Yn ein deunydd blaenorol ar bynciau cwmwl, rydym ni , sut i ddiogelu adnoddau TG yn y cwmwl cyhoeddus a pham nad yw gwrthfeirysau traddodiadol yn gwbl addas at y dibenion hyn. Yn y swydd hon, byddwn yn parhau â'r pwnc o ddiogelwch cwmwl ac yn siarad am esblygiad WAF a beth sy'n well i'w ddewis: caledwedd, meddalwedd neu gwmwl.
Beth yw WAF
Mae mwy na 75% o ymosodiadau haciwr wedi'u hanelu at wendidau cymwysiadau gwe a gwefannau: mae ymosodiadau o'r fath fel arfer yn anweledig i seilwaith diogelwch gwybodaeth a gwasanaethau diogelwch gwybodaeth. Mae gwendidau mewn cymwysiadau gwe, yn eu tro, yn peri risg o gyfaddawdu a thwyll o gyfrifon defnyddwyr a data personol, cyfrineiriau a rhifau cardiau credyd. Yn ogystal, mae gwendidau yn y wefan yn bwynt mynediad i ymosodwyr i'r rhwydwaith corfforaethol.
Mae Web Application Firewall (WAF) yn sgrin amddiffynnol sy'n rhwystro ymosodiadau ar gymwysiadau gwe: chwistrelliad SQL, sgriptio traws-safle, gweithredu cod o bell, grym 'n ysgrublaidd a ffordd osgoi awdurdodi. Gan gynnwys ymosodiadau sy'n manteisio ar wendidau dim diwrnod. Mae waliau tân cymwysiadau yn darparu amddiffyniad trwy fonitro cynnwys tudalennau gwe, gan gynnwys HTML, DHTML, a CSS, a hidlo ceisiadau HTTP/HTTPS a allai fod yn faleisus.
Beth oedd y penderfyniadau cyntaf?
Gwnaed yr ymdrechion cyntaf i greu Wal Dân Cymhwysiad Gwe yn ôl yn y 90au cynnar. Mae'n hysbys bod o leiaf dri pheiriannydd wedi gweithio yn y maes hwn. Y cyntaf yw'r athro cyfrifiadureg Gene Spafford o Brifysgol Purdue. Disgrifiodd saernïaeth wal dân cymhwysiad dirprwy a'i gyhoeddi yn 1991 yn y llyfr .
Yr ail a'r trydydd oedd yr arbenigwyr diogelwch gwybodaeth William Cheswick a Marcus Ranum o Bell Labs. Fe wnaethant ddatblygu un o'r prototeipiau wal dân cymhwysiad cyntaf. Fe'i dosbarthwyd gan DEC - rhyddhawyd y cynnyrch o dan yr enw SEAL (Cyswllt Mynediad Allanol Diogel).
Ond nid oedd SEAL yn ddatrysiad WAF llawn. Roedd yn wal dân rhwydwaith glasurol gydag ymarferoldeb uwch - y gallu i rwystro ymosodiadau ar FTP a RSH. Am y rheswm hwn, ystyrir bod yr ateb WAF cyntaf heddiw yn gynnyrch Perfecto Technologies (Sanctum yn ddiweddarach). Yn 1999 hi System AppShield. Bryd hynny, roedd Perfecto Technologies yn datblygu atebion diogelwch gwybodaeth ar gyfer e-fasnach, a daeth siopau ar-lein yn gynulleidfa darged i'w cynnyrch newydd. Roedd AppShield yn gallu dadansoddi ceisiadau HTTP a rhwystro ymosodiadau yn seiliedig ar bolisïau diogelwch gwybodaeth deinamig.
Tua'r un amser ag AppShield (yn 2002), ymddangosodd y WAF ffynhonnell agored gyntaf. Daeth yn . Fe'i crëwyd gyda'r nod o boblogeiddio technolegau WAF ac mae'n dal i gael ei gefnogi gan y gymuned TG (dyma hi ). Mae ModSecurity yn blocio ymosodiadau ar gymwysiadau yn seiliedig ar set safonol o ymadroddion rheolaidd (llofnodion) - offer ar gyfer gwirio ceisiadau yn seiliedig ar batrymau - .
O ganlyniad, llwyddodd y datblygwyr i gyflawni eu nod - dechreuodd atebion WAF newydd ymddangos ar y farchnad, gan gynnwys y rhai a adeiladwyd ar sail ModSecurity.
Mae tair cenhedlaeth eisoes yn hanes
Mae'n arferol gwahaniaethu tair cenhedlaeth o systemau WAF, sydd wedi esblygu gyda datblygiad technoleg.
Y genhedlaeth gyntaf. Yn gweithio gydag ymadroddion (neu ramadeg) rheolaidd. Mae hyn yn cynnwys ModSecurity. Mae darparwr y system yn astudio'r mathau o ymosodiadau ar gymwysiadau ac yn cynhyrchu patrymau sy'n disgrifio ceisiadau cyfreithlon a rhai a allai fod yn faleisus. Mae WAF yn gwirio'r rhestrau hyn ac yn penderfynu beth i'w wneud mewn sefyllfa benodol - rhwystro traffig ai peidio.
Enghraifft o ganfod yn seiliedig ar ymadroddion rheolaidd yw'r prosiect a grybwyllwyd eisoes ffynhonnell agor. Enghraifft arall - , sydd hefyd yn ffynhonnell agored. Mae gan systemau ag ymadroddion rheolaidd nifer o anfanteision, yn arbennig, pan ddarganfyddir bregusrwydd newydd, mae'n rhaid i'r gweinyddwr greu rheolau ychwanegol â llaw. Yn achos seilwaith TG ar raddfa fawr, efallai y bydd sawl mil o reolau. Mae rheoli cymaint o ymadroddion rheolaidd yn eithaf anodd, heb sôn am y ffaith y gall eu gwirio leihau perfformiad rhwydwaith.
Mae gan ymadroddion rheolaidd gyfradd gadarnhaol ffug eithaf uchel hefyd. Cynigiodd yr ieithydd enwog Noam Chomsky ddosbarthiad o ramadegau lle rhannodd hwy yn bedair lefel amodol o gymhlethdod. Yn ôl y dosbarthiad hwn, dim ond rheolau wal dân nad ydynt yn cynnwys gwyriadau oddi wrth y patrwm y gall ymadroddion rheolaidd eu disgrifio. Mae hyn yn golygu y gall ymosodwyr yn hawdd "ffwyllo" y genhedlaeth gyntaf WAF. Un dull o frwydro yn erbyn hyn yw ychwanegu nodau arbennig at geisiadau cais nad ydynt yn effeithio ar resymeg y data maleisus, ond sy'n torri'r rheol llofnod.
Ail genhedlaeth. Er mwyn osgoi problemau perfformiad a chywirdeb WAFs, datblygwyd waliau tân cymwysiadau ail genhedlaeth. Bellach mae ganddynt parsers sy'n gyfrifol am nodi mathau o ymosodiadau a ddiffinnir yn llym (ar HTML, JS, ac ati). Mae'r parsers hyn yn gweithio gyda thocynnau arbennig sy'n disgrifio ymholiadau (er enghraifft, newidyn, llinyn, anhysbys, rhif). Rhoddir dilyniannau tocynnau a allai fod yn faleisus mewn rhestr ar wahân, y mae system WAF yn gwirio yn ei herbyn yn rheolaidd. Dangoswyd y dull hwn gyntaf yng nghynhadledd Black Hat 2012 ar ffurf C/C++ , sy'n eich galluogi i ganfod pigiadau SQL.
O'i gymharu â WAFs cenhedlaeth gyntaf, gall parsers arbenigol fod yn gyflymach. Fodd bynnag, ni wnaethant ddatrys yr anawsterau sy'n gysylltiedig â ffurfweddu'r system â llaw pan fydd ymosodiadau maleisus newydd yn ymddangos.
Trydydd genhedlaeth. Mae'r esblygiad mewn rhesymeg canfod trydedd genhedlaeth yn cynnwys defnyddio dulliau dysgu peirianyddol sy'n ei gwneud hi'n bosibl dod â'r gramadeg canfod mor agos â phosibl at ramadeg SQL/HTML/JS go iawn y systemau gwarchodedig. Mae'r rhesymeg ganfod hon yn gallu addasu peiriant Turing i gwmpasu gramadegau ailadroddadwy y gellir eu rhifo. Ar ben hynny, yn flaenorol, roedd y dasg o greu peiriant Turing addasadwy yn anhydawdd nes i'r astudiaethau cyntaf o beiriannau Turing niwral gael eu cyhoeddi.
Mae dysgu peiriant yn darparu'r gallu unigryw i addasu unrhyw ramadeg i gwmpasu unrhyw fath o ymosodiad heb greu rhestrau llofnod â llaw yn ôl yr angen wrth ganfod cenhedlaeth gyntaf, a heb ddatblygu tocenizers / parsers newydd ar gyfer mathau newydd o ymosodiad fel pigiadau Memcached, Redis, Cassandra, SSRF , fel sy'n ofynnol gan fethodoleg yr ail genhedlaeth.
Drwy gyfuno pob un o'r tair cenhedlaeth o resymeg ganfod, gallwn lunio diagram newydd lle mae'r drydedd genhedlaeth o ganfod yn cael ei chynrychioli gan yr amlinelliad coch (Ffigur 3). Mae'r genhedlaeth hon yn cynnwys un o'r atebion yr ydym yn eu gweithredu yn y cwmwl ynghyd ag Onsek, datblygwr y llwyfan ar gyfer amddiffyn cymwysiadau gwe ac API Wallarm.
Mae'r rhesymeg canfod bellach yn defnyddio adborth o'r cymhwysiad i hunan-diwnio ei hun. Mewn dysgu peirianyddol, gelwir y ddolen adborth hon yn “atgyfnerthu.” Yn nodweddiadol, mae un neu fwy o fathau o atgyfnerthiad o'r fath:
- Dadansoddiad o ymddygiad ymateb cais (goddefol)
- Sgan/fuzzer (gweithredol)
- Adrodd ffeiliau/gweithdrefnau ataliwr/trapiau (ar ôl y ffaith)
- Llawlyfr (diffiniwyd gan oruchwyliwr)
O ganlyniad, mae rhesymeg canfod trydedd genhedlaeth hefyd yn mynd i'r afael â mater pwysig cywirdeb. Mae bellach yn bosibl nid yn unig osgoi positifau ffug a negatifau ffug, ond hefyd i ganfod gwir negatifau dilys, megis canfod defnydd elfen gorchymyn SQL yn y Panel Rheoli, llwytho templed tudalen we, ceisiadau AJAX yn ymwneud â gwallau JavaScript, ac eraill.
Nesaf, byddwn yn ystyried galluoedd technolegol amrywiol opsiynau gweithredu WAF.
Caledwedd, meddalwedd neu gwmwl - beth i'w ddewis?
Un o'r opsiynau ar gyfer gweithredu waliau tân cymwysiadau yw datrysiad caledwedd. Mae systemau o'r fath yn ddyfeisiadau cyfrifiadurol arbenigol y mae cwmni'n eu gosod yn lleol yn ei ganolfan ddata. Ond yn yr achos hwn, mae'n rhaid i chi brynu'ch offer eich hun a thalu arian i integreiddwyr am ei sefydlu a'i ddadfygio (os nad oes gan y cwmni ei adran TG ei hun). Ar yr un pryd, mae unrhyw offer yn mynd yn hen ffasiwn ac yn dod yn anaddas, felly mae cwsmeriaid yn cael eu gorfodi i gyllidebu ar gyfer uwchraddio caledwedd.
Opsiwn arall ar gyfer defnyddio WAF yw gweithredu meddalwedd. Mae'r datrysiad wedi'i osod fel ychwanegiad ar gyfer rhai meddalwedd (er enghraifft, mae ModSecurity wedi'i ffurfweddu ar ben Apache) ac yn rhedeg ar yr un gweinydd ag ef. Fel rheol, gellir defnyddio datrysiadau o'r fath ar weinydd corfforol ac yn y cwmwl. Eu anfantais yw scalability cyfyngedig a chefnogaeth gwerthwr.
Y trydydd opsiwn yw sefydlu WAF o'r cwmwl. Darperir atebion o'r fath gan ddarparwyr cwmwl fel gwasanaeth tanysgrifio. Nid oes angen i'r cwmni brynu a ffurfweddu caledwedd arbenigol; mae'r tasgau hyn yn disgyn ar ysgwyddau'r darparwr gwasanaeth. Pwynt pwysig yw nad yw WAF cwmwl modern yn awgrymu mudo adnoddau i blatfform y darparwr. Gellir defnyddio'r wefan yn unrhyw le, hyd yn oed ar y safle.
Byddwn yn esbonio ymhellach pam mae pobl bellach yn edrych fwyfwy tuag at WAF cwmwl.
Beth all WAF ei wneud yn y cwmwl
O ran galluoedd technolegol:
- Mae'r darparwr yn gyfrifol am ddiweddariadau. Darperir WAF trwy danysgrifiad, felly mae'r darparwr gwasanaeth yn monitro perthnasedd diweddariadau a thrwyddedau. Mae diweddariadau yn ymwneud nid yn unig â meddalwedd, ond hefyd caledwedd. Mae'r darparwr yn uwchraddio'r parc gweinyddwyr ac yn ei gynnal a'i gadw. Mae hefyd yn gyfrifol am gydbwyso llwythi a diswyddiadau. Os bydd y gweinydd WAF yn methu, caiff traffig ei ailgyfeirio ar unwaith i beiriant arall. Mae dosbarthiad rhesymegol traffig yn eich galluogi i osgoi sefyllfaoedd pan fydd y wal dân yn mynd i mewn i fodd agored methu - ni all ymdopi â'r llwyth ac mae'n stopio hidlo ceisiadau.
- Clytio rhithwir. Mae clytiau rhithwir yn cyfyngu mynediad i rannau o'r cais sydd wedi'u peryglu nes bod y datblygwr yn cau'r bregusrwydd. O ganlyniad, mae cwsmer darparwr y cwmwl yn cael y cyfle i aros yn bwyllog nes bod y cyflenwr hwn neu'r feddalwedd honno'n cyhoeddi “clytiau” swyddogol. Mae gwneud hyn cyn gynted â phosibl yn flaenoriaeth i'r cyflenwr meddalwedd. Er enghraifft, yn y platfform Wallarm, mae modiwl meddalwedd ar wahân yn gyfrifol am glytio rhithwir. Gall y gweinyddwr ychwanegu ymadroddion arferol arferol i rwystro ceisiadau maleisus. Mae'r system yn ei gwneud hi'n bosibl marcio rhai ceisiadau gyda'r faner “Data cyfrinachol”. Yna mae eu paramedrau'n cael eu cuddio, ac nid ydynt yn cael eu trosglwyddo y tu allan i ardal waith y wal dân o dan unrhyw amgylchiadau.
- perimedr adeiledig a sganiwr bregusrwydd. Mae hyn yn caniatáu ichi bennu ffiniau rhwydwaith y seilwaith TG yn annibynnol gan ddefnyddio data o ymholiadau DNS a phrotocol WHOIS. Wedi hynny, mae WAF yn dadansoddi gwasanaethau sy'n rhedeg y tu mewn i'r perimedr yn awtomatig (yn perfformio sganio porthladdoedd). Mae'r wal dân yn gallu canfod pob math cyffredin o wendidau - SQLi, XSS, XXE, ac ati - a nodi gwallau mewn cyfluniad meddalwedd, er enghraifft, mynediad heb awdurdod i ystorfeydd Git a BitBucket a galwadau dienw i Elasticsearch, Redis, MongoDB.
- Mae ymosodiadau yn cael eu monitro gan adnoddau cwmwl. Fel rheol, mae gan ddarparwyr cwmwl lawer iawn o bŵer cyfrifiadurol. Mae hyn yn caniatáu ichi ddadansoddi bygythiadau gyda chywirdeb a chyflymder uchel. Mae clwstwr o nodau hidlo yn cael eu lleoli yn y cwmwl, y mae'r holl draffig yn mynd trwyddynt. Mae'r nodau hyn yn rhwystro ymosodiadau ar gymwysiadau gwe ac yn anfon ystadegau i'r Ganolfan Dadansoddeg. Mae'n defnyddio algorithmau dysgu peirianyddol i ddiweddaru rheolau blocio ar gyfer pob rhaglen warchodedig. Dangosir gweithrediad cynllun o'r fath yn Ffig. 4. Mae rheolau diogelwch wedi'u teilwra o'r fath yn lleihau nifer y galwadau tân ffug.
Nawr ychydig am nodweddion WAFs cwmwl o ran materion sefydliadol a rheolaeth:
- Pontio i opEx. Yn achos WAFs cwmwl, bydd cost gweithredu yn sero, gan fod y darparwr eisoes wedi talu am yr holl galedwedd a thrwyddedau; telir am y gwasanaeth trwy danysgrifiad.
- Cynlluniau tariff gwahanol. Gall y defnyddiwr gwasanaeth cwmwl alluogi neu analluogi opsiynau ychwanegol yn gyflym. Rheolir swyddogaethau o un panel rheoli, sydd hefyd yn ddiogel. Gellir ei gyrchu trwy HTTPS, ac mae yna fecanwaith dilysu dau ffactor yn seiliedig ar brotocol TOTP (Algorithm Cyfrinair Un Amser Seiliedig ar Amser).
- Cysylltiad trwy DNS. Gallwch chi newid DNS eich hun a ffurfweddu llwybro rhwydwaith. I ddatrys y problemau hyn nid oes angen recriwtio a hyfforddi arbenigwyr unigol. Fel rheol, gall cymorth technegol y darparwr helpu gyda gosod.
Mae technolegau WAF wedi esblygu o waliau tân syml gyda rheolau bawd i systemau amddiffyn cymhleth gydag algorithmau dysgu peiriannau. Mae waliau tân cymwysiadau bellach yn cynnig ystod eang o nodweddion a oedd yn anodd eu gweithredu yn y 90au. Mewn sawl ffordd, daeth ymddangosiad ymarferoldeb newydd yn bosibl diolch i dechnolegau cwmwl. Mae datrysiadau WAF a'u cydrannau yn parhau i esblygu. Yn union fel meysydd eraill o ddiogelwch gwybodaeth.
Paratowyd y testun gan Alexander Karpuzikov, rheolwr datblygu cynnyrch diogelwch gwybodaeth yn y darparwr cwmwl #CloudMTS.
Ffynhonnell: hab.com