使用 Azure Web 應用程式防火牆的時機
您了解什麼是 Azure Web 應用程式防火牆及其運作方式。 現在您需要一些準則,以協助評估 Azure Web 應用程式防火牆是否為適合您公司的選擇。 為了協助您決定,讓我們考慮下列案例:
- 您有包含敏感性或專屬資料的 Web 應用程式
- 您有需要使用者登入的 Web 應用程式
- 您的 Web 應用程式開發人員缺乏安全性專業知識
- 您的 Web 應用程式開發人員有其他優先考量
- 您有 Web 應用程式開發預算限制
- 您有 Web 應用程式開發時間限制
- 您的 Web 應用程式必須快速建置和部署
- 您的 Web 應用程式上市將受到高度矚目
在評估 Azure Web 應用程式防火牆的過程中,您知道 Contoso 符合上述幾個案例。 如需詳細資料,請參閱對應章節。
您有包含敏感性或專屬資料的 Web 應用程式
有些 Web 攻擊者的動機只是為了挑戰系統入侵。 不過,大多數惡意駭客使用插入式攻擊、通訊協定攻擊和類似惡意探索的目的是為了報酬。 該報酬可能是下列任何一項:
- 客戶信用卡號碼
- 敏感性個人資訊,例如駕照號碼或護照號碼
- 專屬或機密公司資料
攻擊者可能會直接利用此資料。 例如,使用者可能會利用竊取的信用卡號碼購買商品。 不過,攻擊者更可能會在黑市販售資料,或挾持資料進行勒索。
如果您的公司執行一或多個儲存敏感性或專屬資料的 Web 應用程式,Azure Web 應用程式防火牆可保護該資料免於遭受入侵和外流嘗試攻擊。
您有需要使用者登入的 Web 應用程式
Web 應用程式攻擊者通常會嘗試取得帳戶使用者名稱和密碼。 擁有使用者帳戶認證在下列方面對攻擊者很有用:
- 攻擊者可以利用授權使用者身分存取應用程式。
- 攻擊者可能會以較高的權限執行指令碼或命令。
- 攻擊者可能會存取網路的其他部分。
- 攻擊者可能會使用帳戶的認證登入其他網站和服務。
您的企業是否使用需要使用者登入的 Web 應用程式? Azure Web 應用程式防火牆可以偵測嘗試顯示或竊取帳戶認證的惡意探索,例如 SQL 插入式攻擊和本機檔案包含攻擊。
重要
請記住,Azure Web 應用程式防火牆只是多方面網路安全性策略的其中一個層面。 針對登入資料,該策略也可能包括具備嚴格的密碼需求,以及使用加密形式儲存密碼。
您的 Web 應用程式開發人員缺乏安全性專業知識
若要撰寫程式碼以防止各種潛在的 Web 應用程式惡意探索,需要具備大量的專業知識。 這項專業知識包括對下列概念的詳細了解:
- HTTP/HTTPS 要求和回應的一般結構
- 特定 HTTP/HTTPS 要求類型,例如 GET、POST 和 PUT
- URL 和 UTF 編碼
- 使用者代理程式、查詢字串及其他變數
- 多部伺服器作業系統的命令、路徑、殼層和類似資料
- 前端 Web 技術,例如 HTML、CSS 和 JavaScript
- 伺服器端 Web 技術,例如 SQL、PHP 和使用者工作階段
如果您公司的網頁程式開發小組缺乏對上述一或多個概念的了解,會發生什麼情況? 在該情況下,Web 應用程式就很容易受到多項惡意探索的攻擊。 相較之下,Azure Web 應用程式防火牆是由 Microsoft 安全性專家小組維護和更新。
您的 Web 應用程式開發人員有其他優先考量
您的公司不太可能只是為了防堵惡意探索 (例如 SQL 插入式攻擊和遠端命令執行) 就部署其 Web 應用程式。 更可能情況是您公司的 Web 應用程式有一些其他目的。 該目的可能是銷售產品、提供服務或推廣您的業務。
您可能想要讓網頁程式開發小組專注於達成這些目的,而不是撰寫強固的應用程式安全性程式碼。 使用 Azure Web 應用程式防火牆,您可以讓 Microsoft 管理安全性,同時讓小組專注於您的業務。
您有 Web 應用程式開發預算限制
在內部撰寫程式碼以防止所有 OWASP 惡意探索是成本很高的提議:
- 具備必要安全性專業知識的網頁程式開發人員相當罕見。 這些開發人員薪資所得可能高於缺乏這類專業知識的同事。
- 撰寫程式碼以防止各種 Web 應用程式惡意探索不是僅限一次的提議。 小組必須隨著新的或經修改過的惡意探索變成已知,持續維護並更新其安全性程式碼。 您的安全性專家必須成為網頁程式開發小組的永久成員,而這會是一項永久預算。
Azure Web 應用程式防火牆不是免費的。 不過,您可能會發現,相較於雇用全職的 Web 安全性專家小組,這是更符合成本效益的解決方案。
您有 Web 應用程式開發時間限制
許多網頁程式開發小組是在內部撰寫程式碼以防止所有 OWASP 惡意探索。 不過,這些小組大多數很快就會發現建立和維護此程式碼既費力又耗時。 如果新 Web 應用程式的上市期限很急迫,則保護應用程式免於遭受所有 OWASP 惡意探索所需的數千小時人力會是一大阻礙。
您可以使用 Azure Web 應用程式防火牆,在幾分鐘內設定 Azure 應用程式閘道執行個體或 Azure Front Door 設定檔。
您的 Web 應用程式必須快速建置和部署
許多 Web 應用程式不需要進行完整的開發處理。 例如,請考慮下列兩種應用程式類型:
- 概念證明:此應用程式只是為了證明某些技術、提案或設計是否可行。
- 最小可行性產品 (MVP):此應用程式僅包含足以讓早期採用者使用的功能,以針對未來版本提供意見反應。
概念證明和 MVP Web 應用程式都必須快速建立和部署。 在這些情況下,手動撰寫程式碼以防止常見的惡意探索並不合理。 您仍然想要保護這些應用程式免於遭受惡意執行者的攻擊,因此合理的做法是將其放在 Web 應用程式防火牆後方。
您的 Web 應用程式上市將受到高度矚目
您的行銷小組是否要大力宣傳即將發行的 Web 應用程式? 他們是否要在多個社交媒體平台上張貼訊息,以便在應用程式發行前就激發興趣? 這很好,但您知道誰也可能對應用程式發行有興趣嗎? 惡意使用者可能會決定對應用程式發動一些常見的攻擊,以嘗試中斷應用程式發行。
為了避免中斷,可能的合理做法是使用 Azure Web 應用程式防火牆保護 Web 應用程式。