فایروال اپلیکیشنهای تحت وب (Web Application Firewall – به اختصار WAF) انواع مختلفی دارند و هر یک بر اساس برنامه کاربردی و الزامات امنیتی سازمان، گزینههای مختلفی را جهت نصب و استقرار ارائه میدهند.
برای درک بهتر این مطلب پیشنهاد میشود ابتدا مقاله WAF چیست؟ و از چه تهدیداتی جلوگیری می کند؟ را مطالعه نمایید.
WAF دارای سه نوع اصلی است:
- WAF مبتنی بر ابر
- WAF مبتنی بر نرمافزار
- WAF مبتنی بر سختافزار
هر یک از انواع WAF مزایا و معایب خاص خود را دارند.
در نهایت، WAF بخشی از یک استراتژی امنیتی بزرگتر به نام حفاظت از برنامهکاربردی تحت وب و API (Web Application and API Protection – به اختصار WAAP) میباشد. WAAP که در اصل توسط موسسه گارتنر (Gartner) ابداع شد، در مقابل استراتژی منسوخ و ابزارهای امنیتی ناهمگن و قدیمی، بازار WAF را به رویکردی جامعتر و یکپارچهتر جهت حفظ امنیت برنامههای کاربردی تحت وب تعریف نموده و توسعه داده است. WAAP دارای چهار قابلیت اصلی است:
سه نوع معماری WAF
WAF مبتنی بر سختافزار
یک WAF مبتنی بر سختافزار از طریق یک ابزار سختافزاری مستقر میشود که به صورت محلی در شبکه و نزدیک به سرورهای برنامهکاربردی تحت وب نصب شده است.
WAF مبتنی بر نرمافزار
WAF مبتنی بر نرم افزار، ابزاری مجازی است که به صورت محلی یا در بستر ابری برنامهکاربردی میزبانی میشود.
WAF مبتنی بر ابر
WAF مبتنی بر ابر، توسط یک ارائهدهنده سرویس، مدیریت شده و WAF را به عنوان یک سرویس امنیتی ارائه میدهد.
WAF مبتنی بر ابر
WAF مبتنی بر ابر بسیار مقرون به صرفه بوده، پیادهسازی آن نیز آسان است و میتواند به سرعت نصب شود. WAF مبتنی بر ابر تنها به حداقل هزینههای اولیه نیاز دارد و معمولاً مستلزم خریداری اشتراک آن میباشد.
WAF مبتنی بر ابر به اطلاعات تهدیدات جدید که دائماً بهروزرسانی میشوند نیز دسترسی دارد و همچنین قادر است سرویسهای مدیریتشده را جهت تعریف قواعد امنیتی و پاسخ به حملات احتمالی ارائه دهد.
در حالت ایدهآل، یک WAF مبتنی بر ابر باید گزینهای را جهت نصب به صورت In-line، مبتنی بر API و یا به عنوان یک سرویس خارج از مسیر (Out-Of-Path – به اختصار OOP) فراهم کند.
استقرار OOP مبتنی بر API چندین مزیت منحصر به فرد دارد که آن را قادر میسازد در بسترهای چند ابری، بسترهای درون سازمانی، بسترهای ترکیبی و غیره بهینه شود. به دلایلی که در ادامه عنوان میکنیم، در سالهای اخیر، فایروالهای WAF مبتنی بر ابر، گزینه غالب برای اکثر سازمانها و در سطح جهانی تبدیل شدهاند.
کاربرد WAF مبتنی بر ابر
فایروالهای WAF مبتنی بر ابر به انتخابی محبوب برای سازمانها با هر اندازه و مقیاسی، از شرکتها گرفته تا مشاغل کوچک تبدیل شدهاند زیرا میتوانند سطوح بالایی از امنیت را با حداقل هزینه سرمایهگذاری اولیه و بدون نیاز به متخصصان امنیتی در درون سازمان ارائه دهند.
مزایا و معایب WAF مبتنی بر ابر
فایروالهای WAF مبتنی بر ابر دارای مزایا و معایب متعددی هستند که یک خریدار باید آنها را در نظر بگیرد.
مزایا
- مقرون به صرفه
- پیاده سازی / استقرار آسان
- حداقل سرمایهگذاری اولیه
- حفاظت مستمر / مدیریت متمرکز و گزارشدهی در تمامی بسترها
- مبتنی بر خریداری اشتراک یا “امنیت به عنوان یک سرویس”
- بهروزرسانی خودکار توسط ارائهدهنده ثالث
- بهترین گزینه جهت استقرار در بسترهای چند ابری
معایب
- برخی صنایع (مانند سازمانهای دولتی یا صنایع دفاعی) ملزم به حفظ تمامی زیرساختها و دادهها در محل و درون سازمان هستند؛ در نتیجه فایروالهای WAF مبتنی بر ابر گزینه مناسبی برای آنها نمیباشد.
- اکثر فایروالهای WAF مبتنی بر ابر نیاز به تغییر مسیر ترافیک برنامهکاربردی دارند، در نتیجه احتمالاً تأخیر افزایش مییابد.
WAF مبتنی بر نرمافزار
فایروالهای WAF مبتنی بر نرمافزار جایگزینی برای WAF مبتنی بر سختافزار میباشند.
یک WAF مبتنی بر نرمافزار، WAF را بهعنوان ابزاری مجازی یا یک Agent، به صورت محلی (درون سازمان)، در یک ابر خصوصی یا در یک ابر عمومی اجرا میکند. علاوه بر این، فایروالهای WAF دیگری نیز وجود دارند که به طور خاص برای جاسازی در بسترهای میکروسرویس مبتنی بر Container مانند Kubernetes جهت محافظت از East-west traffic طراحی شدهاند.
کاربرد WAF مبتنی بر نرمافزار
فایروالهای WAF مبتنی بر نرمافزار معمولاً توسط سازمانهایی با برنامههای کاربردی میزبانی شده در مراکز داده ابری خصوصی و / یا عمومی مورد استفاده قرار میگیرند. آنها همچنین میتوانند در سازمانهایی که بودجه و/ یا توانایی پشتیبانی از فایروالهای WAF مبتنی بر سختافزار را ندارند و میخواهند WAF خود را مدیریت کنند یا تمایلی به استفاده از WAF مبتنی بر ابر ندارند، بکار گرفته شوند.
مزایا و معایب WAF مبتنی بر نرمافزار
فایروالهای WAF مبتنی بر نرمافزار دارای مزایا و معایب متعددی هستند که هنگام خریداری باید در نظر گرفته شوند.
مزایا
- گزینههای سفارشیسازی مضاعف (اگر متخصص امنیت و/ یا راهکارهای امنیتی درون سازمان خود دارید)
- هزینههای اولیه، نصب و نگهداری کمتر از فایروالهای WAF مبتنی بر سختافزار
معایب
- پیادهسازی پیچیده
- نیاز به نصب کد روی سرور برنامه دارد
- برای اجرای موثر به منابع سرور برنامهکاربردی متکی است
- بهروزرسانیها باید توسط کاربر نهایی مدیریت شوند
WAF مبتنی بر سختافزار
یک WAF مبتنی بر سختافزار – معمولاً WAF مبتنی بر شبکه نیز نامیده میشود – به صورت محلی روی یک شبکه نصب میشود. اینها اغلب گرانترین فرمهای WAF هستند زیرا نیاز به نگهداری و فضای ذخیرهسازی دارند. هدف اصلی آنها به حداقل رساندن میزان تاخیر میباشند.
در سالهای اخیر، فایروالهای WAF مبتنی بر سختافزار به طور فزایندهای منسوخ شدهاند و WAFهای مبتنی بر ابر به نوع غالب در سازمانها تبدیل شدهاند.
کاربرد WAF مبتنی بر سختافزار
فایروالهای WAF مبتنی بر سختافزار معمولاً توسط سازمانهای بزرگی مورد استفاده قرار میگیرند که بودجه و منابع لازم برای مدیریت لوازم داخلی و زیرساخت فناوری اطلاعات را دارند.
بهعلاوه، سازمانها زمانی که سرعت و عملکرد برنامهها برایشان حیاتی است یا هنگام اجرای برنامههای کاربردی حساس در بسترهای درون سازمانی، مانند مؤسسات دولتی، آژانسهای امنیت ملی و صنایع دفاعی از WAFهای مبتنی بر سختافزار استفاده میکنند.
مزایا و معایب WAF مبتنی بر سختافزار
فایروالهای WAF مبتنی بر سختافزار دارای مزایا و معایب متعددی هستند که هنگام خرید WAF باید در نظر گرفته شوند.
مزایا
- کاهش تاخیر
- دارای قابلیت تنظیم و شخصیسازی
- کاملاً Air-gap
معایب
- نیاز به هزینه و سرمایه اولیه بالا
- هزینههای نگهداری مداوم
- هزینههای عملیاتی / سربار بالای فناوری اطلاعات
- بهروزرسانی و نگهداری توسط کاربر نهایی انجام و مدیریت میشود
جمع بندی
WAF مبتنی بر ابر | WAF مبتنی بر نرمافزار | WAF مبتنی بر سختافزار | |
مناسب برای | سازمانها با هر اندازه و مقیاسی | سازمانهای متوسط تا بزرگ | سازمانهای بزرگ |
مزایا |
|
|
|
معایب |
|
|
|
ویژگیها و قابلیتهای WAF
فایروالهای وب اپلیکیشن معمولاً ویژگیها و قابلیتهای زیر را ارائه میدهند:
پایگاههای داده حملات مبتنی بر امضاء
امضاهای حملات الگوهایی هستند که معمولاً ترافیک مخرب را نشان میدهند، از جمله انواع درخواست، پاسخهای غیرعادی سرور و نشانیهای IP مخرب شناخته شده. WAFها درگذشته عمدتاً به پایگاههای داده الگوی حملات متکی بودند که در برابر حملات جدید یا ناشناخته مؤثر نبودند.
تحلیل الگوی ترافیک مبتنی بر هوش مصنوعی
الگوریتمهای هوش مصنوعی، جهت شناسایی ناهنجاریهای نشاندهنده حملات، تحلیل رفتاری الگوهای ترافیک را با استفاده از خطوط پایه رفتاری برای انواع مختلف ترافیک امکانپذیر میسازند. این الگوریتمها امکان شناسایی حملاتی را که با الگوهای مخرب شناخته شده مطابقت ندارند، فراهم میکند.
بازرسی برنامهکاربردی
این ویژگی، قابلیت تحلیل ساختار یک برنامه کاربردی از جمله درخواستهای معمولی، نشانیهای URL، مقادیر و انواع دادههای مجاز را فراهم میکند. این به WAF اجازه میدهد تا درخواستهای بالقوه مخرب را شناسایی و مسدود نماید.
قابلیت شخصیسازی
اپراتورها میتوانند قواعد امنیتی را جهت اعمال بر روی ترافیک برنامه تعریف کنند. این به سازمانها اجازه میدهد تا رفتار WAF را مطابق با نیازهای خود سفارشی کنند و از مسدودسازی ترافیک معتبر جلوگیری نمایند.
قابلیت همبستگی و انطباق
این قابلیت ترافیک ورودی را تحلیل نموده و آن را از طریق امضاهای حملات شناخته شده، بازرسی برنامه، تحلیل هوش مصنوعی و قواعد معمول اولویتبندی میکند تا تعیین نماید که آیا باید مسدود شوند یا خیر.
پلتفرمهای حفاظتی DDoS
شما میتوانید یک پلتفرم مبتنی بر ابر را با WAF ادغام کنید تا از حملات DDoS محافظت کند. چنانچه WAF یک حمله DDoS را شناسایی کند، میتواند ترافیک را به پلتفرم حفاظتی DDoS منتقل کند، که این به نوبه خود حجم زیادی از حملات را مدیریت میکند.
شبکههای تحویل محتوا
WAFها در لبه شبکه مستقر میشوند، بنابراین یک WAF مبتنی بر ابر میتواند یک شبکه توزیع محتوا (Content Delivery Networks – به اختصار CDN) را جهت Cache نمودن سایت بکار گرفته و زمان بارگذاری را بهبود دهد.WAF ، CDN را در چندین نقطه حضور (Points of Presence – به اختصار PoP) که در سطح جهانی توزیع شده، مستقر میکند. بنابراین از نزدیکترین PoP به کاربران سرویس ارائه میدهد.
