Webアプリケーションファイアウォール(WAF)は、死んでいる彼らが言うと、DevOpsチームはそのシャツにその手に刃と飛び散ったコードでサーバールームで体の上に見つかった犯人です。しかし、DevOpsには手段、動機、機会があると主張する人もいるかもしれませんが、実際には、WAFはまったく死んでおらず、すぐに死ぬ可能性もありません。

WAFが死んだ

WAFを取り除くことができるのは、開発プロセスにセキュリティを完全に実装し、コードレビューと年次テストを介してプロセスを監査する場合のみです。ただし、DevSecOpsをエンタープライズ環境のすべてのWebアプリに現実的に実装できるわけではないため、WAFにはまだやるべきことがあるので、WAFは固執します。

WAFは死んでいません、何が残っていますか?

DevOpsと継続的インテグレーションおよび継続的デプロイ(CI / CD)パイプラインは、特にアジャイル手法にセキュリティスプリントが含まれている場合に、セキュリティを実装する絶好の機会を提供します。これにより、セキュリティを最初からアプリに組み込むことができます。これは、後で適用する従来のルートを採用するのではなく、非効率的であるだけでなく、CI / CDの猛烈なペースで、見落とされたり、無視されたり、忘れられたりする可能性があります。

すべてのWebアプリのセキュリティは最初から組み込まれている必要がありますが、私たちの経験では、通常、会社の主要な顧客ポータルやクライアント支払いシステムなどの「王冠の宝石」にのみ適用されます。エンタープライズ環境では、コードが維持されなくなった古いアプリや、買収によって統合されたアプリを企業が実行することは珍しくありません。

さらに、R&Dやマーケティングなどの部門は、カスタムまたはサードパーティのアプリケーションを頻繁に実装しています。このアプリの急増により、組織内の公開Webアプリケーションの50%以上がDevOpsまたは他の異なるITグループによって管理される可能性があります。これらのアプリには、WAFの出番である追加の緩和制御が必要になります。

DevOpsセキュリティの限界

Webアプリケーションが企業の重要な部分になったとき、Webアプリケーションファイアウォールはセキュリティの不可欠な層になりました。大部分が静的なネットワーク環境を保護するように設計された単一のネットワークファイアウォールでは、もはや十分ではありませんでした。WAFは各アプリケーションに固有であるため、異なる保護が必要です。フィルタリング、監視、およびポリシーの適用(悪意のあるトラフィックのブロックなど)は、価値のある保護を提供しますが、コストに影響を与え、コンピューティングリソースを消費します。DevOpsが提供するクラウド環境では、更新と変更の絶え間ない流れでWAFを最新の状態に保つことは困難です。

CI / CDパイプラインにセキュリティを導入すると、その問題を解決できますが、その方法で開発されているアプリのみが対象となります。古いサードパーティのアプリやさまざまな部門で展開されているアプリケーションにセキュリティスプリントを組み込むことは不可能です。これらのアプリが存在するだけでも、企業にリスクが生じます。それらは依然として保護する必要があり、WAFは依然として最良の選択肢である可能性があります。

サイバーセキュリティへのアプローチは完璧ではなく、アジャイルDevOps手法だけでは十分ではないことを覚えておくことも重要です。古いアプリやサードパーティのアプリがないと考えられている環境でも、他のグループが何を行っているのか、または展開しているのかを確認することはできません。シャドーITは企業にとって永続的な問題です。セキュリティスプリント、コードレビュー、およびその他の手順に加えて、少なくとも年に1回は侵入テストを実行することをお勧めします。

侵入テストは、倫理的ハッキングとも呼ばれ、システム、ネットワーク、およびWebアプリへのサイバー攻撃をシミュレートして、ハッカーが悪用する可能性のある脆弱性を明らかにします。侵入テストは、組織にセキュリティ態勢の現実と期待を同期させる絶好の機会を提供します。

WAFは生きています

Webアプリケーションにセキュリティを積極的に組み込むアジャイルなDevOpsアプローチは、ベストプラクティスと見なす必要があります。これにより、セキュリティがCI / CDパイプラインの革新の速度に対応し、セキュリティチームと運用チーム間のコラボレーションの文化を構築し、サイバーセキュリティをビジネスニーズに合わせることができます。ただし、企業レベルでは、サポートされていない古いアプリケーション、サードパーティの追加、および開発チームの範囲外で行われる可能性のある他の部門による独立した活動が存在するため、セキュリティを全面的に適用することは不可能です。

WAFの終焉の報告は非常に誇張されています。レガシーアプリがDevOps環境の外部に存在する限り、またはDevOpsチームゼロからセキュリティ完全に実装していない限り(これはまだかなり一般的です)、アプリケーションを保護し、攻撃を軽減する他の手段が必要になります。少なくとも当面の間、WAFはここにとどまります。

コメントをどうぞ