Брандмауэры существуют уже много лет, но Web Application Firewalls появились гораздо раньше и, несмотря на название, совсем другие!
Итак, прежде всего, что такое WAF? Что он делает и зачем он мне нужен (или не нужен)?
Проще говоря, обычный брандмауэр открывает порты, чтобы позволить трафику из внешнего мира доступ к Вашему сайту/веб-приложению.
WAF будет проверять трафик, проходящий через эти открытые порты, чтобы убедиться, что кто-то не взламывает Ваш сайт/приложение.
Нападение
Взлом на уровне веб-приложений сейчас является очень распространенной формой атаки. Действительно, 10 лучших типов веб-атак перечислены (и обновляются) на этом независимом сайте под названием OWASP здесь .
Все WAF, которые стоят своей соли, защищают от этих угроз.
Как правило, сервер веб-приложений что-то делает! Может быть, получает доступ к каким-то полезным данным и представляет их пользователю в красивой и умной форме. Что угодно…
Возможно, это довольно очевидно, но данные, как правило, хранятся в базах данных на серверах баз данных, которые обычно находятся глубже в сети, поэтому их сложнее атаковать. Проще атаковать публичное веб-приложение, которое, как Вы знаете, имеет доступ к нужным Вам внутренним данным.
Установка брандмауэра приложений поможет защитить Ваши веб-приложения и, что более важно, данные, к которым эти приложения имеют доступ.
На самом деле, они не только могут помочь предотвратить атаку, многие из них даже могут помочь уменьшить потерю данных, если атака окажется успешной. (см., например, здесь)
С приближением GDPR WAF стал неотъемлемой частью архитектуры веб-безопасности. (Интересно, что уже некоторое время он является неотъемлемой частью PCIDSS)
Значит, не стоит задумываться о том, чтобы приобрести его, верно?… Нет, нет, нет.
Пойдемте и купим самый большой и плохой WAF, который только сможем достать! Не самая лучшая идея.
Многие из них дорогостоящие, сложные, а плохая реализация может привести к поломке приложения.
Действительно, после разговора с несколькими консультантами по безопасности о лидерах рынка они считают, что многие из них настроены как неблокирующие, то есть они не блокируют атаки, а просто Понаблюдайте за ним и просто скажите, что он у Вас есть! Может быть, раньше это использовалось для того, чтобы поставить галочку в нужных местах?
Почему они не блокируются. Просто потому, что они слишком сложны, и многие организации не обладают достаточными навыками для их настройки. Кроме того, они охватывают множество Дисциплины, поскольку они обычно находятся между командами разработчиков приложений и сетевых технологий.
Иногда они изначально настраивают их правильно, затем в приложении происходят изменения, и оно ломается, тогда они паникуют и переходят на неблокирующий режим или добавляют множество правил в в белый список, так что пользы от него, как от шоколадного чайника.
Урок — Не покупайте автомобиль Формулы 1, чтобы ездить в магазины (если только Вы не умеете водить автомобиль Формулы 1). Скорее всего, Вы разобьете его или не будете им пользоваться.
Наша позиция — не покупайте наш WAF
Особенно если вам нужен самый настраиваемый продукт на рынке.
Не покупайте наш WAF, если Вы — крупное предприятие с большим бюджетом и командой WAF. (BTW, если Вы являетесь предприятием, пожалуйста, проверьте, что Ваш WAF настроен на неблокирующий режим 😉 ) Если нет, позвоните нам 🙂
Но — рассмотрите наш WAF, если Вам нужна лучшая в отрасли защита в формате, который Вы можете понять, настроить, управлять и поддерживать.
Рассмотрите наш WAF, если у Вас есть внешние веб-приложения, которые имеют доступ к данным клиентов, и у Вас есть обязательства по защите этих данных в соответствии с GDPR.
Если он Вам не нужен, не покупайте его, но если он Вам нужен, купите то, что будет выполнять требуемую работу на уровне, доступном для организационного времени и навыков.
Далее Узнайте о WAF
Чтобы помочь узнать больше о WAF, мы создали тестовую среду Full WAF, включающую сервер приложений, WAF и инструмент для моделирования атак.
Этот тестовый диск может быть создан в режиме онлайн за несколько минут — Вы можете поиграть и, если чувствуете себя смело, даже направить его на свой публичный сайт для тестирования.
Пройдите тест-драйв здесь
Узнайте больше о нашем WAF jetNEXUS WAF
