ការវិវត្តន៍នៃ Web Application Firewall៖ ពី Firewall ទៅប្រព័ន្ធការពារដែលមានមូលដ្ឋានលើពពកជាមួយនឹងការរៀនម៉ាស៊ីន

នៅក្នុងសម្ភារៈពីមុនរបស់យើងលើប្រធានបទពពកយើង បានប្រាប់របៀបការពារធនធាន IT នៅក្នុងពពកសាធារណៈ និងមូលហេតុដែលកំចាត់មេរោគបែបប្រពៃណីមិនសមរម្យទាំងស្រុងសម្រាប់គោលបំណងទាំងនេះ។ នៅក្នុងការប្រកាសនេះ យើងនឹងបន្តប្រធានបទនៃសុវត្ថិភាពលើពពក ហើយនិយាយអំពីការវិវត្តន៍នៃ WAF និងអ្វីដែលប្រសើរជាងក្នុងការជ្រើសរើស៖ ផ្នែករឹង កម្មវិធី ឬពពក។ 

WAF គឺជាអ្វី

ច្រើនជាង 75% នៃការវាយប្រហាររបស់ពួក Hacker គឺសំដៅទៅលើភាពងាយរងគ្រោះនៃកម្មវិធី និងគេហទំព័រ៖ ការវាយប្រហារបែបនេះជាធម្មតាមើលមិនឃើញចំពោះហេដ្ឋារចនាសម្ព័ន្ធសន្តិសុខព័ត៌មាន និងសេវាកម្មសន្តិសុខព័ត៌មាន។ ភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីគេហទំព័រមានហានិភ័យនៃការសម្របសម្រួល និងការក្លែងបន្លំគណនីអ្នកប្រើប្រាស់ និងទិន្នន័យផ្ទាល់ខ្លួន ពាក្យសម្ងាត់ និងលេខកាតឥណទាន។ លើសពីនេះទៀត ភាពងាយរងគ្រោះនៅក្នុងគេហទំព័របម្រើជាចំណុចចូលសម្រាប់អ្នកវាយប្រហារចូលទៅក្នុងបណ្តាញសាជីវកម្ម។

Web Application Firewall (WAF) គឺជាអេក្រង់ការពារដែលរារាំងការវាយប្រហារលើកម្មវិធីគេហទំព័រ៖ ការចាក់ SQL, ស្គ្រីបឆ្លងគេហទំព័រ, ការប្រតិបត្តិកូដពីចម្ងាយ, កម្លាំង brute និងការឆ្លងកាត់ការអនុញ្ញាត។ រួមទាំងការវាយប្រហារដែលទាញយកភាពងាយរងគ្រោះសូន្យថ្ងៃ។ ជញ្ជាំងភ្លើងកម្មវិធីផ្តល់ការការពារដោយការត្រួតពិនិត្យមាតិកាគេហទំព័រ រួមទាំង HTML, DHTML, និង CSS និងត្រងសំណើ HTTP/HTTPS ដែលមានសក្តានុពល។

តើការសម្រេចចិត្តដំបូងជាអ្វី?

ការប៉ុនប៉ងដំបូងដើម្បីបង្កើត Web Application Firewall ត្រូវបានធ្វើឡើងវិញនៅដើមទសវត្សរ៍ទី 90 ។ យ៉ាងហោចណាស់វិស្វករបីនាក់ត្រូវបានគេដឹងថាបានធ្វើការក្នុងវិស័យនេះ។ ទីមួយគឺសាស្រ្តាចារ្យវិទ្យាសាស្ត្រកុំព្យូទ័រ Gene Spafford មកពីសាកលវិទ្យាល័យ Purdue ។ គាត់បានពិពណ៌នាអំពីស្ថាបត្យកម្មនៃជញ្ជាំងភ្លើងកម្មវិធីប្រូកស៊ី ហើយបានបោះពុម្ពវានៅឆ្នាំ 1991 នៅក្នុងសៀវភៅនេះ។ "UNIX Security នៅក្នុងការអនុវត្ត".

ទីពីរ និងទីបីគឺអ្នកឯកទេសសន្តិសុខព័ត៌មាន William Cheswick និង Marcus Ranum មកពី Bell Labs ។ ពួកគេបានបង្កើតគំរូជញ្ជាំងភ្លើងកម្មវិធីដំបូងមួយ។ វាត្រូវបានចែកចាយដោយ DEC - ផលិតផលត្រូវបានចេញផ្សាយក្រោមឈ្មោះ SEAL (Secure External Access Link) ។

ប៉ុន្តែ SEAL មិនមែនជាដំណោះស្រាយ WAF ពេញលេញនោះទេ។ វាជាជញ្ជាំងភ្លើងបណ្តាញបុរាណដែលមានមុខងារកម្រិតខ្ពស់ - សមត្ថភាពក្នុងការទប់ស្កាត់ការវាយប្រហារលើ FTP និង RSH ។ សម្រាប់ហេតុផលនេះ ដំណោះស្រាយ WAF ដំបូងគេនាពេលបច្ចុប្បន្ននេះត្រូវបានចាត់ទុកថាជាផលិតផលរបស់ Perfecto Technologies (ក្រោយមក Sanctum) ។ នៅឆ្នាំ 1999 នាង បង្ហាញ ប្រព័ន្ធ AppShield ។ នៅពេលនោះ ក្រុមហ៊ុន Perfecto Technologies កំពុងបង្កើតដំណោះស្រាយសុវត្ថិភាពព័ត៌មានសម្រាប់ពាណិជ្ជកម្មអេឡិចត្រូនិក ហើយហាងអនឡាញបានក្លាយជាទស្សនិកជនគោលដៅនៃផលិតផលថ្មីរបស់ពួកគេ។ AppShield អាចវិភាគសំណើ HTTP និងទប់ស្កាត់ការវាយប្រហារដោយផ្អែកលើគោលការណ៍សុវត្ថិភាពព័ត៌មានថាមវន្ត។

នៅជុំវិញពេលដូចគ្នាជាមួយ AppShield (ក្នុងឆ្នាំ 2002) WAF ប្រភពបើកចំហដំបូងបានបង្ហាញខ្លួន។ គាត់​បាន​ក្លាយជា ម៉ូឌែលសុវត្ថិភាព. វាត្រូវបានបង្កើតឡើងក្នុងគោលបំណងធ្វើឱ្យបច្ចេកវិទ្យា WAF ពេញនិយម ហើយនៅតែត្រូវបានគាំទ្រដោយសហគមន៍ IT (នៅទីនេះវាគឺជា ឃ្លាំងនៅលើ GitHub) ModSecurity រារាំងការវាយប្រហារលើកម្មវិធីដោយផ្អែកលើសំណុំស្តង់ដារនៃកន្សោមធម្មតា (ហត្ថលេខា) - ឧបករណ៍សម្រាប់ពិនិត្យមើលសំណើដោយផ្អែកលើលំនាំ - កំណត់ច្បាប់ស្នូល OWASP.

ជាលទ្ធផល អ្នកអភិវឌ្ឍន៍បានគ្រប់គ្រងដើម្បីសម្រេចបាននូវគោលដៅរបស់ពួកគេ - ដំណោះស្រាយ WAF ថ្មីបានចាប់ផ្តើមលេចឡើងនៅលើទីផ្សារ រួមទាំងអ្វីដែលបង្កើតឡើងនៅលើមូលដ្ឋាននៃ ModSecurity ។

បីជំនាន់គឺជាប្រវត្តិសាស្ត្ររួចទៅហើយ

វាជាទម្លាប់ក្នុងការបែងចែកប្រព័ន្ធ WAF ចំនួនបីជំនាន់ ដែលបានវិវត្តន៍ជាមួយនឹងការអភិវឌ្ឍន៍បច្ចេកវិទ្យា។

ជំនាន់ដំបូង. ធ្វើការជាមួយកន្សោមធម្មតា (ឬវេយ្យាករណ៍) ។ នេះរួមបញ្ចូលទាំង ModSecurity ។ អ្នកផ្តល់ប្រព័ន្ធសិក្សាពីប្រភេទនៃការវាយប្រហារលើកម្មវិធី និងបង្កើតគំរូដែលពិពណ៌នាអំពីសំណើដែលស្របច្បាប់ និងអាចមានសក្តានុពល។ WAF ពិនិត្យមើលបញ្ជីទាំងនេះ ហើយសម្រេចចិត្តថាត្រូវធ្វើអ្វីក្នុងស្ថានភាពជាក់លាក់មួយ - ដើម្បីបិទចរាចរណ៍ឬអត់។

ឧទាហរណ៍នៃការរកឃើញដោយផ្អែកលើកន្សោមធម្មតាគឺជាគម្រោងដែលបានរៀបរាប់រួចហើយ កំណត់គោលការណ៍ស្នូល ប្រភព​បើក​ចំហ។ ឧទាហរណ៍មួយទៀត - ណាក់ស៊ីដែលជាប្រភពបើកចំហផងដែរ។ ប្រព័ន្ធដែលមានកន្សោមធម្មតាមានគុណវិបត្តិមួយចំនួន ជាពិសេសនៅពេលដែលភាពងាយរងគ្រោះថ្មីត្រូវបានរកឃើញ អ្នកគ្រប់គ្រងត្រូវបង្កើតច្បាប់បន្ថែមដោយដៃ។ នៅក្នុងករណីនៃហេដ្ឋារចនាសម្ព័ន្ធ IT ខ្នាតធំ អាចមានច្បាប់រាប់ពាន់។ ការគ្រប់គ្រងកន្សោមធម្មតាជាច្រើនគឺពិបាកណាស់ ដោយមិននិយាយពីការពិតដែលថាការត្រួតពិនិត្យពួកវាអាចកាត់បន្ថយដំណើរការបណ្តាញ។

កន្សោមធម្មតាក៏មានអត្រាវិជ្ជមានមិនពិតខ្ពស់ផងដែរ។ ភាសាវិទូដ៏ល្បីល្បាញ Noam Chomsky បានស្នើឱ្យមានការចាត់ថ្នាក់នៃវេយ្យាករណ៍ដែលគាត់បានបែងចែកវាទៅជាបួនកម្រិតនៃភាពស្មុគស្មាញ។ យោងតាមការចាត់ថ្នាក់នេះ កន្សោមធម្មតាអាចពណ៌នាបានតែច្បាប់ជញ្ជាំងភ្លើង ដែលមិនពាក់ព័ន្ធនឹងគម្លាតពីគំរូ។ នេះមានន័យថាអ្នកវាយប្រហារអាច "បន្លំ" WAF ជំនាន់ទីមួយបានយ៉ាងងាយស្រួល។ វិធីសាស្រ្តមួយដើម្បីប្រយុទ្ធប្រឆាំងនឹងនេះគឺដើម្បីបន្ថែមតួអក្សរពិសេសទៅសំណើកម្មវិធីដែលមិនប៉ះពាល់ដល់តក្កវិជ្ជានៃទិន្នន័យព្យាបាទ ប៉ុន្តែបំពានច្បាប់ហត្ថលេខា។

ជំនាន់ទី ២. ដើម្បីជៀសផុតពីបញ្ហាដំណើរការ និងភាពត្រឹមត្រូវនៃ WAFs ជញ្ជាំងភ្លើងកម្មវិធីជំនាន់ទីពីរត្រូវបានបង្កើតឡើង។ ឥឡូវនេះពួកគេមានឧបករណ៍ញែកដែលទទួលខុសត្រូវក្នុងការកំណត់អត្តសញ្ញាណប្រភេទនៃការវាយប្រហារដែលបានកំណត់យ៉ាងតឹងរ៉ឹង (នៅលើ HTML, JS ។ល។)។ ឧបករណ៍ញែកទាំងនេះដំណើរការជាមួយសញ្ញាសម្ងាត់ពិសេសដែលពិពណ៌នាអំពីសំណួរ (ឧទាហរណ៍ អថេរ ខ្សែអក្សរ មិនស្គាល់លេខ)។ លំដាប់និមិត្តសញ្ញាព្យាបាទដែលមានសក្តានុពលត្រូវបានដាក់ក្នុងបញ្ជីដាច់ដោយឡែក ដែលប្រព័ន្ធ WAF ត្រួតពិនិត្យជាប្រចាំ។ វិធីសាស្រ្តនេះត្រូវបានបង្ហាញជាលើកដំបូងនៅក្នុងសន្និសីទ Black Hat 2012 ក្នុងទម្រង់ C/C++ បណ្ណាល័យ libinjectionដែលអនុញ្ញាតឱ្យអ្នករកឃើញការចាក់ SQL ។

បើប្រៀបធៀបទៅនឹង WAFs ជំនាន់ទីមួយ ឧបករណ៍ញែកឯកទេសអាចលឿនជាង។ ទោះជាយ៉ាងណាក៏ដោយ ពួកគេមិនបានដោះស្រាយការលំបាកដែលទាក់ទងនឹងការកំណត់រចនាសម្ព័ន្ធដោយដៃ នៅពេលដែលការវាយប្រហារព្យាបាទថ្មីលេចឡើង។

ជំនាន់ទីបី. ការវិវត្តន៍នៅក្នុងតក្កវិជ្ជានៃការរកឃើញជំនាន់ទី 3 រួមមានការប្រើប្រាស់វិធីសាស្ត្ររៀនម៉ាស៊ីន ដែលធ្វើឱ្យវាអាចនាំយកវេយ្យាករណ៍រាវរកឱ្យជិតតាមដែលអាចធ្វើបានទៅនឹងវេយ្យាករណ៍ SQL/HTML/JS ពិតប្រាកដនៃប្រព័ន្ធការពារ។ តក្កវិជ្ជានៃការរកឃើញនេះអាចសម្របម៉ាស៊ីន Turing ដើម្បីគ្របដណ្តប់វេយ្យាករណ៍ដែលអាចរាប់ឡើងវិញបាន។ លើសពីនេះទៅទៀត ពីមុនភារកិច្ចបង្កើតម៉ាស៊ីន Turing អាដាប់ធ័រមិនអាចដោះស្រាយបានរហូតដល់ការសិក្សាដំបូងនៃម៉ាស៊ីន Turing សរសៃប្រសាទត្រូវបានបោះពុម្ពផ្សាយ។

ការរៀនម៉ាស៊ីនផ្តល់នូវសមត្ថភាពពិសេសក្នុងការសម្របវេយ្យាករណ៍ដើម្បីគ្របដណ្តប់ប្រភេទនៃការវាយប្រហារណាមួយដោយមិនចាំបាច់បង្កើតបញ្ជីហត្ថលេខាដោយដៃតាមតម្រូវការក្នុងការរកឃើញជំនាន់ទី 1 ហើយដោយមិនបង្កើត tokenizers/parser ថ្មីសម្រាប់ប្រភេទវាយប្រហារថ្មីៗដូចជា Memcached, Redis, Cassandra, SSRF injections ដូចដែលបានទាមទារដោយវិធីសាស្រ្តជំនាន់ទីពីរ។

ដោយការរួមបញ្ចូលទាំងបីជំនាន់នៃតក្កវិជ្ជារាវរក យើងអាចគូរដ្យាក្រាមថ្មីមួយដែលការរកឃើញជំនាន់ទីបីត្រូវបានតំណាងដោយគ្រោងពណ៌ក្រហម (រូបភាពទី 3)។ ជំនាន់នេះរួមបញ្ចូលដំណោះស្រាយមួយក្នុងចំណោមដំណោះស្រាយដែលយើងកំពុងអនុវត្តនៅក្នុងពពករួមគ្នាជាមួយ Onsek ដែលជាអ្នកបង្កើតវេទិកាសម្រាប់ការសម្របសម្រួលនៃការការពារកម្មវិធីគេហទំព័រ និង Wallarm API ។

តក្កវិជ្ជានៃការរកឃើញឥឡូវនេះប្រើមតិកែលម្អពីកម្មវិធីដើម្បីកែតម្រូវខ្លួនឯង។ នៅក្នុងការរៀនម៉ាស៊ីន រង្វិលជុំមតិត្រឡប់នេះត្រូវបានគេហៅថា "ការពង្រឹង" ។ ជាធម្មតា មានការពង្រឹងបែបនេះមួយ ឬច្រើនប្រភេទ៖

• ការវិភាគឥរិយាបថឆ្លើយតបកម្មវិធី (អកម្ម)
• ស្កែន/ហ្វុយសឺរ (សកម្ម)
• រាយការណ៍ឯកសារ/នីតិវិធីស្ទាក់ចាប់/អន្ទាក់ (បន្ទាប់ពីការពិត)
• សៀវភៅណែនាំ (កំណត់ដោយអ្នកគ្រប់គ្រង)

ជាលទ្ធផល តក្កវិជ្ជានៃការរកឃើញជំនាន់ទីបីក៏ដោះស្រាយបញ្ហាសំខាន់នៃភាពត្រឹមត្រូវផងដែរ។ ឥឡូវនេះវាអាចធ្វើទៅបានមិនត្រឹមតែដើម្បីជៀសវាងភាពវិជ្ជមានមិនពិត និងអវិជ្ជមានមិនពិតប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងអាចរកឃើញភាពអវិជ្ជមានពិតដែលមានសុពលភាពផងដែរ ដូចជាការរកឃើញនៃការប្រើប្រាស់ធាតុពាក្យបញ្ជា SQL នៅក្នុងផ្ទាំងបញ្ជា ការផ្ទុកគំរូគេហទំព័រ សំណើ AJAX ទាក់ទងនឹងកំហុស JavaScript និងផ្សេងទៀត។

បន្ទាប់មក យើងនឹងពិចារណាអំពីសមត្ថភាពបច្ចេកវិទ្យានៃជម្រើសនៃការអនុវត្ត WAF ផ្សេងៗ។

ផ្នែករឹង កម្មវិធី ឬពពក - តើត្រូវជ្រើសរើសអ្វី?

ជម្រើសមួយក្នុងចំណោមជម្រើសសម្រាប់អនុវត្តជញ្ជាំងភ្លើងកម្មវិធីគឺជាដំណោះស្រាយផ្នែករឹង។ ប្រព័ន្ធបែបនេះគឺជាឧបករណ៍កុំព្យូទ័រឯកទេសដែលក្រុមហ៊ុនដំឡើងក្នុងស្រុកនៅក្នុងមជ្ឈមណ្ឌលទិន្នន័យរបស់ខ្លួន។ ប៉ុន្តែក្នុងករណីនេះ អ្នកត្រូវតែទិញឧបករណ៍ផ្ទាល់ខ្លួនរបស់អ្នក ហើយបង់ប្រាក់ឱ្យអ្នកបញ្ចូលក្នុងការដំឡើង និងបំបាត់កំហុសវា (ប្រសិនបើក្រុមហ៊ុនមិនមានផ្នែកព័ត៌មានវិទ្យាផ្ទាល់ខ្លួន)។ ក្នុងពេលជាមួយគ្នានោះ គ្រឿងបរិក្ខារណាមួយក៏ហួសសម័យ និងមិនអាចប្រើប្រាស់បាន ដូច្នេះអតិថិជនត្រូវបង្ខំចិត្តទុកថវិកាសម្រាប់ធ្វើបច្ចុប្បន្នភាពផ្នែករឹង។

ជម្រើសមួយទៀតសម្រាប់ការដាក់ពង្រាយ WAF គឺជាការអនុវត្តកម្មវិធី។ ដំណោះស្រាយត្រូវបានដំឡើងជាកម្មវិធីបន្ថែមសម្រាប់កម្មវិធីមួយចំនួន (ឧទាហរណ៍ ModSecurity ត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅលើ Apache) ហើយដំណើរការលើម៉ាស៊ីនមេតែមួយជាមួយវា។ តាមក្បួនមួយ ដំណោះស្រាយបែបនេះអាចត្រូវបានដាក់ពង្រាយទាំងនៅលើម៉ាស៊ីនមេ និងក្នុងពពក។ គុណវិបត្តិរបស់ពួកគេគឺលទ្ធភាពធ្វើមាត្រដ្ឋានមានកម្រិត និងការគាំទ្រពីអ្នកលក់។

ជម្រើសទីបីគឺការដំឡើង WAF ពីពពក។ ដំណោះស្រាយបែបនេះត្រូវបានផ្តល់ដោយអ្នកផ្តល់សេវាពពកជាសេវាកម្មជាវ។ ក្រុមហ៊ុនមិនចាំបាច់ទិញ និងកំណត់រចនាសម្ព័ន្ធផ្នែករឹងឯកទេសទេ កិច្ចការទាំងនេះធ្លាក់លើស្មារបស់អ្នកផ្តល់សេវា។ ចំណុចសំខាន់មួយគឺថា ពពក WAF ទំនើបមិនបញ្ជាក់ពីការផ្លាស់ប្តូរធនធានទៅកាន់វេទិការបស់អ្នកផ្តល់សេវានោះទេ។ គេហទំព័រនេះអាចត្រូវបានដាក់ពង្រាយគ្រប់ទីកន្លែង សូម្បីតែនៅក្នុងបរិវេណ។

យើងនឹងពន្យល់បន្ថែមពីមូលហេតុដែលមនុស្សឥឡូវនេះកំពុងសម្លឹងមើលទៅលើពពក WAF កាន់តែខ្លាំងឡើង។

អ្វីដែល WAF អាចធ្វើបាននៅក្នុងពពក

ទាក់ទងនឹងសមត្ថភាពបច្ចេកវិទ្យា៖

• អ្នកផ្តល់សេវាទទួលខុសត្រូវចំពោះការអាប់ដេត. WAF ត្រូវបានផ្តល់ដោយការជាវ ដូច្នេះអ្នកផ្តល់សេវាត្រួតពិនិត្យភាពពាក់ព័ន្ធនៃបច្ចុប្បន្នភាព និងអាជ្ញាប័ណ្ណ។ ការ​ធ្វើ​បច្ចុប្បន្នភាព​បារម្ភ​មិន​ត្រឹម​តែ​កម្មវិធី​ប៉ុណ្ណោះ​ទេ ប៉ុន្តែ​ក៏​មាន​ផ្នែក​រឹង​ដែរ។ អ្នកផ្តល់សេវាធ្វើឱ្យប្រសើរឡើងនូវកន្លែងចតម៉ាស៊ីនមេ និងថែទាំវា។ វាក៏ទទួលខុសត្រូវផងដែរចំពោះសមតុល្យបន្ទុក និងការប្រើប្រាស់ឡើងវិញ។ ប្រសិនបើម៉ាស៊ីនមេ WAF បរាជ័យ ចរាចរណ៍ត្រូវបានបញ្ជូនបន្តទៅម៉ាស៊ីនមួយផ្សេងទៀតភ្លាមៗ។ ការចែកចាយចរាចរសមហេតុផលអនុញ្ញាតឱ្យអ្នកជៀសវាងស្ថានភាពនៅពេលដែលជញ្ជាំងភ្លើងចូលទៅក្នុងរបៀបបើកដែលបរាជ័យ - វាមិនអាចទប់ទល់នឹងបន្ទុក និងបញ្ឈប់ការស្នើសុំតម្រង។
• បំណះនិម្មិត. បំណះនិម្មិតដាក់កម្រិតការចូលប្រើផ្នែកដែលត្រូវបានសម្របសម្រួលនៃកម្មវិធី រហូតដល់អ្នកអភិវឌ្ឍន៍បិទភាពងាយរងគ្រោះ។ ជាលទ្ធផល អតិថិជនរបស់អ្នកផ្តល់សេវាពពកទទួលបានឱកាសដើម្បីរង់ចាំដោយស្ងប់ស្ងាត់រហូតដល់អ្នកផ្គត់ផ្គង់កម្មវិធីនេះ ឬកម្មវិធីនោះចេញផ្សាយ "បំណះ" ផ្លូវការ។ ការធ្វើបែបនេះឱ្យបានលឿនតាមដែលអាចធ្វើទៅបានគឺជាអាទិភាពសម្រាប់អ្នកផ្គត់ផ្គង់កម្មវិធី។ ឧទាហរណ៍ នៅក្នុងវេទិកា Wallarm ម៉ូឌុលកម្មវិធីដាច់ដោយឡែកគឺទទួលខុសត្រូវចំពោះការបំណះនិម្មិត។ អ្នកគ្រប់គ្រងអាចបន្ថែមកន្សោមធម្មតាផ្ទាល់ខ្លួនដើម្បីទប់ស្កាត់សំណើព្យាបាទ។ ប្រព័ន្ធធ្វើឱ្យវាអាចសម្គាល់សំណើមួយចំនួនដោយប្រើទង់ "ទិន្នន័យសម្ងាត់" ។ បន្ទាប់មកប៉ារ៉ាម៉ែត្ររបស់ពួកគេត្រូវបានបិទបាំងហើយមិនស្ថិតក្រោមកាលៈទេសៈណាក៏ដោយពួកគេត្រូវបានបញ្ជូននៅខាងក្រៅតំបន់ធ្វើការនៃជញ្ជាំងភ្លើង។
• ឧបករណ៍ស្កែនមើលភាពងាយរងគ្រោះ និងបរិវេណដែលភ្ជាប់មកជាមួយ. នេះអនុញ្ញាតឱ្យអ្នកកំណត់ដោយឯករាជ្យនូវព្រំដែនបណ្តាញនៃហេដ្ឋារចនាសម្ព័ន្ធ IT ដោយប្រើទិន្នន័យពីសំណួរ DNS និងពិធីការ WHOIS ។ បន្ទាប់មក WAF វិភាគដោយស្វ័យប្រវត្តិនូវសេវាកម្មដែលកំពុងដំណើរការនៅខាងក្នុងបរិវេណ (ធ្វើការស្កេនច្រក)។ ជញ្ជាំងភ្លើងអាចរកឃើញភាពងាយរងគ្រោះគ្រប់ប្រភេទទូទៅ - SQLi, XSS, XXE ។ល។ - និងកំណត់អត្តសញ្ញាណកំហុសក្នុងការកំណត់រចនាសម្ព័ន្ធកម្មវិធី ឧទាហរណ៍ ការចូលប្រើដោយគ្មានការអនុញ្ញាតទៅកាន់ឃ្លាំង Git និង BitBucket និងការហៅអនាមិកទៅកាន់ Elasticsearch, Redis, MongoDB ។
• ការវាយប្រហារត្រូវបានត្រួតពិនិត្យដោយធនធានពពក. តាមក្បួនមួយ អ្នកផ្តល់សេវាពពកមានថាមពលកុំព្យូទ័រច្រើន។ នេះអនុញ្ញាតឱ្យអ្នកវិភាគការគំរាមកំហែងជាមួយនឹងភាពត្រឹមត្រូវ និងល្បឿនខ្ពស់។ ចង្កោមនៃថ្នាំងតម្រងត្រូវបានដាក់ពង្រាយក្នុងពពក ដែលចរាចរទាំងអស់ឆ្លងកាត់។ ថ្នាំងទាំងនេះរារាំងការវាយប្រហារលើកម្មវិធីគេហទំព័រ និងផ្ញើស្ថិតិទៅមជ្ឈមណ្ឌលវិភាគ។ វាប្រើក្បួនដោះស្រាយការរៀនម៉ាស៊ីនដើម្បីធ្វើបច្ចុប្បន្នភាពច្បាប់ទប់ស្កាត់សម្រាប់កម្មវិធីដែលបានការពារទាំងអស់។ ការអនុវត្តគ្រោងការណ៍បែបនេះត្រូវបានបង្ហាញនៅក្នុងរូបភព។ 4. ច្បាប់សុវត្ថិភាពដែលបានកែសម្រួលបែបនេះកាត់បន្ថយចំនួនសំឡេងរោទិ៍ជញ្ជាំងភ្លើងមិនពិត។

ឥឡូវនេះបន្តិចអំពីលក្ខណៈពិសេសនៃ cloud WAFs ទាក់ទងនឹងបញ្ហាស្ថាប័ន និងការគ្រប់គ្រង៖

• ការផ្លាស់ប្តូរទៅ OpEx. ក្នុងករណីនៃ WAFs ពពក តម្លៃនៃការអនុវត្តនឹងសូន្យ ចាប់តាំងពីផ្នែករឹង និងអាជ្ញាប័ណ្ណទាំងអស់ត្រូវបានបង់រួចហើយដោយអ្នកផ្តល់សេវាគឺធ្វើឡើងដោយការជាវ។
• ផែនការពន្ធផ្សេងៗគ្នា. អ្នកប្រើប្រាស់សេវាពពកអាចបើក ឬបិទជម្រើសបន្ថែមបានយ៉ាងឆាប់រហ័ស។ មុខងារត្រូវបានគ្រប់គ្រងពីផ្ទាំងបញ្ជាតែមួយ ដែលវាមានសុវត្ថិភាពផងដែរ។ វាត្រូវបានចូលប្រើតាមរយៈ HTTPS រួមទាំងមានយន្តការផ្ទៀងផ្ទាត់ពីរកត្តាផ្អែកលើ TOTP (Time-based One-Time Password Algorithm) protocol។
• ការតភ្ជាប់តាមរយៈ DNS. អ្នកអាចផ្លាស់ប្តូរ DNS ដោយខ្លួនឯង និងកំណត់រចនាសម្ព័ន្ធការបញ្ជូនបណ្តាញ។ ដើម្បីដោះស្រាយបញ្ហាទាំងនេះ មិនចាំបាច់ជ្រើសរើស និងបណ្តុះបណ្តាលអ្នកឯកទេសបុគ្គលនោះទេ។ តាមក្បួន ជំនួយបច្ចេកទេសរបស់អ្នកផ្តល់សេវាអាចជួយក្នុងការរៀបចំ។

បច្ចេកវិទ្យា WAF បានវិវត្តន៍ពីជញ្ជាំងភ្លើងសាមញ្ញដែលមានច្បាប់មេដៃទៅប្រព័ន្ធការពារស្មុគស្មាញជាមួយនឹងក្បួនដោះស្រាយការរៀនម៉ាស៊ីន។ ជញ្ជាំងភ្លើងកម្មវិធីឥឡូវនេះផ្តល់ជូននូវមុខងារជាច្រើនដែលពិបាកអនុវត្តក្នុងទសវត្សរ៍ទី 90 ។ តាមវិធីជាច្រើន ការលេចឡើងនៃមុខងារថ្មីបានក្លាយជាអាចធ្វើទៅបាន ដោយសារបច្ចេកវិទ្យាពពក។ ដំណោះស្រាយ WAF និងសមាសធាតុរបស់វាបន្តវិវត្ត។ ដូចជាផ្នែកផ្សេងទៀតនៃសន្តិសុខព័ត៌មាន។

អត្ថបទត្រូវបានរៀបចំដោយ Alexander Karpuzikov អ្នកគ្រប់គ្រងការអភិវឌ្ឍន៍ផលិតផលសុវត្ថិភាពព័ត៌មាននៅក្រុមហ៊ុនផ្តល់សេវាពពក #CloudMTS ។

ប្រភព: www.habr.com