جدران الحماية، من الناحية التكنولوجية، قديمة قدم التلال. لقد كان هناك جدران حماية من ”الجيل الجديد“ أكثر من جدران الحماية من النوع الموسيقي خلال الأربعين عاماً التي كانت موجودة فيها. وهي في جوهرها تسمح أو ترفض دخول الحزم الداخلة إلى الشبكة أو الخارجة منها، وعلى الرغم من فائدتها إلا أنها لا تفعل شيئاً آخر. كل جيل يضيف شيئًا جديدًا إلى مزيج السياسات الذي يقرر ما ”يدخل من الباب“ ولكن الحارس الأفضل معرفةً لا يزال مجرد حارس. لا يزال تحديد هوية المستخدم، أو اكتشاف التطفل، أو الوقت من اليوم، أو الأحذية، أو استخدام النطاق الترددي، أو نمط الشعر، أو حالة جلسة TCP لا تحدد ما إذا كان هناك شيء آمن أو يمكن الوثوق به.
أدخل ”المصلح“ الذي يعرف (أو على الأقل يمكنه معرفة) المزيد عن المقامرين وما قد يكونون بصدده – جدار حماية تطبيقات الويب أو WAF. انسَ من يُسمح له بالدخول، يحدد جدار حماية تطبيقات الويب السلوكيات المقبولة وغير المقبولة بمجرد دخولك إلى المحيط. باستخدام WAF، فإن وظائف التطبيق والمدخلات والمخرجات هي ما يُسمح به أو يُرفض، وليس الوصول.
من الواضح أن هذا نهج أكثر تطوراً وعمقاً من الاختيار الثنائي بين السماح أو الرفض. فهو يسمح بالتحكم الدقيق وتنفيذ سياسة الأمن بطريقة أكثر دقة وتنفيذ سياسة الأمن بطريقة أكثر دلالة، بل يمكن أن نقول بطريقة طبيعية. إذا كان موقع الويب يوفر معلومات للقراءة أو التنزيل فقط، فإن WAF يسمح لك بضمان عدم تحميل أي ملفات إلى الخوادم التي توفرها. قد تكون خوادمك تستخدم واجهة SQL الخلفية ولكن هذا ليس سببًا يدعو العملاء إلى تضمين استعلامات SQL في الطلبات. باختصار، سوف يحميك WAF من مستخدم خبيث – مستخدم خبيث سمح له جدار حماية ”الشبكة“ الخاص بك بالمرور بالفعل، لأنه لا يملك أي طريقة لمعرفة الفرق بينه وبين مستخدم حميد.
إن وحدة WAF، المتوفرة مع إصدار موازن التحميل المتقدم ALB-X، هي أول وحدة نمطية أصدرناها كحاوية Docker. هذا اتجاه جديد ومثير وتماشياً مع روحنا، فهو بسيط قدر الإمكان. ليس هناك حاجة لأن تفهم تعقيدات Docker أو الحاويات لاستخدامه. نظرًا لأنها حاوية، يمكن تثبيت WAF وترقيتها بشكل مستقل عن برنامج ALB-X – لا حاجة لإعادة التشغيل. يمكنك أيضًا تشغيل حاويات WAF متعددة لتطبيق سياسات مختلفة على خدمات مختلفة وتحسين العزل. باختصار، هناك الكثير من المرونة التي يمكن استغلالها مع هذا النهج.
في هذا السياق، هناك العديد من خيارات التنفيذ المتاحة اعتمادًا على ما إذا كنت ترغب في حماية حركة المرور غير المشفرة أو المشفرة (HTTPS) (والتي يجب فك تشفيرها للسماح بفحصها). مع HTTPS يمكنك اختيار إعادة تشفير حركة المرور قبل إرسالها إلى خادم حقيقي.
توفر وحدة WAF الحماية من التطبيقات القائمة على الويب سيئة الترميز ونقاط ضعفها، ولكن في الحقيقة، لا ينبغي اعتبارها حلاً شاملاً للتطبيقات سيئة الكتابة ذات الثغرات؛ يجب معالجة السبب وليس الأعراض. لا تنس أن النهج المترابط والمتعمق هو أفضل وسيلة دفاعية. فملفات تعريف الارتباط المصاغة بشكل صحيح وقواعد إدارة حركة مرور مسار الرحلة وعناوين HTTP المناسبة والقيود وغيرها من الأدوات مجتمعةً أفضل بكثير من جدار واحد يبدو منيعًا. قم بتأمين كل ما يمكنك تأمينه وقد يتبع ذلك أمان حقيقي.
ضع في اعتبارك الحزم وحركة المرور (عناوين IP والمنافذ) والبروتوكولات والتطبيقات والخدمات والمعاملات. اعتمد أكثر من اللازم على الحماية لعنصر واحد فقط وربما تكون في ورطة. وعلى نفس المنوال الحذر، ضع في اعتبارك ما يلي;
- على الرغم من أن تطبيق WAF على دراية بالتطبيق، إلا أنه لا يمكنه فعل الكثير، فهو ليس على دراية بكيفية عمل تطبيقك أو مثاليتك لكيفية عمله.
- يستخدم WAF ”قاعدة قواعد“ شائعة تستند إلى عدد من الافتراضات التي قد لا تكون مناسبة لتطبيقك (على سبيل المثال لا يُسمح بتحميل الملفات) – اختبرها بشكل مناسب باستخدام وضع الكشف الافتراضي قبل طرحها للإنتاج
- قد لا يتم احتساب الابتكارات الأحدث مثل AJAX و HTML5 وغيرها أو حمايتها
كما هو الحال مع معظم ميزات ALB-X، فإن الفائدة الكبيرة لتطبيقها على ALB-X هي أنه لا يتعين علينا القيام بذلك إلا في مكان مركزي واحد لحماية جميع خوادمنا. لا نحتاج إلى الاعتماد على المطورين أو إعادة تكوين خادم الويب. لا يستغرق تحديث مجموعة قواعد WAF (قائمة السلوكيات غير المقبولة) سوى بضع نقرات أيضًا، ولا يلزم القيام به سوى مرة واحدة بغض النظر عن عدد الخوادم التي تقوم بتشغيلها.
يمكن العثور على مزيد من المعلومات حول WAF هنا – وهو تطور جديد ومثير آخر نشجعك على الاطلاع عليه. يوجد دليل تثبيت متعمق هنا.
اختبر قيادتها عبر الإنترنت الآن
يسمح جدار حماية تطبيقات الويب بالتحكم الدقيق في سياسة الأمان وتنفيذها، بما في ذلك إدارة ما هو مسموح به أو مرفوض في وظائف التطبيق والمدخلات والمخرجات.
