那些急于满足PCI规则遵从要求的企业在选择Web应用程序防火墙时(WAF)可能会陷入困境。你怎么知道应该选择什么样的产品?你怎样才能有效地部署和管理这个工具或者软件?你如何让它与现存的基础设施相匹配?在本文中,我们将着重讨论这些产品评估中的关键问题,从而为你公司的规则遵从提供帮助。
Web应用程序防火墙或者应用层防火墙指的是那些保护网络应用程序不受攻击、防止数据泄漏的工具或者软件。它位于Web客户端和Web服务器之间,分析应用层消息、查找违反安全政策的内容。Web应用程序防火墙处理的安全问题与网络防火墙和入侵监测/防护系统处理的有所不同,后者是用来保护网络外围环境安全的。在你购买这种产品之前,你需要明确它并不是一个即插即用(plug-and-play)的规则遵从组件,只是简单地把它放在你的应用服务器前面是行不通的。
你需要知道的内容
每次新的立法或者新安全要求出现时,从事规则遵从工作的人往往草率地作出相应的决定。许多系统管理员只根据一个供应商的销售广告或者他们遇到的某个特殊要求就做出了决定。
其结果极有可能不合适或者不是最优的安全决策。即便是工期很紧,你也不能抛弃你应有的谨慎。为了选择安全的设备,比如Web应用程序防火墙,你需要回答以下问题:
- 根据你的安全政策目标和法律要求,该产品需要做什么?
- 什么额外的服务是有价值的?
- 它怎样才能融入到你现在的网络中——你的公司具有正确、有效地使用它的能力吗?
- 它将如何影响现在的服务和用户,其费用如何?
新的遵从规则(比如PCI DSS)要求你在回答第一个问题之前就要升级或者至少重新审查你的安全政策。一个好的安全政策确定了你保护数据安全的目标和要求。这个基础可以让你确定哪些安全设备能够满足你的要求。因为每个Web应用程序都是独特的,安全必须进行定制,从而覆盖在安全生命周期开发程序中威胁建模阶段所确定的全部潜在威胁。审查一下你中意的WAF产品能够防御哪些威胁(比如,能不能通过cookie或者URL分析参数去防御OWASP排名前十的应用程序漏洞),并考虑规则遵从所规定的附加要求。
选择你的WAF
为了确保WAF能够满足PCI DSS规则遵从的要求,你应该把WAF的功能与PCI补充信息中所推荐的功能进行比较:PCI安全标准委员会发布的要求_6_6_代码审查和应用程序防火墙的阐述。[链接:https://www.pcisecuritystandards.org/pdfs/infosupp_6_6_applicationfirewalls_codereviews.pdf]
他们必须能够检查并处理HTML、动态HTML (DHTML)、层叠样式表(CSS)等Web网页内容,以及你的应用程序使用的协议,比如HTTP 和 HTTPS等。
此外,请检查一下供应商过去采用新协议的速度如何。审查他们的开发和支持政策,以确定他们是否支持自定义协议,或保护一系列应用程序协议。另外,WAF必须能够检查Web服务消息,尤其是SOAP 和XML。询问WAF供应商,他们的自动更新以及应用动态签名情况如何。这些工作会有助于你评估他们的技术支持和客服能力。
最后,询问供应商特定功能的额外费用。比如,有些应用程序可能需要FIPS硬件密钥存储支持。虽然WAF供应商可能会支持这个需求,但是费用会高得惊人。
当你完成上述工作之后,请抽出时间了解下每种WAF覆盖一个或多个安全区域时所使用的技术方法以及处理深度。你能用白名单列出数据类型和范围吗,你能创建结合了白名单和黑名单的规则吗?WAF在自身受到攻击时安全情况如何?比如,它应该运行在一个固化的系统上,而它的组件却运行在没有特权、封闭的运行时(runtime)环境中。如果该产品的自身安全都不可靠,那么你完全没有必要阅读下面的内容了。