ვებ აპლიკაციის Firewall-ის ევოლუცია: ბუხარიდან ღრუბელზე დაფუძნებული დაცვის სისტემებამდე მანქანური სწავლებით

ჩვენს წინა მასალაში ღრუბლის თემებზე, ჩვენ განუცხადაროგორ დავიცვათ IT რესურსები საჯარო ღრუბელში და რატომ არ არის ტრადიციული ანტივირუსები მთლად შესაფერისი ამ მიზნებისათვის. ამ პოსტში განვაგრძობთ ღრუბლოვანი უსაფრთხოების თემას და ვისაუბრებთ WAF-ის ევოლუციაზე და იმაზე, თუ რა არის უკეთესი აირჩიოს: აპარატურა, პროგრამული უზრუნველყოფა თუ ღრუბელი. 

რა არის WAF

ჰაკერული თავდასხმების 75%-ზე მეტი მიმართულია ვებ აპლიკაციებისა და ვებსაიტების მოწყვლადობაზე: ასეთი თავდასხმები, როგორც წესი, უხილავია ინფორმაციული უსაფრთხოების ინფრასტრუქტურისა და ინფორმაციული უსაფრთხოების სერვისებისთვის. ვებ აპლიკაციებში არსებული დაუცველობა, თავის მხრივ, შეიცავს მომხმარებლის ანგარიშების და პირადი მონაცემების, პაროლების და საკრედიტო ბარათის ნომრების კომპრომისისა და თაღლითობის რისკს. გარდა ამისა, ვებსაიტზე არსებული დაუცველობა ემსახურება თავდამსხმელებისთვის კორპორატიულ ქსელში შესვლის პუნქტს.

ვებ აპლიკაციის Firewall (WAF) არის დამცავი ეკრანი, რომელიც ბლოკავს შეტევებს ვებ აპლიკაციებზე: SQL ინექცია, საიტის სკრიპტირება, დისტანციური კოდის შესრულება, უხეში ძალა და ავტორიზაციის გვერდის ავლით. შეტევების ჩათვლით, რომლებიც იყენებენ ნულოვანი დღის დაუცველობას. აპლიკაციის ბუხარი უზრუნველყოფს დაცვას ვებ გვერდის კონტენტის მონიტორინგით, მათ შორის HTML, DHTML და CSS, და პოტენციურად მავნე HTTP/HTTPS მოთხოვნების გაფილტვრით.

რა იყო პირველი გადაწყვეტილებები?

ვებ აპლიკაციის Firewall-ის შექმნის პირველი მცდელობები გაკეთდა ჯერ კიდევ 90-იანი წლების დასაწყისში. ცნობილია, რომ სულ მცირე სამი ინჟინერი მუშაობდა ამ სფეროში. პირველი არის კომპიუტერული მეცნიერების პროფესორი ჯინ სპაფორდი პერდუს უნივერსიტეტიდან. მან აღწერა პროქსი აპლიკაციის firewall-ის არქიტექტურა და გამოაქვეყნა იგი 1991 წელს წიგნში "UNIX უსაფრთხოება პრაქტიკაში".

მეორე და მესამე იყვნენ ინფორმაციული უსაფრთხოების სპეციალისტები უილიამ ჩესვიკი და მარკუს რანუმი Bell Labs-დან. მათ შეიმუშავეს ერთ-ერთი პირველი აპლიკაციის firewall პროტოტიპი. ის გაავრცელა DEC-მა - პროდუქტი გამოვიდა სახელწოდებით SEAL (Secure External Access Link).

მაგრამ SEAL არ იყო სრულფასოვანი WAF გადაწყვეტა. ეს იყო კლასიკური ქსელის firewall მოწინავე ფუნქციონირებით - FTP და RSH შეტევების დაბლოკვის უნარი. ამ მიზეზით, პირველი WAF გადაწყვეტა დღეს ითვლება Perfecto Technologies-ის (მოგვიანებით Sanctum) პროდუქტად. 1999 წელს იგი წარმოდგენილი AppShield სისტემა. იმ დროს Perfecto Technologies ავითარებდა ინფორმაციული უსაფრთხოების გადაწყვეტილებებს ელექტრონული კომერციისთვის და ონლაინ მაღაზიები გახდა მათი ახალი პროდუქტის სამიზნე აუდიტორია. AppShield-მა შეძლო HTTP მოთხოვნების ანალიზი და შეტევების დაბლოკვა დინამიური ინფორმაციის უსაფრთხოების პოლიტიკის საფუძველზე.

დაახლოებით იმავე დროს, როგორც AppShield (2002 წელს), გამოჩნდა პირველი ღია კოდის WAF. Იგი გახდა Mod Security. იგი შეიქმნა WAF ტექნოლოგიების პოპულარიზაციის მიზნით და დღემდე მხარს უჭერს IT საზოგადოებას (აი საცავი GitHub-ზე). ModSecurity ბლოკავს აპლიკაციებზე თავდასხმებს რეგულარული გამონათქვამების სტანდარტული ნაკრების (ხელმოწერების) საფუძველზე - ინსტრუმენტები შაბლონებზე დაფუძნებული მოთხოვნების შესამოწმებლად - OWASP ძირითადი წესების ნაკრები.

შედეგად, დეველოპერებმა მოახერხეს თავიანთი მიზნის მიღწევა - ახალი WAF გადაწყვეტილებები გამოჩნდა ბაზარზე, მათ შორის ModSecurity-ის საფუძველზე აგებული.

სამი თაობა უკვე ისტორიაა

ჩვეულებრივია გამოიყოს WAF სისტემების სამი თაობა, რომლებიც განვითარდა ტექნოლოგიების განვითარებასთან ერთად.

პირველი თაობა. მუშაობს რეგულარულ გამონათქვამებთან (ან გრამატიკებთან). ეს მოიცავს ModSecurity-ს. სისტემის პროვაიდერი სწავლობს აპლიკაციებზე თავდასხმების ტიპებს და ქმნის შაბლონებს, რომლებიც აღწერს ლეგიტიმურ და პოტენციურად მავნე მოთხოვნებს. WAF ამოწმებს ამ სიებს და წყვეტს რა უნდა გააკეთოს კონკრეტულ სიტუაციაში - დაბლოკოს მოძრაობა თუ არა.

რეგულარულ გამონათქვამებზე დაფუძნებული გამოვლენის მაგალითია უკვე აღნიშნული პროექტი ძირითადი წესების ნაკრები საჯარო წყარო. Სხვა მაგალითი - ნაქსსი, რომელიც ასევე ღია წყაროა. რეგულარული გამონათქვამების მქონე სისტემებს აქვთ მთელი რიგი უარყოფითი მხარეები, კერძოდ, როდესაც აღმოჩენილია ახალი დაუცველობა, ადმინისტრატორმა უნდა შექმნას დამატებითი წესები ხელით. ფართომასშტაბიანი IT ინფრასტრუქტურის შემთხვევაში შეიძლება არსებობდეს რამდენიმე ათასი წესი. ამდენი რეგულარული გამონათქვამის მართვა საკმაოდ რთულია, რომ აღარაფერი ვთქვათ იმ ფაქტზე, რომ მათ შემოწმებას შეუძლია ქსელის მუშაობის შემცირება.

რეგულარულ გამონათქვამებს ასევე აქვთ საკმაოდ მაღალი ცრუ დადებითი მაჩვენებელი. ცნობილმა ენათმეცნიერმა ნოამ ჩომსკიმ შემოგვთავაზა გრამატიკების კლასიფიკაცია, რომელშიც დაყო ისინი სირთულის ოთხ პირობით დონედ. ამ კლასიფიკაციის მიხედვით, რეგულარულ გამონათქვამებს შეუძლიათ აღწერონ მხოლოდ firewall წესები, რომლებიც არ შეიცავს გადახრებს ნიმუშიდან. ეს ნიშნავს, რომ თავდამსხმელებს შეუძლიათ ადვილად „მოატყუონ“ პირველი თაობის WAF. ამის წინააღმდეგ ბრძოლის ერთ-ერთი მეთოდია სპეციალური სიმბოლოების დამატება აპლიკაციის მოთხოვნებში, რომლებიც გავლენას არ ახდენენ მავნე მონაცემების ლოგიკაზე, მაგრამ არღვევენ ხელმოწერის წესს.

მეორე თაობა. WAF-ების მუშაობისა და სიზუსტის საკითხების გვერდის ავლით, შემუშავდა მეორე თაობის აპლიკაციის ბუხარი. ახლა მათ აქვთ პარსერები, რომლებიც პასუხისმგებელნი არიან მკაცრად განსაზღვრული ტიპის შეტევების იდენტიფიცირებაზე (HTML, JS და ა.შ.). ეს პარსერები მუშაობენ სპეციალურ ნიშნებთან, რომლებიც აღწერენ შეკითხვებს (მაგალითად, ცვლადი, სტრიქონი, უცნობი, რიცხვი). პოტენციურად მავნე ტოკენების თანმიმდევრობა მოთავსებულია ცალკე სიაში, რომელსაც WAF სისტემა რეგულარულად ამოწმებს. ეს მიდგომა პირველად აჩვენეს Black Hat 2012-ის კონფერენციაზე C/C++-ის სახით ლიბინექციის ბიბლიოთეკები, რომელიც საშუალებას გაძლევთ აღმოაჩინოთ SQL ინექციები.

პირველი თაობის WAF-ებთან შედარებით, სპეციალიზებული პარსერი შეიძლება იყოს უფრო სწრაფი. ამასთან, მათ არ გადაჭრეს სისტემის ხელით კონფიგურაციასთან დაკავშირებული სირთულეები, როდესაც გამოჩნდება ახალი მავნე შეტევები.

მესამე თაობა. მესამე თაობის აღმოჩენის ლოგიკაში ევოლუცია შედგება მანქანური სწავლების მეთოდების გამოყენებით, რაც შესაძლებელს ხდის აღმოჩენის გრამატიკა მაქსიმალურად მიახლოება დაცული სისტემების რეალურ SQL/HTML/JS გრამატიკასთან. ამ გამოვლენის ლოგიკას შეუძლია ტურინგის აპარატის ადაპტირება რეკურსიულად რიცხული გრამატიკების დასაფარად. უფრო მეტიც, ადრე ადაპტირებადი ტურინგის მანქანის შექმნის ამოცანა გადაუჭრელი იყო, სანამ არ გამოქვეყნდებოდა ნერვული ტურინგის მანქანების პირველი კვლევები.

მანქანური სწავლება უზრუნველყოფს უნიკალურ უნარს ადაპტირდეს ნებისმიერი გრამატიკა ნებისმიერი ტიპის თავდასხმის დასაფარად, ხელმოწერების სიების ხელით შექმნის გარეშე, როგორც ეს საჭიროა პირველი თაობის აღმოჩენაში, და ახალი ტოკენიზატორების/პარსერების შემუშავების გარეშე შეტევის ახალი ტიპებისთვის, როგორიცაა Memcached, Redis, Cassandra, SSRF ინექციები. , როგორც ამას მეორე თაობის მეთოდოლოგია მოითხოვს.

აღმოჩენის ლოგიკის სამივე თაობის გაერთიანებით, ჩვენ შეგვიძლია დავხატოთ ახალი დიაგრამა, რომელშიც აღმოჩენის მესამე თაობა წარმოდგენილია წითელი მონახაზით (სურათი 3). ეს თაობა მოიცავს ერთ-ერთ გადაწყვეტილებას, რომელსაც ჩვენ ვახორციელებთ ღრუბელში, ონსეკთან ერთად, ვებ აპლიკაციების ადაპტური დაცვის პლატფორმის შემქმნელთან და Wallarm API-სთან ერთად.

გამოვლენის ლოგიკა ახლა იყენებს უკუკავშირს აპლიკაციიდან, რომ თავად დააკონფიგურიროთ. მანქანათმცოდნეობაში ამ უკუკავშირის ციკლს „გაძლიერება“ ეწოდება. როგორც წესი, არსებობს ასეთი გამაგრების ერთი ან რამდენიმე ტიპი:

• განაცხადის რეაგირების ქცევის ანალიზი (პასიური)
• სკანირება/ფუზერი (აქტიური)
• შეატყობინეთ ფაილებს/ჩამჭრელ პროცედურებს/ხაფანგებს (ფაქტის შემდეგ)
• სახელმძღვანელო (განსაზღვრულია ხელმძღვანელის მიერ)

შედეგად, მესამე თაობის გამოვლენის ლოგიკა ასევე ეხება სიზუსტის მნიშვნელოვან საკითხს. ახლა შესაძლებელია არა მხოლოდ ცრუ დადებითი და ცრუ ნეგატივების თავიდან აცილება, არამედ მოქმედი ჭეშმარიტი ნეგატივების აღმოჩენაც, როგორიცაა SQL ბრძანების ელემენტის გამოყენება საკონტროლო პანელში, ვებ გვერდის შაბლონის ჩატვირთვა, JavaScript შეცდომებთან დაკავშირებული AJAX მოთხოვნები და სხვა.

შემდეგი, ჩვენ განვიხილავთ WAF-ის განხორციელების სხვადასხვა ვარიანტების ტექნოლოგიურ შესაძლებლობებს.

აპარატურა, პროგრამული უზრუნველყოფა თუ ღრუბელი - რა ავირჩიოთ?

აპლიკაციის firewalls-ის დანერგვის ერთ-ერთი ვარიანტი არის აპარატურის გადაწყვეტა. ასეთი სისტემები არის სპეციალიზებული გამოთვლითი მოწყობილობები, რომლებსაც კომპანია ადგილობრივად აყენებს თავის მონაცემთა ცენტრში. მაგრამ ამ შემთხვევაში, თქვენ უნდა შეიძინოთ საკუთარი აღჭურვილობა და გადაიხადოთ ფული ინტეგრატორებს მის დასაყენებლად და გამართვისთვის (თუ კომპანიას არ აქვს საკუთარი IT დეპარტამენტი). ამავდროულად, ნებისმიერი მოწყობილობა ხდება მოძველებული და გამოუსადეგარი, ამიტომ მომხმარებლები იძულებულნი არიან ბიუჯეტის დახარჯვა ტექნიკის განახლებისთვის.

WAF-ის განლაგების კიდევ ერთი ვარიანტი არის პროგრამული უზრუნველყოფის განხორციელება. გამოსავალი დაინსტალირებულია როგორც ზოგიერთი პროგრამული უზრუნველყოფის დამატება (მაგალითად, ModSecurity კონფიგურირებულია Apache-ს თავზე) და მუშაობს მასთან ერთად იმავე სერვერზე. როგორც წესი, ასეთი გადაწყვეტილებები შეიძლება განთავსდეს როგორც ფიზიკურ სერვერზე, ასევე ღრუბელში. მათი მინუსი არის შეზღუდული მასშტაბურობა და გამყიდველის მხარდაჭერა.

მესამე ვარიანტი არის WAF-ის დაყენება ღრუბლიდან. ასეთი გადაწყვეტილებები მოწოდებულია ღრუბლოვანი პროვაიდერების მიერ, როგორც სააბონენტო სერვისი. კომპანიას არ სჭირდება სპეციალიზებული ტექნიკის შეძენა და კონფიგურაცია; ეს ამოცანები ეკისრება სერვისის პროვაიდერს. მნიშვნელოვანი ისაა, რომ თანამედროვე ღრუბლოვანი WAF არ გულისხმობს რესურსების მიგრაციას პროვაიდერის პლატფორმაზე. საიტი შეიძლება განთავსდეს ნებისმიერ ადგილას, თუნდაც ადგილზე.

ჩვენ განვმარტავთ, თუ რატომ უყურებენ ადამიანები ახლა უფრო მეტად ღრუბლოვან WAF-ს.

რისი გაკეთება შეუძლია WAF-ს ღრუბელში

ტექნოლოგიური შესაძლებლობების თვალსაზრისით:

• პროვაიდერი პასუხისმგებელია განახლებებზე. WAF უზრუნველყოფილია გამოწერით, ამიტომ სერვისის პროვაიდერი აკონტროლებს განახლებებისა და ლიცენზიების შესაბამისობას. განახლებები ეხება არა მხოლოდ პროგრამულ უზრუნველყოფას, არამედ აპარატურასაც. პროვაიდერი განაახლებს სერვერის პარკს და ინარჩუნებს მას. ის ასევე პასუხისმგებელია დატვირთვის დაბალანსებაზე და სიჭარბეზე. თუ WAF სერვერი ვერ ხერხდება, ტრაფიკი დაუყოვნებლივ გადამისამართდება სხვა მოწყობილობაზე. ტრაფიკის რაციონალური განაწილება საშუალებას გაძლევთ თავიდან აიცილოთ სიტუაციები, როდესაც ბუხარი შედის ჩავარდნის ღია რეჟიმში - ის ვერ უმკლავდება დატვირთვას და წყვეტს მოთხოვნების ფილტრაციას.
• ვირტუალური პატჩინგი. ვირტუალური პატჩები ზღუდავს წვდომას აპლიკაციის კომპრომეტირებულ ნაწილებზე, სანამ დეველოპერი არ დახურავს დაუცველობას. შედეგად, ღრუბლოვანი პროვაიდერის მომხმარებელი იღებს შესაძლებლობას, მშვიდად დაელოდოს სანამ ამა თუ იმ პროგრამული უზრუნველყოფის მიმწოდებელი გამოაქვეყნებს ოფიციალურ „პატჩებს“. ამის რაც შეიძლება სწრაფად გაკეთება პრიორიტეტია პროგრამული უზრუნველყოფის მიმწოდებლისთვის. მაგალითად, Wallarm პლატფორმაში ცალკე პროგრამული მოდული პასუხისმგებელია ვირტუალურ შესწორებაზე. ადმინისტრატორს შეუძლია დაამატოს ჩვეულებრივი რეგულარული გამონათქვამები მავნე მოთხოვნების დასაბლოკად. სისტემა შესაძლებელს ხდის ზოგიერთი მოთხოვნის მონიშვნას „კონფიდენციალური მონაცემების“ დროშით. შემდეგ მათი პარამეტრები ნიღბავს და არავითარ შემთხვევაში არ გადაიცემა firewall-ის სამუშაო ზონის გარეთ.
• ჩამონტაჟებული პერიმეტრი და დაუცველობის სკანერი. ეს საშუალებას გაძლევთ დამოუკიდებლად განსაზღვროთ IT ინფრასტრუქტურის ქსელის საზღვრები DNS მოთხოვნებისა და WHOIS პროტოკოლის მონაცემების გამოყენებით. ამის შემდეგ, WAF ავტომატურად აანალიზებს სერვისებს, რომლებიც მუშაობენ პერიმეტრზე (ახორციელებს პორტის სკანირებას). Firewall-ს შეუძლია აღმოაჩინოს ყველა გავრცელებული ტიპის დაუცველობა - SQLi, XSS, XXE და ა.შ. - და გამოავლინოს შეცდომები პროგრამული უზრუნველყოფის კონფიგურაციაში, მაგალითად, Git და BitBucket საცავებში არაავტორიზებული წვდომა და ანონიმური ზარები Elasticsearch, Redis, MongoDB.
• თავდასხმებს აკონტროლებს ღრუბელი რესურსები. როგორც წესი, ღრუბელ პროვაიდერებს აქვთ დიდი რაოდენობით გამოთვლითი ძალა. ეს საშუალებას გაძლევთ გაანალიზოთ საფრთხეები მაღალი სიზუსტით და სიჩქარით. ღრუბელში განლაგებულია ფილტრის კვანძების კლასტერი, რომლის მეშვეობითაც გადის მთელი ტრაფიკი. ეს კვანძები ბლოკავს შეტევებს ვებ აპლიკაციებზე და აგზავნის სტატისტიკას ანალიტიკის ცენტრში. ის იყენებს მანქანათმცოდნეობის ალგორითმებს, რათა განაახლოს დაბლოკვის წესები ყველა დაცული აპლიკაციისთვის. ასეთი სქემის განხორციელება ნაჩვენებია ნახ. 4. უსაფრთხოების ასეთი მორგებული წესები მინიმუმამდე ამცირებს ყალბი ფაირვოლ სიგნალიზაციის რაოდენობას.

ახლა ცოტა ღრუბლოვანი WAF-ების მახასიათებლების შესახებ ორგანიზაციული საკითხებისა და მენეჯმენტის თვალსაზრისით:

• გადასვლა OpEx-ზე. ღრუბლოვანი WAF-ების შემთხვევაში, განხორციელების ღირებულება იქნება ნულოვანი, რადგან ყველა აპარატურა და ლიცენზია უკვე გადახდილია პროვაიდერის მიერ; სერვისის გადახდა ხდება გამოწერით.
• სხვადასხვა სატარიფო გეგმები. ღრუბლოვანი სერვისის მომხმარებელს შეუძლია სწრაფად ჩართოს ან გამორთოს დამატებითი პარამეტრები. ფუნქციები იმართება ერთი მართვის პანელიდან, რომელიც ასევე უსაფრთხოა. მასზე წვდომა ხდება HTTPS-ით, გარდა ამისა, არსებობს ორფაქტორიანი ავთენტიფიკაციის მექანიზმი, რომელიც დაფუძნებულია TOTP (Time-based One-Time Password Algorithm) პროტოკოლზე.
• კავშირი DNS-ის საშუალებით. თქვენ შეგიძლიათ თავად შეცვალოთ DNS და დააკონფიგურიროთ ქსელის მარშრუტიზაცია. ამ პრობლემების გადასაჭრელად არ არის საჭირო ინდივიდუალური სპეციალისტების დაქირავება და მომზადება. როგორც წესი, პროვაიდერის ტექნიკური მხარდაჭერა დაგეხმარებათ დაყენებაში.

WAF ტექნოლოგიები განვითარდა მარტივი ბუხრულებიდან ცერის წესებით კომპლექსურ დაცვის სისტემებამდე მანქანური სწავლის ალგორითმებით. აპლიკაციის firewalls ახლა გთავაზობთ ფუნქციების ფართო სპექტრს, რომელთა განხორციელება რთული იყო 90-იან წლებში. მრავალი თვალსაზრისით, ახალი ფუნქციონირების გაჩენა შესაძლებელი გახდა ღრუბლოვანი ტექნოლოგიების წყალობით. WAF გადაწყვეტილებები და მათი კომპონენტები განაგრძობენ განვითარებას. ისევე როგორც ინფორმაციული უსაფრთხოების სხვა სფეროები.

ტექსტი მოამზადა ალექსანდრე კარპუზიკოვმა, ინფორმაციული უსაფრთხოების პროდუქტის განვითარების მენეჯერმა ღრუბლოვან პროვაიდერში #CloudMTS.

წყარო: www.habr.com