web-dev-qa-db-ja.com

WAFパスのホワイトリストに代わるより良い方法はありますか?

一部のアプリケーションで使用されているWAFを管理しています。最近、有効なURLモジュールを使用して、アプリケーションのすべてのAPIと静的リソースをホワイトリストに登録しようとしました。セキュリティの観点からは良いことですが、私は開発チームと毎日新しい道を開くために対処しなければなりません。それは一種の苛立たしいことであり、毎日すべての環境に新しい変更を加える必要があります。 WAFを使うのに最善のアプローチではないかもしれないと思っていました。この問題のベストプラクティスはありますか?

2
armin

組織はそれぞれ異なるため、「ベストプラクティス」があるかどうかはわかりませんが、大企業で非常に一般的な方法は、ホワイトリストとブラックリストを組み合わせて使用​​することです。

  • 開発環境では、変更が非常に頻繁に行われるため、ブラックリストに登録することをお勧めします。

  • Prod環境の場合、可能な限りホワイトリストに登録してロックダウンします。 および既知の不良サイトをブラックリストに登録します。

さまざまなDMZにさまざまなアプリケーションがある場合は、リスクベースおよび変更ベースのメカニズムで作業し、上記の組み合わせを使用して、すべてのファイアウォールに必要なプロファイルに基づいたセットアップを行うことができます。

1
Rory Alsop