Web Application Firewall (WAF)

Web Application Firewall (WAF)
Приоритетной задачей в безопасности веб-приложений практически всегда является защита Фронтенда. Именно Фронтенд по умолчанию доступен из сети Интернет, а значит больше всего подвержен возможным атакам. Существует даже специализированный список (рейтинг) уязвимостей и атак на веб-приложения, которые наиболее критичны по оценке экспертов - Open Web Application Security Project (OWASP).

Этот список включает в себя 10 пунктов, поэтому его часто называют OWASP Top Ten :

1. Инъекции (Injections).
2. Нарушенная аутентификация (Broken Authentication).
3. Раскрытие критически важных данных (Sensitive Data Exposure).
4. Внешние объекты XML (XXE) (XML External Entities (XXE)).
5. Нарушенный контроль доступа (Broken Access control).
6. Неправильная конфигурация безопасности (Security misconfigurations).
7. Межсайтовый скриптинг (XSS) (Cross Site Scripting (XSS)).
8. Небезопасная десериализация (Insecure Deserialization).
9. Использование компонентов с известными уязвимостями (Using Components with known vulnerabilities).
10. Недостаточно подробные журналы и слабый мониторинг (Insufficient logging and monitoring).

Специально для защиты от этих уязвимостей/атак используется отдельный класс средств защиты - Web Application Firewall (WAF). Как следует из названия, это межсетевой экран именно для веб-приложений. Работает он на прикладном уровне (7 уровень модели OSI) и выполняет анализ и фильтрацию HTTP/HTTPS трафика. Большинство WAF решений может работать в трех основных режимах:

1. Sniffer - исключительно анализ трафика без возможности блокировки атак. Обычно работает на копии трафика (SPAN порт коммутатора или mirroring трафика средствами nginx).


2. Reverse Proxy - перехват и расшифровка трафика с возможностью блокировки атак. В этом случае WAF терминирует HTTP/HTTPS сессии (по сути, осуществляет Man-in-the-middle). Самый распространенный и самый функциональный вариант.


3. Bridge - работа в режиме моста, т.е. без изменения L3 топологии.


Следует отметить, что в Yandex.Cloud доступен ТОЛЬКО режим Reverse Proxy. В простейшем случае, когда у вас используется обычный веб-сервер (например, Wordpress или Joomla), защита вашего веб-приложения может быть осуществлена следующим образом:


В рамках такого внедрения вы применяете сразу несколько механизмов защиты:

1. Сегментация. Публичный сегмент (VPC Outside) отделен от внутреннего (VPC Network Inside), где и располагается веб-сервер.
2. WAF. Обеспечивает анализ и фильтрация веб-трафика в режиме Reverse Proxy. Трафик между публичным в внутренним сегментом может проходить только через WAF. Публичный IP-адрес присваивается именно WAF решению.
3. Anti DDoS. Для защиты от атак на сервис или от атак на переполнение канала.
4. Security Groups. Для ограничения трафика только по нужным портам.

На данный момент Yandex.Cloud позволят использовать у себя в облаке несколько WAF решений:

- PT Application Firewall
- Wallarm
- Check Point AppSec
- SolidWall

В рамках этого руководства будет рассмотрено только решение PT Application Firewall ― Web Application Firewall от компании Positive Technologies.

Больше учебных материалов по ИБ и ИТ направлениям вы найдете на учебном портале TS University . После регистрации вам станут доступны статьи, курсы и вебинары о решениях Кода Безопасности, UserGate, Positive Technologies, Check Point и других вендоров.
Yandex Cloud WAF
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!