处理的安全问题与网络防火墙和入侵监测/防护系统处理的有所不同,后者是用来保护网络外围环境安全的。在你购买这种产品之前,你需要明确它并不是一个即插即用(plug-and-play)的规则遵从组件,只是简单地把它放在你的应用服务器前面是行不通的。
你需要知道的内容
每次新的立法或者新安全要求出现时,从事规则遵从工作的人往往草率地作出相应的决定。许多系统管理员只根据一个供应商的销售广告或者他们遇到的某个特殊要求就做出了决定。
其结果极有可能不合适或者不是最优的安全决策。即便是工期很紧,你也不能抛弃你应有的谨慎。为了选择安全的设备,比如Web应用程序防火墙,你需要回答以下问题:
? 根据你的安全政策目标和法律要求,该产品需要做什么?
? 什么额外的服务是有价值的?
? 它怎样才能融入到你现在的网络中——你的公司具有正确、有效地使用它的能力吗?
? 它将如何影响现在的服务和用户,其费用如何?
新的遵从规则(比如PCI DSS)要求你在回答第一个问题之前就要升级或者至少重新审查你的安全政策。一个好的安全政策确定了你保护数据安全的目标和要求。这个基础可以让你确定哪些安全设备能够满足你的要求。因为每个Web应用程序都是独特的,安全必须进行定制,从而覆盖在安全生命周期开发程序中威胁建模阶段所确定的全部潜在威胁。审查一下你中意的WAF产品能够防御哪些威胁(比如,能不能通过cookie或者URL分析参数去防御OWASP排名前十的应用程序漏洞),并考虑规则遵从所规定的附加要求。
选择你的WAF
为了确保WAF能够满足PCI DSS规则遵从的要求,你应该把WAF的功能与PCI补充信息中所推荐的功能进行比较:PCI安全标准委员会发布的要求_6_6_代码审查和应用程序防火墙的阐述。[链接:https://www.pcisecuritystandards.org/pdfs/infosupp_6_6_applicationfirewalls_codereviews.pdf]
他们必须能够检查并处理HTML、动态HTML (DHTML)、层叠样式表(CSS)等Web网页内容,以及你的应用程序使用的协议,比如HTTP 和 HTTPS等。
此外,请检查一下供应商过去采用新协议的速度如何。审查他们的开发和支持政策,以确定他们是否支持自定义协议,或保护一系列应用程序协议。另外,WAF必须能够检查Web服务消息,尤其是SOAP 和XML。询问WAF供应商,他们的自动更新以及应用动态签名情况如何。这些工作会有助于你评估他们的技术支持和客服能力。
最后,询问供应商特定功能的额外费用。比如,有些应用程序可能需要FIPS硬件密钥存储支持。虽然WAF供应商可能会支持这个需求,但是费用会高得惊人。
当你完成上述工作之后,请抽出时间了解下每种WAF覆盖一个或多个安全区域时所使用的技术方法以及处理深度。你能用白名单列出数据类型和范围吗,你能创建结合了白名单和黑名单的规则吗?WAF在自身受到攻击时安全情况如何?比如,它应该运行在一个固化的系统上,而它的组件却运行在没有特权、封闭的运行时(runtime)环境中。如果该产品的自身安全都不可靠,那么你完全没有必要阅读下面的内容了。
作者
翻译
相关推荐
-
绿盟科技四款产品入围电信集采
在2014年中国电信集团的集采中,绿盟科技4款产品:ADS、IPS、FW、WAF均表现优异,全部入围!这是中国电信集团对绿盟科技产品的认可,也证实了绿盟科技在安全行业领军者的地位。
-
绿盟科技Web应用防火墙持续领跑大中华区市场
Frost&Sullivan发布的《2013年亚太区Web应用防火墙市场报告》指出,绿盟科技作为亚太区第四大WAF厂商,其Web应用防火墙在2013年稳健增长,以25.9%的市场占有率持续领导大中华区WAF市场。
-
“智慧网络 立体安全”:网康科技构建立体安全解决方案
网康科技今年相继推出了WAF、WOG产品,加上传统的ICG、ASG、ATM,构建起了一整套关注网络可用性、边界安全、内网安全、应用安全及行为安全的立体安全解决方案。
-
Radware Web应用防火墙AppWall®荣获ICSA实验室认证
Radware公司宣布Radware Web应用防火墙(WAF)产品AppWall®已正式通过国际权威认证机构ICSA实验室的严格测试与认证。