何时使用 Azure Web 应用程序防火墙

  • 8 分钟

你了解什么是 Azure Web 应用程序防火墙及其工作原理。 现在需要一些条件来帮助评估 Azure Web 应用程序防火墙是否适合你的公司。 为了帮助你做出决定,让我们考虑以下场景:

  • 你有包含敏感数据或专有数据的 Web 应用。
  • 你有需要用户登录的 Web 应用。
  • Web 应用开发人员缺乏安全专业知识。
  • 您的 Web 应用开发人员有其他优先事项。
  • 你有 Web 应用开发预算限制。
  • 你有 Web 应用开发时间限制。
  • Web 应用必须快速生成和部署。
  • 您的网络应用程序启动将备受关注。

作为 Azure Web 应用程序防火墙评估的一部分,你知道 Contoso 适合其中几个方案。 阅读相应章节了解更多详细信息。

你有包含敏感数据或专有数据的 Web 应用

一些网络攻击者的唯一动机就是挑战闯入系统。 但是,大多数恶意黑客使用注入、协议攻击和类似攻击,并考虑到回报。 该回报可能是以下任一项:

  • 客户信用卡号
  • 敏感信息,如驾照号码或护照号码
  • 专有或机密公司数据

攻击者可能会直接使用此数据。 例如,用户可以用被盗的信用卡号购买商品。 然而,更有可能的是,攻击者会在黑市上出售这些数据或者将数据作为勒索的筹码。

如果公司运行一个或多个存储敏感或专有数据的 Web 应用,Azure Web 应用程序防火墙可以保护这些数据免受入侵和外泄尝试的影响。

你有需要用户登录的 Web 应用

Web 应用攻击者经常尝试获取帐户用户名和密码。 攻击者可以通过以下方式利用用户帐户凭据:

  • 攻击者可以作为授权用户访问应用。
  • 攻击者可能能够使用提升的权限运行脚本或命令。
  • 攻击者可能能够访问网络的其他部分。
  • 攻击者可能能够使用帐户的凭据登录到其他站点和服务。

你的企业是否使用需要用户登录的 Web 应用? Azure Web 应用程序防火墙可以检测尝试显示或窃取帐户凭据的漏洞,例如 SQL 注入和本地文件包含。

重要

请记住,Azure Web 应用程序防火墙只是多管齐下网络安全策略的一个方面。 对于登录数据,该策略可能包括具有严格的密码要求,并将密码存储为加密形式。

Web 应用开发人员缺乏安全专业知识

针对各种潜在 Web 应用攻击进行编码需要大量的专业知识。 此专业知识包括详细了解以下概念:

  • HTTP/HTTPS 请求和响应的一般结构
  • 特定的 HTTP/HTTPS 请求类型,例如 GET、POST 和 PUT
  • URL 和 UTF 编码
  • 用户代理、查询字符串和其他变量
  • 多个服务器操作系统的命令、路径、shell 和类似数据
  • 前端 Web 技术,如 HTML、CSS 和 JavaScript
  • 服务器端 Web 技术,如 SQL、PHP 和用户会话

如果公司的 Web 开发团队在这些概念中缺乏知识,该怎么办? 在这种情况下,您的 Web 应用易受多种漏洞攻击。 相比之下,Microsoft安全专家团队维护和更新 Azure Web 应用程序防火墙。

Web 应用开发人员具有其他优先级

公司不太可能将 Web 应用部署为阻止 SQL 注入和远程命令执行等攻击的唯一目的。 更可能你的公司有一些其他用途的 Web 应用。 此目的可能是销售产品、提供服务或推广业务。

你希望 Web 开发团队专注于实现这些目的,而不是编写可靠的应用安全代码。 借助 Azure Web 应用程序防火墙,可以让Microsoft管理安全性,而团队则专注于业务。

你有网页应用开发预算限制

对所有 OWASP 漏洞进行内部编码是一个昂贵的主张。 具有必要安全专业知识的 Web 开发人员相对罕见。 这些开发人员能够获得比缺乏这种专业知识的同事更高的薪水。

此外,针对各种 Web 应用攻击进行编码并不是一次性的主张。 当新的或经过修改的漏洞被发现时,你的团队必须不断维护和更新其安全程序。 安全专家必须成为 Web 开发团队的常任理事国,并且成为预算中的永久行项。

Azure Web 应用程序防火墙不是免费的。 但是,你可能会发现,它比聘请一个全职 Web 安全专家团队更具成本效益的解决方案。

你有 Web 应用开发时间限制

许多 Web 开发团队针对所有 OWASP 漏洞进行内部编码。 但是,其中大多数团队很快意识到创建和维护此代码非常费力和耗时。 如果你试图赶上推出新 Web 应用的严格截止日期,那么为了保护应用免受所有 OWASP 漏洞攻击所需的数千个工时是一个主要障碍。

可以在几分钟内使用 Azure Web 应用程序防火墙配置 Azure 应用程序网关实例或 Azure Front Door 配置文件。

Web 应用必须快速生成和部署

许多 Web 应用不需要完整的开发处理。 例如,请考虑以下两种应用类型:

  • 概念证明:应用仅用于证明某些技术、建议或设计是可行的。
  • 最低可行产品(MVP):应用仅包含足够的功能,供早期采用者提供未来版本的反馈。

概念证明和 MVP Web 应用都旨在快速创建和部署。 在这些情况下,针对常见漏洞手动编写代码并不有意义。 你仍希望保护这些应用免受恶意参与者的侵害,因此将它们放在 Web 应用程序防火墙后面是有意义的。

Web 应用发布将非常引人注目

你的营销团队是否正在大力推广即将发布的 web 应用程序to-be? 他们在多个社交媒体平台上发布消息,以在发布前鼓起对应用的兴趣吗? 这很好,但你知道谁可能对你的应用发布感兴趣吗? 可能有恶意用户决定通过对应用发起一些常见攻击,以尝试中断应用的发布。

为了避免中断,使用 Azure Web 应用程序防火墙保护 Web 应用可能很有意义。