Ing materi sadurunge babagan topik awan, kita , carane nglindhungi sumber daya IT ing awan umum lan kenapa antivirus tradisional ora cocog kanggo tujuan kasebut. Ing kirim iki, kita bakal nerusake topik keamanan maya lan ngomong babagan evolusi WAF lan apa sing luwih apik kanggo dipilih: hardware, piranti lunak utawa awan.
Apa iku WAF
Luwih saka 75% serangan peretas ditujokake kanggo kerentanan aplikasi web lan situs web: serangan kasebut biasane ora katon ing infrastruktur keamanan informasi lan layanan keamanan informasi. Kerentanan ing aplikasi web nggawa risiko kompromi lan penipuan akun pangguna lan data pribadhi, sandhi, lan nomer kertu kredit. Kajaba iku, kerentanan ing situs web dadi titik entri kanggo penyerang menyang jaringan perusahaan.
Web Application Firewall (WAF) minangka layar protèktif sing mblokir serangan ing aplikasi web: injeksi SQL, skrip lintas-situs, eksekusi kode remot, brute force lan wewenang bypass. Kalebu serangan sing ngeksploitasi kerentanan nol dina. Firewall aplikasi nyedhiyakake proteksi kanthi ngawasi isi kaca web, kalebu HTML, DHTML, lan CSS, lan nyaring panjalukan HTTP/HTTPS sing bisa mbebayani.
Apa keputusan pisanan?
Upaya pisanan kanggo nggawe Firewall Aplikasi Web digawe maneh ing awal 90s. Paling ora telung insinyur sing dikenal wis kerja ing lapangan iki. Sing pertama yaiku profesor ilmu komputer Gene Spafford saka Universitas Purdue. Dheweke nggambarake arsitektur firewall aplikasi proxy lan diterbitake ing taun 1991 ing buku kasebut .
Kapindho lan katelu yaiku spesialis keamanan informasi William Cheswick lan Marcus Ranum saka Bell Labs. Dheweke ngembangake salah sawijining prototipe firewall aplikasi pisanan. Iki disebarake dening DEC - produk kasebut dirilis kanthi jeneng SEAL (Secure External Access Link).
Nanging SEAL dudu solusi WAF sing lengkap. Iku firewall jaringan klasik kanthi fungsi canggih - kemampuan kanggo mblokir serangan ing FTP lan RSH. Mulane, solusi WAF pisanan saiki dianggep minangka produk saka Perfecto Technologies (mengko Sanctum). Ing taun 1999 dheweke Sistem AppShield. Ing wektu iku, Perfecto Technologies ngembangaken solusi keamanan informasi kanggo e-commerce, lan toko online dadi target pamirsa produk anyar. AppShield bisa nganalisa panjalukan HTTP lan diblokir serangan adhedhasar kabijakan keamanan informasi dinamis.
Kira-kira wektu sing padha karo AppShield (ing 2002), WAF open source pisanan muncul. Dheweke dadi . Iki digawe kanthi tujuan kanggo mempopulerkan teknologi WAF lan isih didhukung dening komunitas IT (kene ). ModSecurity mblokir serangan ing aplikasi adhedhasar set standar ekspresi reguler (tanda tangan) - alat kanggo mriksa panjalukan adhedhasar pola - .
Akibaté, para pangembang bisa nggayuh tujuane - solusi WAF anyar wiwit muncul ing pasar, kalebu sing dibangun kanthi basis ModSecurity.
Telung generasi wis dadi sejarah
Biasane kanggo mbedakake telung generasi sistem WAF, sing wis berkembang kanthi perkembangan teknologi.
Generasi pisanan. Bisa nganggo ekspresi reguler (utawa grammar). Iki kalebu ModSecurity. Panyedhiya sistem nyinaoni jinis serangan ing aplikasi lan ngasilake pola sing njlèntrèhaké panjalukan sing sah lan duweni potensi angkoro. WAF mriksa dhaptar kasebut lan mutusake apa sing kudu ditindakake ing kahanan tartamtu - kanggo mblokir lalu lintas utawa ora.
Conto deteksi adhedhasar ekspresi reguler yaiku proyek sing wis kasebut mbukak sumber. Tuladha liyane - , sing uga mbukak sumber. Sistem kanthi ekspresi reguler duwe sawetara kekurangan, utamane, nalika kerentanan anyar ditemokake, administrator kudu nggawe aturan tambahan kanthi manual. Ing kasus infrastruktur IT skala gedhe, bisa uga ana sawetara ewu aturan. Ngatur supaya akeh ekspresi reguler cukup angel, ora kanggo sebutno kasunyatan sing mriksa bisa nyuda kinerja jaringan.
Ekspresi reguler uga duwe tingkat positif palsu sing cukup dhuwur. Ahli linguistik misuwur Noam Chomsky ngusulake klasifikasi gramatika ing ngendi dheweke dibagi dadi papat tingkat kerumitan kondisional. Miturut klasifikasi iki, ekspresi reguler mung bisa njlèntrèhaké aturan firewall sing ora ana panyimpangan saka pola kasebut. Iki tegese panyerang bisa gampang "ngapusi" WAF generasi pisanan. Salah siji cara kanggo nglawan iki yaiku nambahake karakter khusus kanggo panjaluk aplikasi sing ora mengaruhi logika data sing ala, nanging nglanggar aturan teken.
Generasi nomer loro. Kanggo ngatasi masalah kinerja lan akurasi WAFs, firewall aplikasi generasi kapindho dikembangake. Dheweke saiki duwe parser sing tanggung jawab kanggo ngenali jinis serangan sing ditetepake kanthi ketat (ing HTML, JS, lsp.). Parser iki bisa digunakake karo token khusus sing njlèntrèhaké pitakonan (contone, variabel, string, dingerteni, nomer). Urutan token sing duweni potensi angkoro diselehake ing dhaptar sing kapisah, sing sistem WAF ajeg mriksa. Pendekatan iki pisanan ditampilake ing konferensi Black Hat 2012 ing wangun C / C ++ , sing ngidini sampeyan ndeteksi injeksi SQL.
Dibandhingake karo WAF generasi pisanan, parser khusus bisa luwih cepet. Nanging, dheweke ora ngrampungake kesulitan sing ana gandhengane karo konfigurasi sistem kanthi manual nalika serangan angkoro anyar katon.
Generasi kaping telu. Évolusi ing logika deteksi generasi katelu kasusun saka nggunakake cara machine learning sing ndadekake iku bisa kanggo nggawa grammar deteksi sabisa kanggo nyata SQL / HTML / JS grammar saka sistem sing dilindhungi. Logika deteksi iki bisa kanggo ngganti mesin Turing kanggo nutupi grammar rekursif enumerable. Kajaba iku, sadurunge tugas nggawe mesin Turing sing bisa diadaptasi ora bisa diatasi nganti pasinaon pisanan mesin Turing saraf diterbitake.
Pembelajaran mesin nyedhiyakake kemampuan unik kanggo ngganti tata basa apa wae kanggo nutupi jinis serangan apa wae tanpa nggawe dhaptar teken kanthi manual kaya sing dibutuhake ing deteksi generasi pisanan, lan tanpa ngembangake tokenizer / parser anyar kanggo jinis serangan anyar kayata Memcached, Redis, Cassandra, injeksi SSRF. , kaya sing dibutuhake dening metodologi generasi kapindho.
Kanthi nggabungake kabeh telung generasi logika deteksi, kita bisa nggambar diagram anyar ing ngendi deteksi generasi katelu diwakili dening garis abang (Gambar 3). Generasi iki kalebu salah sawijining solusi sing ditindakake ing awan bebarengan karo Onsek, pangembang platform kanggo proteksi adaptif aplikasi web lan API Wallarm.
Logika deteksi saiki nggunakake umpan balik saka aplikasi kanggo nyetel dhewe. Ing machine learning, loop umpan balik iki diarani "reinforcement." Biasane, ana siji utawa luwih jinis tulangan kasebut:
- Analisis prilaku respon aplikasi (pasif)
- Scan/fuzzer (aktif)
- Laporan file / prosedur interceptor / jebakan (sawise kasunyatan)
- Manual (ditetepake dening supervisor)
Akibaté, logika deteksi generasi katelu uga ngatasi masalah akurasi sing penting. Saiki bisa uga ora mung kanggo ngindhari positip palsu lan negatif palsu, nanging uga bisa ndeteksi negatif sing bener, kayata deteksi panggunaan unsur perintah SQL ing Control Panel, loading template kaca web, panjalukan AJAX sing ana gandhengane karo kesalahan JavaScript, lan liya-liyane.
Sabanjure, kita bakal nimbang kemampuan teknologi saka macem-macem opsi implementasi WAF.
Hardware, piranti lunak utawa awan - apa sing kudu dipilih?
Salah sawijining opsi kanggo ngetrapake firewall aplikasi yaiku solusi hardware. Sistem kasebut minangka piranti komputasi khusus sing dipasang perusahaan sacara lokal ing pusat data. Nanging ing kasus iki, sampeyan kudu tuku peralatan dhewe lan mbayar dhuwit kanggo integrator kanggo nyetel lan debugging (yen perusahaan ora duwe departemen IT dhewe). Ing wektu sing padha, peralatan apa wae dadi ketinggalan jaman lan ora bisa digunakake, mula pelanggan kepeksa nggawe anggaran kanggo upgrade hardware.
Pilihan liyane kanggo nyebarake WAF yaiku implementasi piranti lunak. Solusi kasebut diinstal minangka tambahan kanggo sawetara piranti lunak (contone, ModSecurity dikonfigurasi ing ndhuwur Apache) lan mlaku ing server sing padha. Minangka aturan, solusi kasebut bisa disebarake ing server fisik lan ing méga. Kerugian kasebut yaiku skalabilitas winates lan dhukungan vendor.
Opsi katelu yaiku nyetel WAF saka méga. Solusi kasebut diwenehake dening panyedhiya awan minangka layanan langganan. Perusahaan ora perlu tuku lan ngatur hardware khusus, tugas-tugas kasebut ana ing pundhak panyedhiya layanan. Titik penting yaiku WAF awan modern ora nuduhake migrasi sumber daya menyang platform panyedhiya. Situs kasebut bisa disebar ing endi wae, sanajan ing papan.
Kita bakal nerangake luwih akeh kenapa wong-wong saiki luwih akeh nggoleki awan WAF.
Apa sing bisa ditindakake WAF ing awan
Ing babagan kemampuan teknologi:
- Panyedhiya tanggung jawab kanggo nganyari. WAF diwenehake kanthi langganan, saengga panyedhiya layanan ngawasi relevansi nganyari lan lisensi. Nganyari ora mung ana ing piranti lunak, nanging uga hardware. Panyedhiya nganyarke taman server lan njaga. Iku uga tanggung jawab kanggo load balancing lan redundansi. Yen server WAF gagal, lalu lintas langsung dialihake menyang mesin liyane. Distribusi lalu lintas rasional ngidini sampeyan ngindhari kahanan nalika firewall mlebu mode mbukak gagal - ora bisa ngatasi beban lan mandheg nyaring panjaluk.
- Patching virtual. Patch virtual mbatesi akses menyang bagean aplikasi sing dikompromi nganti pangembang nutup kerentanan kasebut. Akibaté, pelanggan panyedhiya maya entuk kesempatan kanggo ngenteni kanthi tenang nganti panyedhiya piranti lunak iki utawa kasebut nerbitake "patch" resmi. Nindakake iki kanthi cepet minangka prioritas kanggo supplier piranti lunak. Contone, ing platform Wallarm, modul lunak kapisah tanggung jawab kanggo patching virtual. Administrator bisa nambah ekspresi reguler khusus kanggo mblokir panjaluk sing ala. Sistem ndadekake iku bisa kanggo menehi tandha sawetara panjalukan karo flag "Data Rahasia". Banjur paramèter kasebut ditutupi, lan ora ana kahanan sing ditularake ing njaba area kerja firewall.
- Pemindai perimeter lan kerentanan sing dibangun. Iki ngidini sampeyan nemtokake wates jaringan infrastruktur IT kanthi mandiri kanthi nggunakake data saka pitakon DNS lan protokol WHOIS. Sawise iku, WAF kanthi otomatis nganalisa layanan sing mlaku ing njero perimeter (nglakokake pindai port). Firewall bisa ndeteksi kabeh jinis umum saka kerentanan - SQLi, XSS, XXE, etc.
- Serangan dipantau dening sumber awan. Minangka aturan, panyedhiya awan duwe daya komputasi sing akeh. Iki ngidini sampeyan nganalisa ancaman kanthi akurasi lan kacepetan sing dhuwur. Klompok simpul panyaring dipasang ing méga, sing dilewati kabeh lalu lintas. Node iki mblokir serangan ing aplikasi web lan ngirim statistik menyang Pusat Analytics. Iki nggunakake algoritma pembelajaran mesin kanggo nganyari aturan pamblokiran kanggo kabeh aplikasi sing dilindhungi. Implementasi skema kasebut ditampilake ing Fig. 4. aturan keamanan selaras kuwi nyilikake nomer weker firewall palsu.
Saiki sethithik babagan fitur WAF awan babagan masalah lan manajemen organisasi:
- Transisi menyang OpEx. Ing kasus WAF awan, biaya implementasine bakal nol, amarga kabeh hardware lan lisensi wis dibayar dening panyedhiya; pembayaran kanggo layanan kasebut digawe kanthi langganan.
- Rencana tarif sing beda. Pangguna layanan awan bisa kanthi cepet ngaktifake utawa mateni opsi tambahan. Fungsi dikelola saka panel kontrol siji, sing uga aman. Iki diakses liwat HTTPS, plus ana mekanisme otentikasi rong faktor adhedhasar protokol TOTP (Time-based One-Time Password Algorithm).
- Sambungan liwat DNS. Sampeyan bisa ngganti DNS dhewe lan ngatur rute jaringan. Kanggo ngatasi masalah kasebut ora perlu ngrekrut lan nglatih spesialis individu. Minangka aturan, dhukungan teknis panyedhiya bisa mbantu persiyapan.
Teknologi WAF wis ngalami évolusi saka firewall sing prasaja kanthi aturan jempol menyang sistem proteksi kompleks kanthi algoritma pembelajaran mesin. Firewall aplikasi saiki nawakake macem-macem fitur sing angel dileksanakake ing taun 90-an. Kanthi pirang-pirang cara, munculé fungsi anyar bisa uga amarga teknologi maya. Solusi WAF lan komponene terus berkembang. Kaya wilayah keamanan informasi liyane.
Teks kasebut disiapake dening Alexander Karpuzikov, manajer pangembangan produk keamanan informasi ing panyedhiya awan #CloudMTS.
Source: www.habr.com