چرا سازمان‌ها به وب فایروال (WAF) نیاز دارند؟

امروزه، شرکت‌ها و سازمان‌ها با استفاده از اپلیکیشن‌های تحت وب و مبتنی بر فضای ابری، در حال توسعه و گسترش کسب‌وکار خود هستند. بنابراین، داشتن یک وب فایروال سریع و قدرتمند برای محافظت از آنها در برابر تهدیدات امنیتی یک امتیاز محسوب نمی‌شود، بلکه امری ضروری به حساب می‌آید.

با توسعه و پیشرفت هرچه سریع‌تر این اپلیکیشن‌های تحت وب و مبتنی بر فضای ابری، حملات و تهدیدات امنیتی نیز بسیار پیچیده و متداول شده‌اند و داده‌ها و عملیات‌های مهم و حیاتی شرکت‌ها را تهدید می‌کنند. این موضوع باعث می‌شود که به‌روزرسانی اطلاعات در مورد آخرین حملات و اقدامات حفاظتی، برای مدیران و تیم‌های امنیتی بسیار سخت و دشوار شود. در همین حال، مدیران و تیم‌های امنیتی باید برای تجارت آنلاین (از جمله، استاندارد امنیت اطلاعات در صنعت کارت پرداخت (PCI DSS))، حفاظت از وب اپلیکیشن‌های تجاری در برابر حملات رایجی هم‌چون تزریق به پایگاه داده (SQL injection)، حملات DDoS و حملات روز صفر چندجانبه (multifaceted zero-day)، الزامات اجرایی سخت‌گیرانه‌‌تری را وضع کرده و همچنین امکان اشتراک‌گذاری امن داده‌ها در محیط‌های ابری و قدیمی را فراهم کنند.

برای به کارگیری و استفاده از وب فایروال (WAF) به چه چیزی نیاز است؟

شرکت‌ها و سازمان‌ها می‌توانند ترکیبی از تکنیک‌ها و روش‌ها را به کار بگیرند تا از میزان تشخیص دقیق تهدیداتی که ترافیک متعارف یا قانونی را مسدود نمی‌کنند، اطمینان حاصل کنند. در گذشته، پرکاربردترین مدل و ساختار وب فایروال (WAF)، مدل امنیتی منفی (negative security model) بود که به جز تعاملات یا تراکنش‌هایی که تهدیدآمیز بودند، اجازه‌ی انجام تمامی تراکنش‌ها را می‌داد. در واقع، مدل امنیت منفی، از امضاها (signatures) و قواعدی استفاده می‌کرد که برای شناسایی تهدیدها و حملات شناخته شده طراحی شده‌اند. پایگاه داده‌ی قواعد امضاها، از اهمیت بالایی برخوردار هستند، چرا که قدرت و سطح حملات در طی این سال‌ها افزایش یافته است. این مدل، یک مدل عالی است که حفاظت لازم و موردنیاز را تأمین می‌کند و مانع از تهدیدهای شناخته شده‌ی معمول می‌شود. از جمله‌ی این تهدیدها می‌توان به تزریق به وب (web injections)، تهدیدهای 10 آسیب‌پذیری خطرناک در وب‌اپلیکیشن (OWASP Top 10)، تزریق اسکریپت از طریق وب‌گاه (cross-site scripting) و غیره اشاره کرد.

در سال‌های اخیر، مدل‌های امنیتی مثبت (positive security models) بیشتر مورد توجه قرار گرفته‌اند. این مدل‌ها تمامی ترافیک‌ها را مسدود می‌کنند و تنها اجازه‌ی انجام تعاملات یا تراکنش‌هایی که معتبر و ایمن هستند را می‌دهند. مدل امنیتی مثبت، مبتنی بر اعتبارسنجی دقیق محتوا و تحلیل آماری است، که می‌تواند در پیشگیری تهدیدهای روز صفر و آسیب‌پذیری در برابر دستکاری‌ها مؤثر باشد. این مدل برای اینکه واقعاً مؤثر عمل کند، به دانش عمیقی از اپلیکیشن‌ها و نحوه‌ی استفاده از آنها نیاز دارد.

چالش‌ها

چندین اقدام به هم وابسته وجود دارد که باید آنها را انجام داد

مدل‌های امنیتی مثبت و منفی، قادر به برقراری تعادل شکننده‌ای میان «امنیت» و «عملکرد» هستند. با این حال، نه مدل مثبت و نه مدل منفی، به تنهایی نمی‌تواند مقرون به صرفه‌ترین راهکار را در هر محیط یا شرایطی ارائه دهند. ایجاد یک مدل یا رویکرد مثبت و منفی یکپارچه، هنگامی که با الزامات کسب‌وکار ادغام می‌شود، می‌تواند سازمان‌ها را قادر سازد تا از هرگونه اجرای سیاست امنیتی، بیشترین بازدهی اطلاعات و سرمایه را تحقق بخشد.

اتخاذ تصمیمات مناسب برای به کارگیری وب فایروال (WAF) که به بهترین شکل اهداف کسب‌وکار را برآورده می‌کند، می‌تواند چالش‌برانگیز باشد. نیاز به زمان و منابع، معمولاً در مقابل نیاز به دانش فنی و اطمینان کافی در استفاده از محصول انتخابی قرار دارد. 

در زمان برنامه‌ریزی و ارائه‌ی پروژه‌ی اجرای سرویس وب فایروال (WAF)، چندین اقدام وجود دارد که یک مشتری باید آنها را انجام دهد:

1. ایجاد «مناسب‌ترین» استراتژی وب فایروال (WAF) و تأیید آن توسط تمامی ذی‌نفعان داخلی

2. استفاده‌ی موثر از محصول وب فایروال (WAF) برای اجرای مجموعه‌ی صحیحی از سیاست‌ها و پارامترها

3. برنامه‌ریزی برای به‌کارگیری سرویس وب فایروال (WAF) که اغلب برای بیش از صدها اپلیکیشن استفاده می‌شود.

4. برنامه‌ریزی برای عملیات‌های سرویس روزانه و مدیریت چرخه‌ی عمر در تولید.

هر اقدام، چالش‌های متداولی را مطرح می‌کند

• الزامات (یا انتظارات) امنیت سازمانی و کسب‌وکار، همواره محدودیت‌های فنی، عملیاتی و منابع را به طور کامل مدنظر قرار نمی‌دهند. بنابراین، چالش کار اینجاست که یک سازمان، پیش از اطمینان از اینکه تمامی موارد لازم برای دستیابی به هدف سطح بالا را در نظر گرفته است یا خیر، با طراحی یک استراتژی بسیار پیچیده تلاش می‌کند که دستیابی به آن هدف را عملیاتی کند. ارزیابی و تحلیل مستقل از این وضعیت، می‌تواند برای حل این چالش در بسیاری از موارد ضروری باشد.

• تعادل میان قابلیت دسترسی به اپلیکیشن (که مورد نیاز مالکان کسب‌وکار است) و سطح حفاظت مورد نیاز تیم مسئول ارشد امنیت اطلاعات (CISO)، همیشه به راحتی به دست نمی‌آید. برای مثال، مالکان کسب‌وکار به هیچ وجه نمی‌خواهند که به دلیل سختگیرانه بودن قابلیت شناسایی آسیب‌پذیری‌های مثبت کاذب (False Positive) یا سیاست‌های فایروال وب‌اپلیکیشن (WAF)، اپلیکیشن‌هایشان مسدود شوند. در اینجا نیز یک ارزیابی و تحلیل عادلانه و آگاهانه از وضعیت می‌تواند به سازمان‌ها کمک کند تا تعادل مناسب را بیابند و طرح‌هایی برای کاهش اثرات احتمالی آنها بر تولید ارائه کنند.

شرکت در دوره‌های آموزشی تأمین‌کنندگان نرم‌افزار (software-vendor training) یا گذراندن گواهی محصول بسیار توصیه می‌شود، اما هرگز جای تلاش برای تمرین در چارچوب‌ها، اهداف و محدودیت‌های حقیقی شرکت را نخواهد گرفت.

• یکی از مسائلی که مشتریان اغلب با آن درگیر هستند، نحوه‌ی تأمین امنیت تعداد زیادی از اپلیکیشن‌ها است. اما گاهی اوقات، تعداد زیاد آنها مشکل اصلی نیست. در واقع، کیفیت و کامل بودن اطلاعات موجود برای هر اپلیکیشن، می‌تواند مانع از اجرای پروژه‌ی وب فایروال (WAF) شود. این اتفاق باید باعث شود که در طراحی و استراتژی اجرایی، دقت و توجه بیشتری به خرج داده شود. داشتن تجربه در اجرای پروژه‌ی وب فایروال (WAF)، برای کشف معیارهای مربوطه و ایجاد ویژگی و دسته‌بندی اپلیکیشن‌ها و همچنین انطباق با استراتژی کلی طراحی و اجرای سرویس وب فایروال (WAF) بسیار مفید خواهد بود.

• مشتریان اغلب فراموش می‌کنند که برای اطمینان از تحقق‌پذیری و پشتیبانی، ملاحظات اولیه را در اقدامات خود مدنظر قرار دهند. احتمالاً این موضوع، متداول‌ترین اشتباهی است که آنها مرتکب می‌شوند (به عبارت دیگر، مشتریان در هنگام اجرای یک روش یا راهکار در شرایط تولید بلندمدت، بدون بررسی مفاهیم مدل انتخاب‌شده و مدل‌های پیاده‌سازی، به انجام طراحی و برنامه‌ریزی برای آن روش یا راهکار می‌پردازند). نمونه‌ی متداول و رایج آن، دست‌کم گرفتن منابع مورد نیاز برای حفظ سیاست‌های بسیار پیچیده‌ی وب فایروال (WAF) است، در حالی که کل شرایط با تغییرات منظمی در تمامی بخش‌ها مواجه است. از جمله این تغییرات، می‌توان به تهدیدات، تعدیل‌ها، انتشار اپلیکیشن و غیره نام برد.

راهکار شرکت F5

سرویس‌های حرفه‌ای شرکت F5، راهکارها را با محیط شما مطابقت می‌دهد

مجموعه‌ی جامعی از کارکردهای وب فایروال پیشرفته‌ی BIG-IP، مانند روش‌های به‌کارگیری چندگانه (از جمله سیاست‌گذاری ترافیک واقعی)، یادگیری دستی و ویژگی‌های پیشرفته‌ای همچون یکپارچه‌سازی اسکنر آسیب‌پذیری (vulnerability scanner integration)، امضاهای حمله (attack signatures)، جلوگیری از حمله جستجوی فراگیر (brute force)، پیاده‌سازی موقعیت جغرافیایی (geolocation enforcement)، تشخیص بات (bot detection)، تعدیل یا کاهش حملات DDoS و غیره، امکان تنظیمات یا پیکربندی سریع و متناسب با هدف را فراهم می‌کند که می‌تواند نحوه‌ی رسیدگی به دنیای در حال تحول تهدیدات را تغییر داده و بهبود بخشد و همچنین، مهمترین نیازهای مشتریان را برآورده سازد.

سرویس‌های حرفه‌ای شرکت F5، به طور خاص سرویس لانچ‌پد پیشرفته‌ی WAF را برای مشتریانی ایجاد کرده است که ماژول فایروال وب‌اپلیکیشن پیشرفته‌ی BIG-IP را خریداری کرده و حتی گاهی اوقات آن را تهیه کرده‌اند//ارائه می‌کنند، اما هنوز سرویس موثر وب فایروال را به کار نگرفته‌اند (برای مثال، با سیاست‌های اندکی که تنها در حالت شفاف وجود دارند).

سرویس لانچ‌پد پیشرفته‌ی WAF، می‌تواند مزایای تخصص و تجربه‌ی سرویس‌های پیشرفته‌ی شرکت F5 را برای کمک به مشتریان ارائه کند تا آنها بتوانند بر مشکلات خاص در استفاده از محصول غلبه کرده و همچنین، در پروژه‌ی اجرای فایروال وب اپلیکیشن پیشرفته‌ مشارکت داشته باشند.

محدوده خدمات F5

این سرویس شامل همکاری بین یک متخصص امنیتی از بخش سرویس‌های پیشرفته‌ی شرکت F5 و تیم‌های امنیت مشتری، زیرساخت، شبکه و مدیریت اپلیکیشن است.

هدف دوگانه‌ی این سرویس، توسعه‌ی استراتژی متناسب در اجرای سیاست وب فایروال (WAF) پیشرفته از طریق استفاده از بهترین شیوه‌ها در شرکت F5 و همچنین انتقال دانش فنی و تخصصی است که مشتری مستقیماً می‌تواند آن را به کار بگیرد.

رویکرد ارائه‌ی سرویس

ارائه‌ی این سرویس، یک تعهد یا مشارکت دو روزه است که در طی آن، به تئوری و شیوه‌ی عملکردها، به‌کارگیری‌ها و الزامات مدیریتی فایروال وب اپلیکیشن (WAF) پیشرفته پرداخته می‌شود تا اطمینان حاصل شود که مشتریان در جهت امنیت بهینه‌ی اپلیکیشن‌ها، اعتماد و توانایی اجرای راهکارهای موثر و پیشرفته‌ی WAF را در اختیار دارند.

گام اول: استراتژی طراحی و به کارگیری وب فایروال (WAF) پیشرفته

روز اول مشارکت، با یک جلسه‌ی کاری آغاز می‌شود که در آن، معماران، طراحان، مهندسان، واحدهای عملیاتی و دیگر دست‌اندرکاران امنیتی که مسئول مدیریت سیاست امنیتی پیشرفته‌ی WAF هستند، حضور دارند. مشاور شرکت F5، جمع‌آوری داده‌ها و تحلیل منصفانه‌ای از زمینه و اهداف موجود را انجام می‌دهد، توصیه‌ها و بهترین شیوه‌ها را ارائه کرده و برای توسعه‌ی استراتژی طراحی و اجرای پیشرفته، بازخوردهای کاملی را فراهم می‌کرد//می‌کند. در پایان روز اول، مشاور شرکت F5 گزارشی آماده خواهد کرد که یافته‌ها و توصیه‌هایی را مورد تأکید قرار خواهد داد.

گام دوم: ایجاد و اجرای سیاست

این گام شامل ایجاد یک سیاست و اعمال آن روی یک سرور مجازی به منظور پوشش یک وب‌اپلیکیشن خاص است. این کار را می‌توان به یک‌باره انجام داد یا می‌توان آن را به وظایف فرعی جداگانه‌ای تقسیم کرد تا با استراتژی اجرای سیاست انتخاب شده، مطابقت داشته باشند.

برای مثال، اجرای سیاست در بستر آزمایش مشتری، به همراه یک روش به‌کارگیری سریع، ممکن است در یک جلسه انجام گیرد، اما ایجاد یک سیاست با استفاده از سازنده‌ی سیاست خودکار (Automatic Policy Builder) (که در آن ترافیک «واقعی» برای بررسی در یک دوره‌ی طولانی مدت، در دسترس قرار می‌گیرد) ممکن است به یک وظیفه‌ی فرعی برای اجرای سیاست پایه و یک وظیفه‌ی فرعی دیگر برای اجرای تنظیم سیاست و انتقال به حالت مسدود کننده، تقسیم شود.

نتیجه‌گیری

پشتیبانی پویا از سوی یک مشاور ماهر، متخصص و با تجربه اغلب ثابت کرده است که بهترین راهکار برای پیشرفت و توسعه‌ی پروژه‌ی اجرای سرویس WAF به حساب می‌آید، که به مالکان WAF پیشرفته کمک می‌کند تا تصمیمات آگاهانه و کارآمدی را اتخاذ کنند.

برای کسب اطلاعات بیشتر در خصوص سرویس لانچ‌پد وب فایروال پیشرفته‌ی BIG-IP، لطفاً با بخش سرویس‌های پیشرفته‌ی شرکت F5 تماس بگیرید.