Sa among miaging materyal sa mga hilisgutan sa panganod, kami kung giunsa pagpanalipod ang mga kapanguhaan sa IT sa publiko nga panganod ug ngano nga ang mga tradisyonal nga antivirus dili kaayo angay alang niini nga mga katuyoan. Sa kini nga post, ipadayon namon ang hilisgutan sa seguridad sa panganod ug maghisgot bahin sa ebolusyon sa WAF ug kung unsa ang mas maayo nga pilion: hardware, software o panganod.
Unsa ang WAF
Labaw sa 75% sa mga pag-atake sa hacker nagpunting sa mga kahuyangan sa mga aplikasyon sa web ug mga website: ang ingon nga mga pag-atake kasagarang dili makita sa imprastraktura ug serbisyo sa seguridad sa impormasyon. Ang mga kahuyangan sa mga aplikasyon sa web nagdala, sa baylo, ang mga peligro sa pagkompromiso ug paglimbong sa mga account sa gumagamit ug personal nga datos, mga password, mga numero sa credit card. Dugang pa, ang mga kahuyangan sa usa ka website nagsilbing usa ka entry point para sa mga tig-atake sa usa ka corporate network.
Ang Web Application Firewall (WAF) usa ka firewall nga nagbabag sa mga pag-atake sa mga aplikasyon sa web: SQL injection, cross-site scripting, remote code execution, brute force ug authorization bypass (auth bypass). Lakip ang mga pag-atake gamit ang zero-day vulnerabilities. Ang mga firewall sa aplikasyon naghatag proteksyon pinaagi sa pag-monitor sa sulud sa panid sa web, lakip ang HTML, DHTML, ug CSS, ug pagsala sa posibleng makadaot nga mga hangyo sa HTTP/HTTPS.
Unsa ang unang mga desisyon?
Ang unang mga pagsulay sa paghimo sa usa ka Web Application Firewall gihimo sa sayong bahin sa 90s. Labing menos tulo ka mga inhenyero ang nahibal-an nga nagtrabaho sa kini nga lugar. Ang una mao ang propesor sa computer science nga si Jean Spafford sa Purdue University. Iyang gihulagway ang proxy application firewall architecture ug niadtong 1991 gipatik kini sa libro .
Ang ikaduha ug ikatulo mao ang mga espesyalista sa seguridad sa impormasyon nga sila William Cheswick ug Marcus Ranum gikan sa Bell Labs. Nahimo nila ang usa sa una nga prototype nga mga firewall sa aplikasyon. Giapod-apod kini sa DEC - ang produkto gipagawas sa ngalan nga SEAL (Secure External Access Link).
Apan ang SEAL dili kompleto nga solusyon sa WAF. Kini usa ka klasiko nga firewall sa network nga adunay gipalawig nga pagpaandar - ang abilidad nga babagan ang mga pag-atake sa FTP ug RSH. Tungod niini, ang Perfecto Technologies (sa ulahi nga Sanctum) giisip nga una nga solusyon sa WAF karon. Sa 1999 siya Sistema sa AppShield. Niadtong panahona, ang Perfecto Technologies nagpalambo sa mga solusyon sa seguridad sa impormasyon alang sa e-commerce, ug ang mga online nga tindahan nahimong target audience sa ilang bag-ong produkto. Ang AppShield nakahimo sa pag-analisar sa mga hangyo sa HTTP ug gibabagan ang mga pag-atake base sa dinamikong mga palisiya sa cybersecurity.
Sa parehas nga oras sa AppShield (sa 2002), ang una nga open source WAF nagpakita. Sila nahimong . Gibuhat kini aron itanyag ang mga teknolohiya sa WAF ug gisuportahan gihapon sa komunidad sa IT (ania ang iyang ). Gibabagan sa ModSecurity ang mga pag-atake sa mga aplikasyon base sa usa ka standard set sa regular nga mga ekspresyon (pirma) - mga himan alang sa pagsusi sa mga hangyo batok sa usa ka sumbanan - .
Ingon usa ka sangputanan, ang mga developer nakahimo sa pagkab-ot sa ilang katuyoan - ang mga bag-ong solusyon sa WAF nagsugod sa pagpakita sa merkado, lakip ang mga gitukod base sa ModSecurity.
Tulo ka henerasyon ang kasaysayan
Naandan ang pag-ila sa tulo ka henerasyon sa mga sistema sa WAF nga milambo uban ang pag-uswag sa teknolohiya.
Unang henerasyon. Naglihok uban sa regular nga mga ekspresyon (o gramatika). Naglakip kini sa ModSecurity. Gitun-an sa system provider ang mga matang sa pag-atake sa mga aplikasyon ug nagmugna og mga pattern nga naghulagway sa mga lehitimo ug posibleng malisyosong mga hangyo. Gikonsulta sa WAF kini nga mga lista ug nagdesisyon kung unsa ang buhaton sa usa ka partikular nga sitwasyon - aron babagan ang trapiko o dili.
Usa ka panig-ingnan sa regular nga ekspresyon base detection mao ang nahisgotan na nga proyekto bukas nga tinubdan. Laing pananglitan - , nga mao usab ang open source. Ang mga sistema nga adunay regular nga mga ekspresyon adunay daghang mga disbentaha, labi na, kung nadiskubre ang usa ka bag-ong kahuyangan, ang tagdumala kinahanglan nga maghimo dugang nga mga lagda nga mano-mano. Sa kaso sa usa ka dako nga imprastraktura sa IT, mahimong adunay daghang libo nga mga lagda. Ang pagdumala sa daghang mga regular nga ekspresyon lisud kaayo, wala pay labot nga ang pagsusi niini makapahinay sa performance sa network.
Ang mga regular nga ekspresyon usab adunay medyo taas nga false positive rate. Ang bantog nga linguist nga si Noam Chomsky misugyot og klasipikasyon sa mga gramatika, diin iyang gibahin kini ngadto sa upat ka kondisyon nga lebel sa pagkakomplikado. Sumala sa kini nga klasipikasyon, ang mga regular nga ekspresyon mahimo lamang maghulagway sa mga lagda sa firewall nga wala magpasabot sa mga pagtipas gikan sa sumbanan. Kini nagpasabut nga ang mga tig-atake dali nga "makalimbong" sa una nga henerasyon nga mga WAF. Usa ka paagi sa pagbatok niini mao ang pagdugang ug espesyal nga mga karakter sa mga hangyo sa aplikasyon nga dili makaapekto sa lohika sa malisyoso nga datos, apan nakalapas sa lagda sa pirma.
Ang ikaduhang henerasyon. Ang ikaduha nga henerasyon nga mga firewall sa aplikasyon gihimo aron malikayan ang mga isyu sa pasundayag ug katukma sa mga WAF. Ang mga parser nagpakita diha kanila, nga maoy responsable sa pag-ila sa estrikto nga gihubit nga mga matang sa mga pag-atake (sa HTML, JS, ug uban pa). Kini nga mga parser nagtrabaho uban ang espesyal nga mga token nga naghulagway sa mga hangyo (pananglitan, variable, string, wala mailhi, numero). Ang posibleng malisyosong mga han-ay sa mga token gibutang sa usa ka bulag nga listahan, nga kanunay nga gisusi sa sistema sa WAF. Sa unang higayon kini nga pamaagi gipakita sa Black Hat 2012 nga komperensya sa porma sa C / C ++ , nga nagtugot kanimo sa pag-ila sa SQL injection.
Kung itandi sa unang henerasyon nga WAF, ang mga espesyal nga parser mahimong mas paspas nga modagan. Bisan pa, wala nila masulbad ang mga kalisud nga may kalabutan sa mano-mano nga pag-configure sa sistema kung adunay mga bag-ong malisyoso nga pag-atake.
Ikatulo nga henerasyon. Ang ebolusyon sa ikatulo nga henerasyon nga lohika sa pagtuki mao ang paggamit sa mga pamaagi sa pagkat-on sa makina nga nagpaposible nga madala ang gramatika sa pagtuki sa labing duol nga mahimo sa tinuud nga gramatika sa SQL/HTML/JS sa mga giprotektahan nga sistema. Kini nga lohika sa pagtuki makahimo sa pagpahiangay sa makina sa Turing aron matabonan ang daghang mga gramatika. Dugang pa, sa sayo pa ang tahas sa paghimo sa usa ka mapahiangay nga Turing machine dili masulbad hangtod ang una nga mga pagtuon sa neural Turing machine gipatik.
Ang pagkat-on sa makina naghatag sa talagsaon nga abilidad sa pagpahaum sa bisan unsa nga gramatika sa pagtabon sa bisan unsa nga matang sa pag-atake, nga walay mano-mano nga paghimo og mga lista sa pirma sama sa gikinahanglan sa unang henerasyon nga detection, ug walay pag-ugmad og bag-ong mga tokenizer/parser para sa bag-ong mga matang sa pag-atake sama sa Memcached, Redis, Cassandra, SSRF pagpatuman , sumala sa gikinahanglan sa ikaduhang henerasyon nga pamaagi.
Ang paghiusa sa tanang tulo ka henerasyon sa detection logic, makahimo kita og bag-ong diagram diin ang ikatulo nga henerasyon sa detection girepresentahan sa pula nga outline (Figure 3). Usa sa mga solusyon nga among gipatuman sa panganod kauban ang Onsec, ang developer sa mapahiangay nga platform sa seguridad sa aplikasyon sa web ug ang Wallarm API, nahisakop sa kini nga henerasyon.
Ang lohika sa pagkadiskobre karon naggamit og feedback gikan sa bootstrapping nga aplikasyon. Sa pagkat-on sa makina, kini nga feedback loop gitawag nga "reinforcement." Kasagaran, adunay usa o daghang mga tipo sa ingon nga pagpalig-on:
- Analisaha ang Gawi sa Pagtubag sa Aplikasyon (Passive)
- Scan/Fuzzer (aktibo)
- I-report ang mga File / Interceptor Procedures / Hooks (post factum)
- Manwal (gitino sa superbisor)
Ingon usa ka sangputanan, ang lohika sa pagtuki sa ikatulo nga henerasyon nakasulbad usab sa hinungdanon nga problema sa katukma. Posible na karon dili lamang sa paglikay sa bakak nga mga positibo ug bakak nga mga negatibo, apan usab sa pag-ila sa balido nga tinuod nga negatibo, sama sa pag-ila sa paggamit sa SQL command elemento sa control panel, loading web page templates, AJAX hangyo nga may kalabutan sa JavaScript sayop, ug uban.
Sunod, gikonsiderar namon ang mga kapabilidad sa teknolohiya sa lainlaing mga kapilian sa pagpatuman sa WAF.
Hardware, software o cloud - unsa ang pilion?
Usa sa mga kapilian alang sa pagpatuman sa mga firewall sa aplikasyon mao ang usa ka "puthaw" nga solusyon. Ang ingon nga mga sistema mga espesyal nga aparato sa kompyuter nga gi-install sa usa ka kompanya sa lokal sa sentro sa datos niini. Apan sa kini nga kaso, kinahanglan ka nga mopalit sa imong kaugalingon nga kagamitan ug magbayad salapi sa mga integrator alang sa pag-configure ug pag-debug niini (kung ang kompanya walaβy kaugalingon nga departamento sa IT). Sa samang higayon, ang bisan unsang kagamitan mahimong karaan ug dili na magamit, mao nga ang mga kustomer napugos sa pagbadyet alang sa pag-upgrade sa hardware.
Ang laing kapilian sa pag-deploy sa WAF mao ang pagpatuman sa software. Ang solusyon gi-install ingon usa ka add-on alang sa pipila nga software (pananglitan, ang ModSecurity gi-configure sa ibabaw sa Apache) ug nagtrabaho sa parehas nga server uban niini. Ingon sa usa ka lagda, ang ingon nga mga solusyon mahimong i-deploy sa usa ka pisikal nga server ug sa panganod. Ang ilang disbentaha mao ang limitado nga scalability ug suporta sa vendor.
Ang ikatulo nga kapilian mao ang pag-set up sa WAF gikan sa panganod. Ang maong mga solusyon gihatag sa mga cloud providers isip serbisyo sa suskrisyon. Ang kompanya dili kinahanglan nga mopalit ug mag-configure sa espesyal nga hardware, kini nga mga buluhaton nahulog sa mga abaga sa service provider. Usa ka importante nga punto - ang modernong cloud WAF wala magpasabot sa paglalin sa mga kahinguhaan ngadto sa plataporma sa provider. Ang site mahimong ma-deploy bisan asa, bisan sa lugar.
Ngano nga karon sila labi nga nagtan-aw sa cloud WAF, isulti pa namon.
Unsa ang mahimo sa WAF sa panganod
Sa mga termino sa mga kapabilidad sa teknolohiya:
- Ang provider maoy responsable sa mga update.. Ang WAF gihatag sa basehan sa suskrisyon, mao nga gimonitor sa service provider ang kalabotan sa mga update ug lisensya. Ang mga update nabalaka dili lamang sa software, apan usab sa hardware. Ang provider nag-upgrade sa server park ug nagmintinar niini. Responsable usab kini sa pagbalanse sa load ug redundancy. Kung mapakyas ang WAF server, ang trapiko ibalhin dayon sa laing makina. Ang makatarunganon nga pag-apod-apod sa trapiko nagtugot kanimo sa paglikay sa mga sitwasyon kung ang firewall mosulod sa fail open mode - dili kini makasagubang sa load ug mohunong sa pagsala sa mga hangyo.
- Virtual nga patching. Ang mga virtual nga patch nagpugong sa pag-access sa mga nakompromiso nga bahin sa aplikasyon hangtod nga ang pagkahuyang gisirhan sa developer. Ingon usa ka sangputanan, ang kostumer sa cloud provider nakakuha higayon nga kalmado nga maghulat hangtod ang supplier niini o kana nga software nagpatik sa opisyal nga mga patch. Ang pagbuhat niini sa labing dali nga panahon usa ka prayoridad alang sa vendor sa software. Pananglitan, sa plataporma sa Valarm, usa ka bulag nga module sa software ang responsable sa virtual nga pag-patching. Ang tigdumala makadugang ug naandang regular nga mga ekspresyon aron babagan ang mga malisyosong hangyo. Ang sistema nagpaposible sa pagmarka sa pipila ka mga hangyo gamit ang bandila nga "Confidential data". Dayon ang ilang mga parameter gitabonan, ug sa bisan unsa nga kahimtang sila gibalhin sa gawas sa firewall working area.
- Gitukod-sa perimeter ug vulnerability scanner. Gitugotan ka niini nga independente nga mahibal-an ang mga utlanan sa network sa imprastraktura sa IT gamit ang datos gikan sa mga pangutana sa DNS ug ang protocol sa WHOIS. Human ang WAF awtomatikong mag-analisar sa mga serbisyo ug serbisyo nga nagdagan sulod sa perimeter (naghimo ug port scan). Ang firewall makahimo sa pag-ila sa tanang komon nga matang sa mga kahuyangan - SQLi, XSS, XXE, ug uban pa - ug makamatikod sa mga sayop sa software configuration, pananglitan, dili awtorisado nga pag-access sa Git ug BitBucket repository ug anonymous nga mga tawag sa Elasticsearch, Redis, MongoDB.
- Ang mga pag-atake gibantayan sa mga kapanguhaan sa panganod. Ingon sa usa ka lagda, ang mga cloud providers adunay daghang gidaghanon sa gahum sa pag-compute. Kini nagtugot kanimo sa pag-analisar sa mga hulga nga adunay taas nga katukma ug katulin. Usa ka pungpong sa mga filter node ang gibutang sa panganod diin ang tanan nga trapiko moagi. Gibabagan niini nga mga node ang mga pag-atake sa mga aplikasyon sa web ug ipadala ang mga istatistika sa Analytics Center. Gigamit niini ang mga algorithm sa pagkat-on sa makina aron ma-update ang mga lagda sa pag-block sa tanan nga gipanalipdan nga aplikasyon. Ang pagpatuman sa ingon nga laraw gipakita sa Fig. 4. Ang ingon nga gipahiangay nga mga lagda sa seguridad nagpamenos sa gidaghanon sa mga bakak nga positibo sa firewall.
Karon usa ka gamay bahin sa mga bahin sa cloud WAF sa mga termino sa mga isyu sa organisasyon ug pagdumala:
- Pagbalhin ngadto sa OpEx. Sa kaso sa cloud WAFs, ang gasto sa pagpatuman mahimong zero, tungod kay ang provider nakabayad na alang sa tanan nga hardware ug lisensya, ang serbisyo gibayran pinaagi sa suskrisyon.
- Nagkalainlain nga mga plano sa taripa. Ang tiggamit sa serbisyo sa panganod dali nga makapahimo o maka-disable sa dugang nga mga kapilian. Ang mga gimbuhaton gidumala gikan sa usa ka control panel, nga gipanalipdan usab. Gi-access kini pinaagi sa HTTPS, ug adunay duha ka hinungdan nga mekanismo sa pag-authenticate base sa TOTP protocol (Time-based One-Time Password Algorithm).
- Koneksyon sa DNS. Mahimo nimong usbon ang DNS ug i-configure ang pag-ruta sa network sa imong kaugalingon. Aron masulbad kini nga mga problema, dili kinahanglan nga magrekrut ug magbansay sa mga indibidwal nga espesyalista. Ingon sa usa ka lagda, ang teknikal nga suporta sa provider makatabang sa pag-configure.
Ang mga teknolohiya sa WAF milambo gikan sa yano nga mga firewall nga adunay mga lagda sa thumb hangtod sa komplikado nga mga sistema sa pagpanalipod nga adunay mga algorithm sa pagkat-on sa makina. Karon ang mga firewall sa aplikasyon adunay daghang halapad nga mga bahin nga lisud ipatuman kaniadtong 90s. Sa daghang mga paagi, ang pagtungha sa bag-ong pagpaandar nahimong posible salamat sa mga teknolohiya sa panganod. Ang mga solusyon sa WAF ug ang ilang mga sangkap nagpadayon sa pag-uswag. Sama sa ubang mga bahin sa seguridad sa impormasyon.
Ang teksto giandam ni Alexander Karpuzikov, IS product development manager sa #CloudMTS cloud provider.
Source: www.habr.com