WAF因云而变

　　应用程序向云平台的迁移给其安全带来了新的挑战，WAF(网络应用防火墙)正在积极跟进这一变化。

　　云计算的普及推动着越来越多的传统应用向云平台迁移，与此同时，越来越多的企业开始青睐轻量型的SaaS应用，这些变化对企业安全构成了严峻的挑战。因为传统应用安全是基于企业网络有边界这一前提的，其最常见的部署方式就是将安全软件（或设备）部署于企业网络的出入口。然而，云应用推倒了企业网络的围墙，特别是SaaS应用，它使得企业的数据完全暴露在企业网络的安全保护体系之外。

　　显然，安全领域已经注意到软件部署方式的最新变化，并找到了解决问题的办法。日前，Imperva对外公布了一系列最新举措来应对市场的最新变化，包括收购新兴云安全网关公司Skyfence、与云计算网络应用安全公司Incapsula达成协议收购其剩余股份，同时，Imperva还发布了为亚马逊AWS提供的SecureSphere网络应用防火墙。Imperva是专注与数据中心安全的解决方案供应商，其WAF(网络应用防火墙)在市场颇有知名度。

　　“经过这一系列动作，Imperva将把我们在应用安全领域的解决方案能力扩展到云平台上，从而为客户提供全面的安全防护。”Imperva亚太及日本区副总裁Stree G.Naidu在接受记者采访时表示。

　　据Stree介绍，新兴云网络Skyfence可以为导入到SaaS应用中的数据提供实时监控和保护，包括执行安全策略、保护敏感数据不受内外部的威胁，并确保运行符合标准。Skyfence采用特有的网络流量分析和动态用户指纹技术来记录正常的用户行为，并检测可能由黑客或者内部威胁所引起的异常。而Incapsula则能通过应用程序的全球云交付网络为网站和网络应用程序提供安全保障，包括DDoS防护、负载均衡技术和故障解决方案等。

　　面向AWS的SecureSphere网络应用防火墙类似于Incapsula，主要针对在AWS上运行的生产应用，为之提供企业级的网络应用防火墙，可直接运行在AWS。本质上，面向AWS的SecureSphere网络防火墙是一种SaaS应用，企业采用订阅的方式，按需部署和使用，利用它企业用户可以直接将其数据中心基础架构连同原有的针对本地应用的安全管控一起移至云端。

　　目前NGFW(下一代防火墙)被炒得很热，甚至有说法认为NGFW要替代WAF，Stree对此并不认同。他说，尽管与NGFW相比WAF似乎受关注的程度要低一些，但这不代表其重要性要低于NGFW，NGFW不可能替代WAF，因为到目前位置WAF还是唯一能够检测入站网络流量的技术。

　　“NGFW能提供部分鉴别应用流量的功能（如HTTP和即时通信），但这些功能不足以应对应用层面的攻击。比如，NGFW不能拦截针对定制的Web应用漏洞的攻击，也无法侦查针对Cookie、会话、参数值的攻击，同样，NGFW也不能阻拦被欺诈软件入侵的终端设备或者业务逻辑攻击等。因此，仅仅依靠这类网络安全解决方案是无法保证应用的安全的。”Stree表示。

　　实际上，Stree的观点和NGFW概念的提出者Gartner基本一致。Gartner在今年2月发布的题为《Web应用防火墙值得企业投资》的研究报告中指出，对于大部分公共网站、内部关键业务以及自定义Web应用而言，防火墙和入侵防御系统所提供的保护并不够，需要借助WAF来有效地帮助企业的自定义Web应用防御网络攻击。

　　本报记者 邹大斌