本地 WAF 已死，云 WAF 永生

多年来，Web 应用程序防火墙 (WAF) 一直是应用程序保护的代名词。事实上，许多应用程序安全团队认为保护其应用程序的最佳选择是一流的本地 WAF 解决方案，尤其是当这些应用程序部署在本地或私有云中时。 

但自从引入本地 WAF 以来，开发、部署和使用应用程序的环境发生了根本性的变化。现在是我们检查本地 WAF 是否仍然是应用程序保护的最佳解决方案的时候了或者是时候进行一些新的尝试了。

让我们考虑一下当今的应用程序威胁形势。

根据最新研究，云 WAF 服务阻止的 Web 应用程序交易总数在 2021 年至 2022 年期间增长了 128%，大大超过了 2020 年至 2021 年期间 88% 的攻击增幅。

鉴于威胁形势的非常规变化，很明显保护应用程序需要的不仅仅是传统的本地 WAF。防御越来越多的跨多个向量的攻击不仅需要 WAF（保护应用程序漏洞），还需要 API 保护、机器人管理和 DDoS 保护（具有第 7 层 DDoS 保护能力）。

请务必注意，这些解决方案的好坏取决于管理它们的应用程序保护专家。

然而，威胁形势的升级并不是导致本地 WAF 消亡的唯一变化。从历史上看，应用程序是单一的，只部署在私有数据中心。如今，它们部署在多个环境中：传统数据中心、云（公共或私有）或两者兼而有之。

应用程序架构也在发生变化。

几十年来，大多数都基于单一的整体应用程序代码库。如今，应用程序使用微服务架构和许多广泛依赖 API 进行通信的集成第三方服务。

使情况更加复杂的是，许多应用程序依赖于在客户端浏览器中运行代码，这使得客户端设备也成为应用程序的一部分。

在这种不断发展的架构中保护应用程序只是仅仅依赖传统的本地 WAF 不再足够的另一个原因，即使它可以部署在整个组织的云环境中。

鉴于当今的应用程序和威胁形势，自我管理的本地 WAF 面临更多挑战。

管理开销：在越来越多的环境中保护越来越多的应用程序所涉及的管理开销几乎变得不可能。

网络专家短缺：随着威胁向量列表的增加和攻击变得更加复杂，管理网络安全各个方面所需的专业知识水平呈指数级增长。

这就是症结所在：安全专家跟不上。网络安全劳动力研究表明，70% 的组织的网络安全团队面临技能短缺。

造成短缺的原因之一是现有团队因工作量大而倦怠率高。这给许多需要保护其应用程序和架构的组织带来了巨大挑战。

保护质量：WAF 的好坏取决于为其配置的安全策略。本地 WAF 仅根据其保护的本地应用程序生成安全策略；这可能非常有限。

此外，在覆盖机器人和 API 域的同时优化和最大化应用程序保护需要机器学习和基于人工智能的算法，而这些算法不适用于本地 WAF 设备。

保护所有应用程序表面：随着应用程序架构的发展，仅保护一个环境（应用程序服务器）已经不够了。可以从多个入口点访问新的应用程序架构，所有这些都需要保护。这包括服务器、云、第三方 API 和客户端。老派的本地 WAF 无法为所有这些接入点提供保护。

敏捷性和可扩展性：推出新的应用程序保护服务是一项劳动密集型任务。确保服务不会破坏应用程序并有效保护它会消耗更多资源。

这会影响组织的整体敏捷性。请记住，应用程序保护是一项计算密集型功能，而扩展它会带来限制敏捷性的额外挑战。

希望现在很明显，使用自我管理的本地 WAF 保护应用程序不再是一个有效的选择。与之相关的管理开销，加上全球网络安全专家的短缺，造成了大多数公司根本无法接受的瓶颈，更不用说它们会损害应用程序保护和安全性。

随着当今快速发展的应用程序架构，本地 WAF 根本无法提供单一、一致的解决方案来保护应用程序，无论它们部署在什么环境中。

当今的应用程序环境及其支持的业务需要一系列新的保护解决方案。提供最佳攻击覆盖范围的云应用程序保护服务包括：

• 先进的云 WAF 引擎，具有自动策略生成，包括正面和负面
• 具有自动端点发现的 API 保护模块
• 机器人管理模块
• 应用程序 DDoS 保护服务
• 客户端保护服务

但即使是这些工具，也只有在正确配置的情况下才有效。这就是为什么顶级云 WAF 服务不仅配备基于 AI 的算法来自动化操作，还配备专家团队来监督这些操作。保持对应用程序保护服务的完全控制和可见性也是确保成功的必要条件。

归根结底，有两个重要的考虑因素将使组织能够判断是否是时候切换到云 WAF 服务了。

第一，云WAF服务是否提供了更好、更全面的应用保护？

其次，云 WAF 服务是否降低了应用程序保护解决方案的总体拥有成本？

对于当今大多数组织而言，这两个问题的答案都是响亮的回答“是！”