網(wǎng)絡(luò)安全業(yè)界關(guān)于“Dev（Sec）Ops當(dāng)立，WAF已死”的斷言已經(jīng)流行了一段時(shí)間，WAF（Web應(yīng)用程序防火墻）真的要退出歷史舞臺(tái)了嗎？Dev（Sec）Ops是WAF的掘墓人嗎？答案是否定的。盡管有些人可能認(rèn)為DevOps具有手段、動(dòng)機(jī)和機(jī)會(huì)，但事實(shí)是WAF不但未完全消失，而且會(huì)繼續(xù)存在很長(zhǎng)時(shí)間。

　　WAF還有什么價(jià)值？

　　DevOps以及持續(xù)集成和持續(xù)部署（CI/CD）管道為實(shí)施安全策略提供了極好的機(jī)會(huì)，尤其是開發(fā)團(tuán)隊(duì)在敏捷方法增加了安全性Sprint的情況下。Dev（Sec）Ops從一開始就將安全功能內(nèi)置到應(yīng)用程序中，而不是像傳統(tǒng)開發(fā)方法那樣亡羊補(bǔ)牢。后者不僅效率低下，而且在緊鑼密鼓的CI/CD流程往往被忽略或遺忘。

　　盡管DevSecOps從一開始就內(nèi)置所有Web應(yīng)用程序的安全性，但是經(jīng)驗(yàn)表明，它通常僅適用于“皇冠上的寶石”，例如公司的主要客戶門戶或客戶支付系統(tǒng)。在企業(yè)環(huán)境中，對(duì)于公司來說，運(yùn)行不再維護(hù)代碼的舊應(yīng)用程序或通過收購集成應(yīng)用程序的場(chǎng)景并不少見。

　　此外，研發(fā)和市場(chǎng)營(yíng)銷等部門經(jīng)常實(shí)施自定義或第三方應(yīng)用程序。這種應(yīng)用程序的激增可能導(dǎo)致組織中超過50％的面向公眾的Web應(yīng)用程序由DevOps或其他不同的IT小組進(jìn)行管理。這些應(yīng)用將需要其他威脅緩解控制，而WAF正是其中一種。

　　DevOps安全性的局限性

　　當(dāng)Web應(yīng)用程序成為企業(yè)的關(guān)鍵應(yīng)用時(shí)，WAF已成為企業(yè)安全的基石。設(shè)計(jì)用于保護(hù)很大程度上是靜態(tài)網(wǎng)絡(luò)環(huán)境的單個(gè)網(wǎng)絡(luò)防火墻已不再足夠。WAF針對(duì)特定應(yīng)用程序，提供不同的安全防護(hù)。但是WAF的過濾、監(jiān)控和策略執(zhí)行（例如阻止惡意流量）雖然提供了有價(jià)值的保護(hù)，但會(huì)帶來成本影響并消耗計(jì)算資源。此外，在DevOps的云環(huán)境中，匹配不斷更新和更改的流程對(duì)于WAF來說也是一項(xiàng)挑戰(zhàn)。

　　將安全性引入CI/CD管道可以解決該問題，但僅適用于以此種方式開發(fā)的應(yīng)用程序。無法在舊的第三方應(yīng)用程序或由不同部門部署的應(yīng)用程序中實(shí)施安全功能的Sprint。這些應(yīng)用程序的存在給企業(yè)帶來了風(fēng)險(xiǎn)，但它們?nèi)匀恍枰玫奖Ｗo(hù)，而WAF仍然可能是最佳選擇。

　　同樣重要的是，沒有什么方法可以完美解決所有網(wǎng)絡(luò)安全問題，僅靠敏捷的DevOps方法是不夠的。即使在不包含過時(shí)應(yīng)用或第三方應(yīng)用程序的環(huán)境中，您也永遠(yuǎn)無法確定其他團(tuán)隊(duì)在做什么——影子IT對(duì)企業(yè)來說是一個(gè)持續(xù)存在的頑疾。除了安全Sprint、代碼審查等措施外，您還需要至少每年執(zhí)行一次滲透測(cè)試。

　　滲透測(cè)試可模擬系統(tǒng)、網(wǎng)絡(luò)和Web應(yīng)用程序上的網(wǎng)絡(luò)攻擊，發(fā)現(xiàn)黑客可能會(huì)利用的漏洞。滲透測(cè)試為企業(yè)提供了絕佳的機(jī)會(huì)，使安全狀況與預(yù)期保持同步。

　　WAF來日方長(zhǎng)

　　毫無疑問，對(duì)于應(yīng)用安全來說，主動(dòng)將安全性內(nèi)置到Web應(yīng)用程序中的DevOps敏捷方法應(yīng)被視為最佳實(shí)踐。它能確保安全性與CI/CD管道中的創(chuàng)新速度保持同步，幫助建立安全性和運(yùn)營(yíng)團(tuán)隊(duì)之間的協(xié)作文化，并使網(wǎng)絡(luò)安全性與業(yè)務(wù)需求保持一致。但是在企業(yè)級(jí)別，由于存在較舊的不受支持的應(yīng)用程序，第三方添加的內(nèi)容以及其他部門可能在開發(fā)團(tuán)隊(duì)權(quán)限范圍之外進(jìn)行的獨(dú)立活動(dòng)，因此DevSecOps并不能覆蓋全部的應(yīng)用安全。

　　總之，關(guān)于WAF即將消亡的報(bào)道是危言聳聽。只要依然有遺留應(yīng)用程序存在于DevOps環(huán)境之外，或者DevOps團(tuán)隊(duì)沒有從頭開始完全實(shí)現(xiàn)安全性（這仍然相當(dāng)普遍），那么就有必要采取其他保護(hù)應(yīng)用程序和緩解攻擊的方法。至少在可預(yù)見的未來，WAF都會(huì)是企業(yè)安全武器庫中的必備品。