A cikin kayanmu na baya akan batutuwan girgije, mu , yadda za a kare albarkatun IT a cikin gajimare na jama'a da kuma dalilin da yasa riga-kafi na gargajiya ba su dace da waɗannan dalilai ba. A cikin wannan sakon, za mu ci gaba da batun tsaro na girgije kuma muyi magana game da juyin halitta na WAF da abin da ya fi dacewa don zaɓar: hardware, software ko girgije.
Menene WAF
Fiye da kashi 75% na hare-haren hacker suna nufin rashin lahani na aikace-aikacen yanar gizo da gidajen yanar gizo: yawanci irin waɗannan hare-haren ba a ganuwa ga kayayyakin tsaro na bayanai da sabis na tsaro na bayanai. Rashin lahani a cikin aikace-aikacen yanar gizo yana ɗaukar, bi da bi, haɗarin yin sulhu da zamba na asusun mai amfani da bayanan sirri, kalmomin shiga, da lambobin katin kuɗi. Bugu da ƙari, rashin lahani a cikin gidan yanar gizon yana aiki azaman hanyar shiga ga maharan cikin hanyar sadarwar kamfanoni.
Wutar Wuta ta Aikace-aikacen Yanar Gizo (WAF) allo ne mai kariya wanda ke toshe hare-hare akan aikace-aikacen yanar gizo: allurar SQL, rubutun giciye, aiwatar da lambar nesa, ƙarfi mai ƙarfi da wucewar izini. Ciki har da hare-haren da ke amfani da rashin lahani na rana. Firewalls aikace-aikace suna ba da kariya ta hanyar sa ido kan abubuwan da ke cikin shafin yanar gizo, gami da HTML, DHTML, da CSS, da kuma tace masu yuwuwar buƙatun HTTP/HTTPS.
Menene yanke shawara na farko?
Ƙoƙarin farko na ƙirƙirar Firewall Application na Yanar Gizo an yi baya a farkon 90s. An san akalla injiniyoyi uku da suka yi aiki a wannan fanni. Na farko shine farfesa a kimiyyar kwamfuta Gene Spafford daga Jami'ar Purdue. Ya bayyana tsarin gine-ginen gidan wuta na aikace-aikacen wakili kuma ya buga shi a cikin 1991 a cikin littafin .
Na biyu da na uku kwararru ne kan harkokin tsaro William Cheswick da Marcus Ranum daga Bell Labs. Sun ƙirƙira ɗaya daga cikin samfuran Firewall na farko na aikace-aikacen. DEC ce ta rarraba shi - an fitar da samfurin a ƙarƙashin sunan SEAL (Haɗin Yanar Gizo mai aminci).
Amma SEAL ba cikakken bayani na WAF bane. Ya kasance babban bangon hanyar sadarwa na zamani tare da ayyuka masu ci gaba - ikon toshe hare-hare akan FTP da RSH. Saboda wannan dalili, farkon WAF bayani a yau ana ɗaukarsa samfurin Perfecto Technologies (daga baya Sanctum). A 1999 ta Tsarin AppShield. A wancan lokacin, Perfecto Technologies suna haɓaka hanyoyin tsaro na bayanai don kasuwancin e-commerce, kuma shagunan kan layi sun zama masu sauraron sabon samfurin su. AppShield ya sami damar yin nazarin buƙatun HTTP da katange hare-hare dangane da tsauraran manufofin tsaro na bayanai.
Kusan lokaci guda da AppShield (a cikin 2002), farkon buɗe tushen WAF ya bayyana. Ya zama . An ƙirƙira shi da nufin haɓaka fasahohin WAF kuma har yanzu al'ummar IT suna samun goyan bayan ta (nan ga shi ). ModSecurity yana toshe hare-hare akan aikace-aikace dangane da daidaitattun saiti na maganganu na yau da kullun (sa hannu) - kayan aikin bincika buƙatun dangane da alamu - .
Sakamakon haka, masu haɓakawa sun sami nasarar cimma burinsu - sabbin hanyoyin WAF sun fara bayyana akan kasuwa, gami da waɗanda aka gina akan ModSecurity.
Ƙarni uku sun riga sun zama tarihi
Yana da al'ada don bambanta tsararraki uku na tsarin WAF, waɗanda suka samo asali tare da haɓaka fasaha.
Na farko ƙarni. Yana aiki tare da maganganu na yau da kullun (ko nahawu). Wannan ya haɗa da ModSecurity. Mai ba da tsarin yana nazarin nau'ikan hare-hare akan aikace-aikace kuma yana haifar da alamu waɗanda ke bayyana halal da yiwuwar buƙatun ƙeta. WAF yana duba waɗannan jerin sunayen kuma ya yanke shawarar abin da za a yi a cikin wani yanayi - don toshe zirga-zirga ko a'a.
Misali na ganowa dangane da maganganu na yau da kullun shine aikin da aka riga aka ambata bude tushen. Wani misali - , wanda kuma shi ne bude tushen. Tsarin tare da maganganu na yau da kullum suna da yawan rashin amfani, musamman, lokacin da aka gano sabon rashin lahani, dole ne mai gudanarwa ya kirkiro ƙarin dokoki da hannu. A cikin yanayin babban kayan aikin IT, ana iya samun dokoki dubu da yawa. Sarrafa yawancin maganganu na yau da kullun yana da wuyar gaske, ban da gaskiyar cewa duba su na iya rage aikin cibiyar sadarwa.
Kalmomi na yau da kullun kuma suna da ƙimar inganci ta gaskiya. Shahararren masanin harshe Noam Chomsky ya ba da shawarar rarraba nahawu wanda a cikinsa ya raba su zuwa matakai huɗu masu rikitarwa. Dangane da wannan rarrabuwa, maganganu na yau da kullun na iya bayyana ƙa'idodin Tacewar zaɓi waɗanda ba su ƙunshi sabani daga tsarin ba. Wannan yana nufin cewa maharan suna iya "wauta" a sauƙaƙe WAF ƙarni na farko. Hanya ɗaya don yaƙar wannan ita ce ƙara haruffa na musamman zuwa buƙatun aikace-aikacen waɗanda ba su shafi tunanin bayanan ɓarna ba, amma keta dokar sa hannu.
Na biyu ƙarni. Don kauce wa aiki da daidaito na WAFs, an ƙirƙiri bangon bangon aikace-aikacen ƙarni na biyu. Yanzu suna da masu binciken da ke da alhakin gano takamaiman nau'ikan hare-hare (a kan HTML, JS, da sauransu). Waɗannan masu binciken suna aiki tare da alamu na musamman waɗanda ke bayyana tambayoyi (misali, m, kirtani, ba a sani ba, lamba). Ana sanya jeri mai yuwuwar qeta a cikin jeri daban, wanda tsarin WAF ke bincikawa akai-akai. An fara nuna wannan tsarin a taron Black Hat 2012 a cikin nau'i na C/C++ , wanda ke ba ka damar gano allurar SQL.
Idan aka kwatanta da WAFs na ƙarni na farko, ƙwararrun masu bincike na iya yin sauri. Koyaya, ba su warware matsalolin da ke da alaƙa da daidaita tsarin da hannu ba lokacin da sabbin hare-hare masu ɓarna suka bayyana.
Zamani na uku. Juyin Halitta a cikin dabaru na gano ƙarni na uku ya ƙunshi amfani da hanyoyin koyan na'ura waɗanda ke ba da damar kawo nahawun ganowa kusa da nahawun nahawun SQL/HTML/JS na ainihin tsarin kariya. Wannan dabarar ganowa tana iya daidaita injin Turing don rufe nahawu masu ƙididdigewa. Bugu da ƙari, a baya aikin ƙirƙirar injin Turing mai daidaitawa ya kasance ba a iya warwarewa har sai an buga karatun farko na injin Turing.
Koyon na'ura yana ba da dama ta musamman don daidaita kowane nahawu don rufe kowane nau'in harin ba tare da ƙirƙirar jerin sa hannun hannu da hannu kamar yadda ake buƙata a gano ƙarni na farko ba, kuma ba tare da haɓaka sabbin abubuwan tokenizers/parsers don sabbin nau'ikan harin kamar Memcached, Redis, Cassandra, SSRF injections , kamar yadda tsarin tsara ƙarni na biyu ya buƙata.
Ta hanyar haɗa duk tsararraki uku na dabarun ganowa, za mu iya zana sabon zane wanda tsararru na uku ke wakilta ta hanyar jajayen jita-jita (Hoto 3). Wannan ƙarni ya haɗa da ɗayan hanyoyin da muke aiwatarwa a cikin gajimare tare da Onsek, mai haɓaka dandamali don daidaitawa da aikace-aikacen yanar gizo da Wallarm API.
Dabarar ganowa yanzu tana amfani da martani daga aikace-aikacen don daidaita kanta. A cikin koyan na'ura, ana kiran wannan madauki na martani "ƙarfafawa." Yawanci, akwai nau'ikan irin wannan ƙarfafawa ɗaya ko fiye:
- Analysis of aikace-aikace amsa hali (m)
- Scan/fuzzer (aiki)
- Bayar da rahoton fayiloli/hanyoyi / tarkuna (bayan gaskiya)
- Manual (wanda mai kulawa ya bayyana)
Sakamakon haka, dabarun gano ƙarni na uku kuma yana magance mahimmancin batun daidaito. Yanzu yana yiwuwa ba wai kawai don guje wa abubuwan da ba su dace ba da abubuwan da ba su da kyau ba, har ma don gano ingantattun abubuwan da ba su dace ba, kamar gano abubuwan amfani da umarnin SQL a cikin Sarrafa Sarrafa, ɗora samfurin shafin yanar gizon, buƙatun AJAX masu alaƙa da kurakuran JavaScript, da sauransu.
Na gaba, za mu yi la'akari da damar fasaha na zaɓuɓɓukan aiwatar da WAF daban-daban.
Hardware, software ko girgije - menene za a zaɓa?
Ɗaya daga cikin zaɓuɓɓuka don aiwatar da firewalls na aikace-aikacen shine maganin hardware. Irin waɗannan tsarin na'urorin kwamfuta ne na musamman waɗanda kamfani ke sanyawa a cikin gida a cibiyar bayanansa. Amma a wannan yanayin, dole ne ku sayi kayan aikin ku kuma ku biya kuɗi ga masu haɗawa don saita shi da gyara shi (idan kamfani ba shi da sashen IT na kansa). A lokaci guda, duk wani kayan aiki ya zama tsoho kuma ya zama mara amfani, don haka ana tilasta abokan ciniki su yi kasafin kuɗi don haɓaka kayan aiki.
Wani zaɓi don tura WAF shine aiwatar da software. An shigar da maganin azaman ƙari don wasu software (misali, ModSecurity an saita shi a saman Apache) kuma yana gudana akan sabar iri ɗaya tare da shi. A matsayinka na mai mulki, ana iya amfani da irin waɗannan mafita a kan uwar garken jiki da kuma cikin girgije. Lalacewar su shine ƙayyadaddun ƙima da tallafin mai siyarwa.
Zaɓin na uku shine saita WAF daga gajimare. Ana samar da irin waɗannan mafita ta masu samar da girgije azaman sabis na biyan kuɗi. Kamfanin baya buƙatar siya da daidaita kayan masarufi na musamman; waɗannan ayyuka sun faɗi akan kafaɗun mai bada sabis. Wani muhimmin batu shi ne cewa WAF girgije na zamani ba ya nufin ƙaura na albarkatu zuwa dandalin mai bayarwa. Ana iya tura rukunin yanar gizon a ko'ina, har ma da kan-gida.
Za mu ƙara yin bayanin dalilin da yasa yanzu mutane ke ƙara kallon girgije WAF.
Abin da WAF zai iya yi a cikin gajimare
Dangane da iyawar fasaha:
- Mai bayarwa yana da alhakin ɗaukakawa. WAF ana bayar da shi ta hanyar biyan kuɗi, don haka mai bada sabis yana sa ido akan dacewa da sabuntawa da lasisi. Sabuntawa sun shafi ba kawai software ba, har ma da hardware. Mai bayarwa yana haɓaka wurin shakatawa na uwar garken kuma yana kula da shi. Har ila yau, yana da alhakin daidaita nauyin kaya da sakewa. Idan uwar garken WAF ta gaza, nan da nan ana tura zirga-zirga zuwa wata na'ura. Rarraba hanyoyin zirga-zirgar ababen hawa yana ba ku damar guje wa yanayi lokacin da Tacewar zaɓi ya shiga yanayin buɗewa - ba zai iya jure nauyin kaya ba kuma yana dakatar da buƙatun tacewa.
- Faci na zahiri. Faci na gaskiya yana ƙuntata samun dama ga ɓangarori na aikace-aikacen har sai mai haɓakawa ya rufe raunin. A sakamakon haka, abokin ciniki na mai samar da girgije yana samun damar da za a jira a hankali har sai mai samar da wannan ko waccan software ya buga "faci" na hukuma. Yin wannan da sauri yana da fifiko ga mai samar da software. Misali, a cikin dandali na Wallarm, keɓantaccen tsarin software yana da alhakin facin kama-da-wane. Mai gudanarwa na iya ƙara maganganun yau da kullun na al'ada don toshe buƙatun ƙeta. Tsarin yana ba da damar sanya alamar wasu buƙatun tare da tutar "Bayanan Sirri". Sa'an nan kuma an rufe ma'auni na su, kuma a cikin kowane hali ba a watsa su a waje da wurin aiki na Firewall.
- Ginin kewaye da na'urar daukar hoto mai rauni. Wannan yana ba ku damar ƙayyade iyakokin cibiyar sadarwar kayan aikin IT daban-daban ta amfani da bayanai daga tambayoyin DNS da ka'idar WHOIS. Bayan haka, WAF ta atomatik tana nazarin ayyukan da ke gudana a cikin kewaye (yana yin binciken tashar jiragen ruwa). Tacewar zaɓi yana da ikon gano duk nau'ikan lahani na gama gari - SQLi, XSS, XXE, da sauransu - da gano kurakurai a cikin tsarin software, misali, samun dama ga wuraren ajiyar Git da BitBucket mara izini da kiran da ba a san su ba zuwa Elasticsearch, Redis, MongoDB.
- Ana kula da hare-haren ta hanyar albarkatun girgije. A matsayinka na mai mulki, masu samar da girgije suna da yawan adadin ƙarfin kwamfuta. Wannan yana ba ku damar nazarin barazanar tare da babban daidaito da sauri. An tura gungu na nodes masu tacewa a cikin gajimare, wanda duk zirga-zirga ke wucewa. Waɗannan nodes suna toshe hare-hare akan aikace-aikacen yanar gizo kuma aika ƙididdiga zuwa Cibiyar Nazarin. Yana amfani da algorithms koyon inji don sabunta ƙa'idodin toshewa ga duk aikace-aikacen da aka kare. Ana nuna aiwatar da irin wannan makirci a cikin siffa. 4. Irin waɗannan ƙa'idodin tsaro da aka keɓance suna rage yawan ƙararrawar bangon wuta na ƙarya.
Yanzu kaɗan game da fasalulluka na WAFs ga girgije dangane da al'amuran ƙungiya da gudanarwa:
- Canja wurin OpEx. A cikin yanayin WAFs na girgije, farashin aiwatarwa zai zama sifili, tunda duk kayan aiki da lasisi an riga an biya su daga mai samarwa; ana biyan kuɗin sabis ta hanyar biyan kuɗi.
- Shirye-shiryen jadawalin kuɗin fito daban-daban. Mai amfani da sabis na gajimare zai iya sauri kunna ko kashe ƙarin zaɓuɓɓuka. Ana sarrafa ayyuka daga rukunin kulawa guda ɗaya, wanda kuma yana da tsaro. Ana samun dama ta hanyar HTTPS, ƙari kuma akwai hanyar tabbatar da abubuwa biyu dangane da TOTP (Time-based One-Time Password Algorithm).
- Haɗin kai ta hanyar DNS. Kuna iya canza DNS da kanku kuma saita hanyar sadarwar hanyar sadarwa. Don magance waɗannan matsalolin babu buƙatar ɗaukar aiki da horar da ƙwararrun ɗaiɗaikun ɗaiɗai. A matsayinka na mai mulki, tallafin fasaha na mai bayarwa na iya taimakawa tare da saitin.
Fasahar WAF sun samo asali ne daga bangon wuta mai sauƙi tare da ƙa'idodin babban yatsan hannu zuwa tsarin kariya masu rikitarwa tare da algorithms koyon injin. Firewalls aikace-aikacen yanzu suna ba da fasali da yawa waɗanda ke da wahalar aiwatarwa a cikin 90s. A hanyoyi da yawa, bayyanar sabbin ayyuka ya zama mai yiwuwa godiya ga fasahar girgije. Hanyoyin WAF da abubuwan haɗin su suna ci gaba da haɓakawa. Kamar dai sauran bangarorin tsaro na bayanai.
Alexander Karpuzikov ne ya shirya rubutun, manajan haɓaka samfuran tsaro na bayanai a mai samar da girgije #CloudMTS.
source: www.habr.com