Í fyrra efni okkar um skýjaefni, við , hvernig á að vernda upplýsingatækniauðlindir í almenningsskýinu og hvers vegna hefðbundin vírusvörn hentar ekki alveg í þessum tilgangi. Í þessari færslu munum við halda áfram efni skýjaöryggis og tala um þróun WAF og hvað er betra að velja: vélbúnað, hugbúnað eða ský.
Hvað er WAF
Meira en 75% af tölvuþrjótaárásum beinast að veikleikum vefforrita og vefsíðna: slíkar árásir eru venjulega ósýnilegar fyrir upplýsingaöryggisinnviði og upplýsingaöryggisþjónustu. Veikleikar í vefforritum fela aftur í sér hættu á málamiðlun og svikum á notendareikningum og persónulegum gögnum, lykilorðum og kreditkortanúmerum. Að auki þjóna veikleikar á vefsíðunni sem aðgangsstaður fyrir árásarmenn inn á fyrirtækjanetið.
Web Application Firewall (WAF) er hlífðarskjár sem hindrar árásir á vefforrit: SQL innspýting, forskriftir á milli vefsvæða, keyrslu fjarstýrð kóða, grófa afl og framhjáveitingu heimilda. Þar á meðal árásir sem nýta núlldaga veikleika. Eldveggir forrita veita vernd með því að fylgjast með innihaldi vefsíðunnar, þar á meðal HTML, DHTML og CSS, og sía hugsanlega illgjarn HTTP/HTTPS beiðnir.
Hverjar voru fyrstu ákvarðanir?
Fyrstu tilraunir til að búa til eldvegg fyrir vefforrit voru gerðar snemma á tíunda áratugnum. Vitað er um að minnsta kosti þrír verkfræðingar sem hafa starfað á þessu sviði. Sá fyrsti er tölvunarfræðiprófessor Gene Spafford frá Purdue háskólanum. Hann lýsti arkitektúr eldveggs proxy-forrita og birti hann árið 90 í bókinni .
Annar og þriðji voru upplýsingaöryggissérfræðingarnir William Cheswick og Marcus Ranum frá Bell Labs. Þeir þróuðu eina af fyrstu frumgerðum eldveggs forrita. Það var dreift af DEC - varan var gefin út undir nafninu SEAL (Secure External Access Link).
Но SEAL не являлся полноценным WAF-решением. Он представлял собой классический сетевой файрвол с расширенной функциональностью — возможностью блокировать атаки на FTP и RSH. По этой причине первым WAF-решением сегодня считается продукт компании Perfecto Technologies (позже Sanctum). В 1999 году она AppShield kerfi. Á þeim tíma var Perfecto Technologies að þróa upplýsingaöryggislausnir fyrir rafræn viðskipti og netverslanir urðu markhópur nýju vörunnar þeirra. AppShield gat greint HTTP beiðnir og lokaðar árásir byggðar á kraftmiklum upplýsingaöryggisstefnu.
Um svipað leyti og AppShield (árið 2002) birtist fyrsti opinn uppspretta WAF. Hann varð . Það var búið til með það að markmiði að auka vinsældir WAF tækni og er enn stutt af upplýsingatæknisamfélaginu (hér er það ). ModSecurity hindrar árásir á forrit sem byggjast á stöðluðu setti af reglulegum tjáningum (undirskriftum) - verkfæri til að athuga beiðnir byggðar á mynstrum - .
Fyrir vikið tókst verktaki að ná markmiði sínu - nýjar WAF lausnir fóru að birtast á markaðnum, þar á meðal þær sem byggðar voru á grundvelli ModSecurity.
Þrjár kynslóðir eru þegar saga
Venjan er að greina þrjár kynslóðir WAF kerfa, sem hafa þróast með þróun tækninnar.
Fyrsta kynslóð. Virkar með reglulegum orðasamböndum (eða málfræði). Þetta felur í sér ModSecurity. Kerfisveitan rannsakar tegundir árása á forrit og býr til mynstur sem lýsa lögmætum og hugsanlega illgjarnum beiðnum. WAF skoðar þessa lista og ákveður hvað á að gera í tilteknum aðstæðum - til að loka fyrir umferð eða ekki.
Dæmi um uppgötvun byggða á reglulegum tjáningum er verkefnið sem þegar hefur verið nefnt opinn uppspretta. Annað dæmi - , sem einnig er opinn uppspretta. Kerfi með reglubundin tjáning hafa ýmsa ókosti, einkum þegar nýr veikleiki uppgötvast þarf stjórnandinn að búa til viðbótarreglur handvirkt. Ef um er að ræða umfangsmikla upplýsingatækniinnviði geta verið nokkur þúsund reglur. Það er frekar erfitt að stjórna svo mörgum reglulegum tjáningum, svo ekki sé minnst á þá staðreynd að það getur dregið úr afköstum netsins að athuga þær.
Regluleg tjáning hefur einnig nokkuð hátt hlutfall falskt jákvætt. Hinn frægi málfræðingur Noam Chomsky lagði til flokkun málfræði þar sem hann skipti þeim í fjögur skilyrt flækjustig. Samkvæmt þessari flokkun geta reglubundnar tjáningar aðeins lýst eldveggsreglum sem fela ekki í sér frávik frá mynstrinu. Þetta þýðir að árásarmenn geta auðveldlega „gabba“ fyrstu kynslóð WAF. Ein aðferð til að berjast gegn þessu er að bæta við sérstöfum við umsóknarbeiðnir sem hafa ekki áhrif á rökfræði illgjarnra gagna, en brjóta í bága við undirskriftarregluna.
Önnur kynslóð. Til að sniðganga frammistöðu- og nákvæmnisvandamál WAFs voru önnur kynslóðar eldveggir forrita þróaðir. Þeir hafa nú þáttara sem bera ábyrgð á því að bera kennsl á strangt skilgreindar tegundir árása (á HTML, JS osfrv.). Þessir flokkarar vinna með sérstökum táknum sem lýsa fyrirspurnum (til dæmis breytu, streng, óþekkt, númer). Mögulega illgjarn táknraðir eru settar á sérstakan lista sem WAF kerfið athugar reglulega með. Þessi nálgun var fyrst sýnd á Black Hat 2012 ráðstefnunni í formi C/C++ , sem gerir þér kleift að greina SQL inndælingar.
Í samanburði við fyrstu kynslóðar WAF geta sérhæfðir flokkarar verið hraðari. Hins vegar leystu þeir ekki erfiðleikana sem fylgdu því að stilla kerfið handvirkt þegar nýjar skaðlegar árásir birtast.
Þriðja kynslóð. Þróunin í þriðju kynslóðar uppgötvunarrökfræði felst í því að nota vélanámsaðferðir sem gera það mögulegt að færa greiningarmálfræðina eins nálægt og hægt er raunverulegri SQL/HTML/JS málfræði vernduðu kerfanna. Þessi uppgötvunarrökfræði er fær um að aðlaga Turing vél til að ná yfir endurtekið ótal málfræði. Þar að auki var verkefnið að búa til aðlögunarhæfa Turing vél áður óleysanlegt þar til fyrstu rannsóknirnar á tauga Turing vélum voru birtar.
Vélnám veitir einstaka hæfileika til að laga hvaða málfræði sem er til að ná yfir hvers kyns árás án þess að búa til undirskriftarlista handvirkt eins og krafist er í fyrstu kynslóðar uppgötvun, og án þess að þróa nýja tákna/flokka fyrir nýjar árásargerðir eins og Memcached, Redis, Cassandra, SSRF inndælingar , eins og krafist er af annarri kynslóð aðferðafræði.
Með því að sameina allar þrjár kynslóðir uppgötvunarrökfræðinnar getum við teiknað nýja skýringarmynd þar sem þriðja kynslóð uppgötvunar er táknuð með rauðu útlínunni (Mynd 3). Þessi kynslóð inniheldur eina af þeim lausnum sem við erum að innleiða í skýinu ásamt Onsek, þróunaraðila vettvangsins fyrir aðlögunarvernd vefforrita og Wallarm API.
Uppgötvunarrökfræðin notar nú endurgjöf frá forritinu til að stilla sig sjálf. Í vélanámi er þessi endurgjöf kölluð „styrking“. Venjulega eru til ein eða fleiri gerðir af slíkri styrkingu:
- Greining á svörunarhegðun forrita (óvirk)
- Skanna/gluggi (virkur)
- Tilkynna skrár/hleraaðferðir/gildrur (eftir staðreynd)
- Handbók (skilgreint af umsjónarmanni)
Fyrir vikið tekur þriðju kynslóðar uppgötvunarrökfræði einnig á mikilvægu atriðinu um nákvæmni. Það er nú ekki aðeins mögulegt að forðast rangar jákvæðar og rangar neikvæðar, heldur einnig að greina gildar sannar neikvæðar, svo sem uppgötvun á notkun SQL skipanaþátta í stjórnborði, hleðsla vefsíðusniðmáts, AJAX beiðnir sem tengjast JavaScript villum og fleira.
Næst munum við íhuga tæknilega getu ýmissa WAF útfærsluvalkosta.
Vélbúnaður, hugbúnaður eða ský - hvað á að velja?
Einn af valkostunum til að innleiða eldveggi forrita er vélbúnaðarlausn. Slík kerfi eru sérhæfð tölvutæki sem fyrirtæki setur upp á staðnum í gagnaveri sínu. En í þessu tilfelli þarftu að kaupa þinn eigin búnað og greiða peninga til samþættinga fyrir að setja hann upp og kemba hann (ef fyrirtækið er ekki með sína eigin upplýsingatæknideild). Á sama tíma verður hvaða búnaður sem er úreltur og verður ónothæfur, svo viðskiptavinir neyðast til að gera ráðstafanir til að uppfæra vélbúnað.
Annar valkostur til að dreifa WAF er hugbúnaðarútfærsla. Lausnin er sett upp sem viðbót fyrir einhvern hugbúnað (til dæmis er ModSecurity stillt ofan á Apache) og keyrir á sama netþjóni með honum. Að jafnaði er hægt að nota slíkar lausnir bæði á líkamlegum netþjóni og í skýinu. Ókostur þeirra er takmarkaður sveigjanleiki og stuðningur við söluaðila.
Þriðji valkosturinn er að setja upp WAF úr skýinu. Slíkar lausnir eru veittar af skýjaveitum sem áskriftarþjónusta. Fyrirtækið þarf ekki að kaupa og stilla sérhæfðan vélbúnað, þessi verkefni falla á herðar þjónustuveitunnar. Mikilvægur punktur er að nútímalegt WAF ský felur ekki í sér flutning auðlinda á vettvang þjónustuveitunnar. Hægt er að dreifa síðunni hvar sem er, jafnvel á staðnum.
Við munum útskýra frekar hvers vegna fólk leitar nú í auknum mæli að WAF skýi.
Hvað WAF getur gert í skýinu
Hvað varðar tæknilega getu:
- Þjónustuveitan ber ábyrgð á uppfærslum. WAF er veitt með áskrift, þannig að þjónustuveitan fylgist með mikilvægi uppfærslur og leyfa. Uppfærslur varða ekki aðeins hugbúnað heldur líka vélbúnað. Þjónustuveitan uppfærir netþjónagarðinn og heldur honum við. Það ber einnig ábyrgð á álagsjafnvægi og offramboði. Ef WAF þjónninn bilar er umferð umsvifalaust beint á aðra vél. Skynsamleg dreifing umferðar gerir þér kleift að forðast aðstæður þegar eldveggurinn fer í opinn bilunarham - hann ræður ekki við álagið og hættir að sía beiðnir.
- Sýndarplástur. Sýndarplástrar takmarka aðgang að hluta forritsins sem er í hættu þar til verktaki lokar varnarleysinu. Fyrir vikið fær viðskiptavinur skýjaveitunnar tækifæri til að bíða rólegur þar til birgir þessa eða annars hugbúnaðar birtir opinbera „plástra“. Að gera þetta eins fljótt og auðið er er forgangsverkefni hugbúnaðarframleiðandans. Til dæmis, á Wallarm vettvangnum, er sérstök hugbúnaðareining ábyrg fyrir sýndarpjattun. Kerfisstjórinn getur bætt við sérsniðnum reglulegum tjáningum til að loka fyrir skaðlegar beiðnir. Kerfið gerir það mögulegt að merkja sumar beiðnir með fánanum „Trúnaðargögn“. Þá eru færibreytur þeirra huldar og þær eru undir engum kringumstæðum sendar út fyrir vinnusvæði eldveggsins.
- Innbyggður jaðar- og varnarleysisskanni. Þetta gerir þér kleift að ákvarða netkerfismörk upplýsingatækniinnviða sjálfstætt með því að nota gögn úr DNS fyrirspurnum og WHOIS samskiptareglum. Síðan greinir WAF sjálfkrafa þjónustu sem keyrir innan jaðarsins (framkvæmir gáttaskönnun). Eldveggurinn er fær um að greina allar algengar tegundir veikleika - SQLi, XSS, XXE o.s.frv. - og bera kennsl á villur í hugbúnaðarstillingum, til dæmis óviðkomandi aðgang að Git og BitBucket geymslum og nafnlaus símtöl í Elasticsearch, Redis, MongoDB.
- Fylgst er með árásum af skýjaauðlindum. Að jafnaði hafa skýjaveitur mikið magn af tölvuafli. Þetta gerir þér kleift að greina ógnir með mikilli nákvæmni og hraða. Þyrping síuhnúta er sett upp í skýinu, sem öll umferð fer í gegnum. Þessir hnútar hindra árásir á vefforrit og senda tölfræði til greiningarmiðstöðvarinnar. Það notar reiknirit fyrir vélanám til að uppfæra lokunarreglur fyrir öll vernduð forrit. Framkvæmd slíks kerfis er sýnd á mynd. 4. Slíkar sérsniðnar öryggisreglur lágmarka fjölda falskra eldveggsviðvarana.
Nú aðeins um eiginleika skýja WAFs hvað varðar skipulagsmál og stjórnun:
- Umskipti í OpEx. Þegar um er að ræða WAF í skýi mun kostnaður við innleiðingu vera enginn, þar sem allan vélbúnað og leyfi hefur þegar verið greitt af þjónustuveitunni; greiðsla fyrir þjónustuna fer fram með áskrift.
- Mismunandi gjaldskráráætlanir. Skýþjónustunotandinn getur fljótt virkjað eða slökkt á viðbótarmöguleikum. Aðgerðum er stjórnað frá einu stjórnborði, sem er einnig öruggt. Það er aðgengilegt í gegnum HTTPS, auk þess sem það er tveggja þátta auðkenningarkerfi byggt á TOTP (Time-based One-Time Password Algorithm) samskiptareglum.
- Tenging í gegnum DNS. Þú getur breytt DNS sjálfur og stillt netbeiningu. Til að leysa þessi vandamál er engin þörf á að ráða og þjálfa einstaka sérfræðinga. Að jafnaði getur tækniaðstoð veitunnar aðstoðað við uppsetningu.
WAF tækni hefur þróast frá einföldum eldveggjum með þumalputtareglum yfir í flókin verndarkerfi með vélrænum reikniritum. Eldveggir forrita bjóða nú upp á breitt úrval af eiginleikum sem erfitt var að innleiða á tíunda áratugnum. Á margan hátt varð tilkoma nýrrar virkni möguleg þökk sé skýjatækni. WAF lausnir og íhlutir þeirra halda áfram að þróast. Rétt eins og önnur svið upplýsingaöryggis.
Textinn var unnin af Alexander Karpuzikov, vöruþróunarstjóra upplýsingaöryggis hjá skýjaveitunni #CloudMTS.
Heimild: www.habr.com