Брандмауэры, с точки зрения технологий, стары как холмы. За 40 с лишним лет существования брандмауэров нового поколения их было больше, чем музыкальных жанров. По своей сути, они разрешают или запрещают пакеты, входящие в сеть или выходящие из нее, и, как бы это ни было полезно, мало что еще. Каждое поколение добавляет что-то новое в набор политик, которые решают, что “войдет в дверь”, но более информированный вышибала все равно остается просто вышибалой. Идентификация пользователя, обнаружение вторжения, время суток, обувь, использование пропускной способности, прическа или состояние TCP-сессии все еще не определяют, является ли что-то безопасным или заслуживающим доверия.
Введите нашего “ремонтника”, который знает (или, по крайней мере, может узнать) гораздо больше о наших пользователях и о том, что они могут замышлять, — брандмауэр веб-приложений, или WAF. Забудьте о том, кому разрешен вход, WAF определяет, какое поведение допустимо, а какое нет, как только Вы оказались внутри периметра. С помощью WAF разрешаются или запрещаются функции приложения, ввод и вывод данных, а не доступ.
Это, несомненно, более сложный и глубокий подход, чем бинарный выбор между разрешением или запретом. Он позволяет осуществлять тонкий контроль и реализовывать политику безопасности более осмысленным, смеем сказать, естественным образом. Если веб-сайт предоставляет информацию только для чтения или загрузки, WAF позволяет Вам гарантировать, что никакие файлы не будут загружены на серверы, которые его предоставляют. Возможно, Ваши серверы используют бэкэнд SQL, но это не причина для того, чтобы клиенты включали SQL-запросы в запросы. Одним словом, WAF защитит Вас от вредоносного пользователя — того, которого Ваш “сетевой” брандмауэр уже пропустил, потому что у него нет возможности отличить его от добросовестного пользователя.
Модуль WAF, доступный вместе с выпуском нашего усовершенствованного балансировщика нагрузки ALB-X, — это первый модуль, который мы выпустили в виде контейнера Docker. Это новое, захватывающее направление, и в соответствии с нашей этикой оно максимально простое. Вам не нужно разбираться в тонкостях Docker или контейнеров, чтобы использовать его. Поскольку это контейнер, WAF можно устанавливать и обновлять независимо от программного обеспечения ALB-X — не нужно перезагружаться. Вы также можете запустить несколько контейнеров WAF, чтобы применять разные политики к разным службам и улучшить изоляцию. Короче говоря, такой подход открывает широкие возможности для использования.
В связи с этим существует несколько вариантов реализации, в зависимости от того, какой трафик Вы хотите защитить — незашифрованный или зашифрованный (HTTPS) (который должен быть расшифрован, чтобы его можно было проверить). При использовании HTTPS Вы можете выбрать повторное шифрование трафика перед отправкой его на реальный сервер.
Модуль WAF действительно обеспечивает защиту от плохо написанных веб-приложений и их уязвимостей, но не стоит рассматривать его как универсальное решение для плохо написанного кода с зияющими дырами; лечите причину, а не симптомы. Не забывайте, что комплексный, всесторонний подход — это лучшая защита. Правильно сформулированные cookies, правила управления трафиком flightPATH, соответствующие HTTP-заголовки и ограничения и другие инструменты в совокупности намного превосходят одну, казалось бы, непробиваемую стену. Защитите все, что только можно, и настоящая безопасность может последовать за этим.
Учитывайте пакеты и трафик (IP-адреса и порты), протоколы, приложения, сервисы и транзакции. Если Вы будете слишком полагаться на защиту какого-то одного элемента, у Вас, скорее всего, возникнут проблемы. С той же осторожностью помните о следующем;
- Насколько бы ни был осведомлен о приложении WAF, он может сделать лишь очень многое: он не знает, как работает Ваше приложение, и не знает, каким оно должно быть в Вашем представлении.
- WAF использует общую “базу правил”, основанную на ряде предположений, которые могут не подходить для Вашего приложения (например, загрузка файлов запрещена) — протестируйте ее, используя режим обнаружения по умолчанию, прежде чем запускать в производство.
- Более современные инновации, такие как AJAX, HTML5 и другие, могут быть не учтены или не защищены
Как и в случае с большинством функций ALB-X, огромное преимущество их реализации на ALB-X заключается в том, что для защиты всех наших серверов нам нужно сделать это только в одном центральном месте. Нам не нужно полагаться на разработчиков или перенастраивать веб-серверы. Обновление набора правил WAF (список неприемлемых моделей поведения) также занимает всего несколько кликов, и это нужно сделать только один раз, независимо от того, сколько серверов у Вас запущено.
Более подробную информацию о WAF можно найти здесь — это еще одна интересная новинка, с которой мы советуем Вам ознакомиться. Здесь Вы найдете подробное руководство по установке.
Проведите тест-драйв онлайн прямо сейчас
Брандмауэр веб-приложений позволяет осуществлять тонкий контроль и реализацию политики безопасности, включая управление разрешенными и запрещенными функциями приложений, а также вводом и выводом данных.
