何时使用 Azure Web 应用程序防火墙

  • 8 分钟

了解 Azure Web 应用程序防火墙的涵义及其工作原理。 现在你需要一些标准来帮助你评估 Azure Web 应用程序防火墙是否适合你的公司。 为了帮助你做出决定,让我们考虑以下场景:

  • 你具有包含敏感或专有数据的 Web 应用
  • 你具有需要用户登录的 Web 应用
  • Web 应用开发人员缺乏安全专业知识
  • Web 应用开发人员具有其他优先级
  • 你的 Web 应用开发预算有限
  • 你的 Web 应用开发时间有限
  • 必须快速生成和部署 Web 应用
  • Web 应用发布将非常引人注目

作为 Azure Web 应用程序防火墙评估的一部分,你知道 Contoso 适用于其中几种场景。 阅读相应章节了解更多详细信息。

你具有包含敏感或专有数据的 Web 应用

有些 Web 攻击者的动机只是为了入侵系统。 然而,大多数恶意黑客都会利用注入、协议攻击和类似的攻击并希望有所回报。 回报可能是以下任何一项:

  • 客户信用卡号
  • 敏感的个人信息,例如驾照号码或护照号码
  • 专有或机密公司数据

攻击者可能会直接使用此数据。 例如,用户可以用盗来的信用卡号购买物品。 但更有可能的是,攻击者会在犯罪市场上出售数据,或持有数据以换取赎金。

如果你的公司运行一个或多个存储敏感或专有数据的 Web 应用,Azure Web 应用程序防火墙可以保护这些数据免受入侵和外泄尝试。

你具有需要用户登录的 Web 应用

Web 应用攻击者通常试图获取帐户用户名和密码。 拥有用户帐户凭据对攻击者有以下好处:

  • 攻击者可以作为授权用户访问应用。
  • 攻击者可能能够运行具有更高权限的脚本或命令。
  • 攻击者可能能够访问网络的其他部分。
  • 攻击者可以使用帐户的凭据登录到其他站点和服务。

你的企业是否使用需要用户登录的 Web 应用? Azure Web 应用程序防火墙可以检测到试图显示或窃取帐户凭据的漏洞,如 SQL 注入和本地文件包含。

重要

请记住,Azure Web 应用程序防火墙只是多管齐下的网络安全策略的一个方面。 对于登录数据,该策略可能还包括严格的密码要求以及以加密形式存储密码。

Web 应用开发人员缺乏安全专业知识

针对各种潜在的 Web 应用漏洞进行编码需要大量的专业知识。 这些专业知识包括对以下概念的详细了解:

  • HTTP/HTTPS 请求和响应的一般结构
  • 特定的 HTTP/HTTPS 请求类型(例如 GET、POST 和 PUT)
  • URL 和 UTF 编码
  • 用户代理、查询字符串和其他变量
  • 多个服务器操作系统的命令、路径、shell 和类似数据
  • 前端 Web 技术(例如 HTML、CSS 和 JavaScript)
  • 服务器端 Web 技术(例如 SQL、PHP 和用户会话)

如果贵公司的 Web 开发团队缺乏这些方面的知识怎么办? 在这种情况下,Web 应用就容易受到多重攻击。 相比之下,Azure Web 应用程序防火墙由 Microsoft 安全专家团队进行维护和更新。

Web 应用开发人员具有其他优先级

贵公司部署 Web 应用的唯一目的不太可能是为了阻止 SQL 注入和远程命令执行等攻击。 更有可能的是在其 Web 应用上还有其他用途。 这样做的目的可能是销售产品、提供服务或推广业务。

很可能你更希望 Web 开发团队专注于实现这些目的,而不是编写可靠的应用安全代码。 使用 Azure Web 应用程序防火墙,可以让 Microsoft 管理安全性,同时让团队专注于业务。

你的 Web 应用开发预算有限

针对所有 OWASP 漏洞进行内部编码是一项昂贵的提议:

  • 具备必要安全专业知识的 Web 开发人员相对罕见。 与缺乏此类专业知识的同事相比,这些开发人员通常薪水更高。
  • 针对各种 Web 应用漏洞进行编码并不是一次性的提议。 随着新的或修改过的漏洞被发现,你的团队必须不断维护和更新其安全代码。 你的安全专家必须成为 Web 开发团队的永久成员,并成为预算中的永久行项目。

Azure Web 应用程序防火墙不是免费的。 不过,你可能会发现,这种解决方案比雇佣全职 Web 安全专家团队更具经济效益。

你的 Web 应用开发时间有限

许多 Web 开发团队针对所有的 OWASP 漏洞进行内部编码。 然而,大多数团队很快就意识到创建和维护这些代码既费力又耗时。 如果你想在一个紧迫的截止日期前发布一个新的 Web 应用,则保护应用程序免受所有 OWASP 攻击所需的数千小时人力是一个主要的障碍,

可以在几分钟内使用 Azure Web 应用程序防火墙配置 Azure 应用程序网关实例或 Azure Front Door 配置文件。

必须快速生成和部署 Web 应用

许多 Web 应用不需要完全的开发处理。 例如,请考虑以下两种应用类型:

  • 概念证明:该应用只是为了证明某些技术、建议或设计是可行的。
  • 最小可行产品 (MVP):该应用包含的功能足够供早期采用者使用,这些使用者会为将来的版本提供反馈。

概念证明和 MVP Web 应用都需要快速创建和部署。 在这些情况下,手动编码来对付常见攻击是没有意义的。 你仍希望保护这些应用免受攻击者的攻击,因此可以将它们置于 Web 应用程序防火墙之后。

Web 应用发布将非常引人注目

你的营销团队是否大力推广即将发布的 Web 应用? 他们是否在多个社交媒体平台上发布消息,以在该应用发布前激起人们的兴趣? 这很好,但你是否知道还有谁对你的应用版本感兴趣? 恶意用户可能决定通过对应用发起一些常见攻击来中断应用发布。

为了避免中断,可以使用 Azure Web 应用程序防火墙来保护 Web 应用。