In materia nostra praecedente materia in nubes thema, nos quomodo facultates IT in nube publica tuentur et cur antiviruses traditi ad hos usus omnino non sint idonei. In hac statione permanebimus thema securitatis nubis et loqui de evolutione WAF et quod melius est eligere: ferramenta, programmata vel nubes.
Quod WAF
Plus quam 75% of impetus piraticae intenditur ad vulnerabilitates applicationum et paginarum interretialium: tales impetus plerumque invisibiles sunt ad informationes securitatis infrastructuram et informationes securitatis. Vulnerabilitates in applicationibus interretialibus portant, vicissim, pericula compromissi et fraudis rationum usorum et notitiarum personalium, passwords et numerus creditorum. Praeterea vulnerabilities website ut punctum viscus pro oppugnatoribus in network corporatum servent.
Applicatio interretialis Firewall (WAF) est tegumentum tutelae quod impedit impetus in applicationibus interretialibus: SQL iniectio, transversio scriptionis, exsecutio codicis remoti, violenta vis et auctoritas praeterire. Impetus qui nulla hodie vulnerabilitates comprehendunt. Firewalls applicationis tutelam praebent vigilantia paginarum contentorum, incluso HTML, DHTML, et CSS, ac potentia malitiosorum HTTP/HTTPS petitiones eliquare.
Quae erant prima decreta?
Primi conatus ad applicationem Web Applicationem Firewall in primis 90s facti sunt. Saltem tres fabrum in hoc campo functus esse noscuntur. Prima scientia computatoria est professor Gene Spafford ex Universitate Purdue. Architecturam procuratoris applicationis firewall descripsit et anno 1991 in libro edidit .
Secunda et tertia notitiae securitatis adhibendi sunt Gulielmi Cheswick et Marcus Ranum de Bell Labs. Unum primae applicationis firewall prototypa elaboraverunt. Distributa est per DEC - factum sub nomine SEAL (Secure Access Link externi).
Sed sigillum non erat plena solutio WAF flexae. Erat classica retis firewall cum functionality provecta - facultas oppugnationum in FTP et RSH angustos. Hac de causa, prima solutio hodie WAF productum esse censetur Perfecto Technologiae (postea Sanctum). In MCMXCIX illa AppShield ratio. In illo tempore, Perfecto Technologiae solutiones securitatis notitiarum solutionum e-commercii promovebant, et commeatus online factus est scopum auditorium novi operis eorum. AppShield HTTP postulationes resolvere poterat et impetus obstruxerat in agendis securitatis informationis dynamicae.
Circa idem tempus, quo AppShield (anno 2002), primum fons apertum WAF apparuit. Et factus est . Is creatus est ut WAF technologiae popularis et adhuc communitati IT suffragatur (hic est. ). ModSecuritas impedit impetus in applicationibus innixa norma certae expressionum regularium (signaturarum) - instrumenta ad petitiones reprimendas innixas exemplaria - .
Quam ob rem, tincidunt ad finem suum assequendum curaverunt - solutiones novae WAF in mercatu apparere coeperunt, in iis etiam quae ex ModSecuritatis fundamento aedificantur.
Tres generationes iam sunt historiae
Solet tria genera systematum WAF distinguere, quae cum progressu technologiae evolutae sunt.
Prima seu immediata generatio. Opera cum expressionibus regularibus (seu grammaticae). Hoc includit ModSecurity. Provisor systematis studet rationes oppugnationum in applicationes et rationes generat, quae petitiones malignas legitimas et potentia describunt. WAF hos libros compescit ac decernit quid faciendum sit in certo situ - intercludere negotiatio necne.
Exemplum deprehensio in expressionibus regularibus est iam dictum consilium aperta principium. Aliud exemplum - qui et ipse fons est. Systema cum expressionibus regularibus complura incommoda habent, praesertim cum nova vulnerabilitas deprehensa est, administratorem alia praecepta manually creare debet. In casu magna infrastructura IT multa regulae milia esse possunt. Tot expressiones regulares administrandi satis difficile est, ne dicam quod inhibens eas reducere potest retis faciendis.
Expressiones regulares etiam satis altam falsam affirmativam habent. Nobilis linguista Noam Chomsky grammaticae classificationem proposuit, in qua eos in quattuor condicionales complexionis gradus divisit. Secundum hanc classificationem, expressiones regulares solum regulas firewall describere possunt, quae ab exemplari deviationes non involvunt. Hoc modo oppugnatores facile possunt "stulte" primam generationem WAF. Una ratio certandi hoc est speciales notas addere ad applicationes postulationum quae logicam notarum malignarum non afficiunt, sed regulae subscriptionis violant.
secundi. Ad quaestiones perficiendas et accurate WAFs circumveniendum, generationis applicationis sclopetis secundae augebantur. Parsers nunc sunt qui responsabiles genera oppugnationum stricte definitas cognoscendi sunt (in HTML, JS, etc.). Hi parsers operantur insignibus specialibus quae quaero quae describent (exempli gratia variabilis, chorda, ignota, numerus). Potentia maligna sequentiarum tesserae in indice separato positae sunt, quas systema WAF regulariter contra cohibet. Hic aditus primus in colloquio Niger Hat 2012 monstravit in forma C/C++ quae permittit ut injectiones SQL deprehendas.
Comparari ad primam generationem WAFs, parsers specialitas celerius esse potest. Nihilominus difficultates non solvebant cum systema manually configurantes, cum novus impetus malignorum apparent.
tertianorum;. Evolutio in tertia-generatione detectionis logicae consistit in usu machinarum methodorum discendi, quae efficere potest ut grammatica detectio quam proxime ad reales systemata SQL/HTML/JS deducat. Haec deprehensio logica potest machinam Turingam accommodare ad grammaticas enumerandas recursively. Praeterea antea munus machinae Turing aptae creandae insolubile erat donec prima machinarum neural studia Turing divulgata sunt.
Apparatus discendi facultatem praebet unicam accommodandi cuilibet grammaticae ad operiendum quodlibet genus oppugnationis sine manuali creandi scriptione subscriptio quae requiritur in primo-generatione detectionis, et sine novis signis/parsers novarum oppugnationum genera, ut Memcached, Redis, Cassandra, SSRF injectiones requirente secundae methodi.
Omnes tres generationes logicae deprehensionis colligendo, novum schemate deducere possumus in quo tertia deprehensionis generatio per rubram figuram repraesentatur (Figura III). Generatio haec unum includit solutionum quas in nube una cum Onsek inducunt, elit suggesti ad tutelam applicationum interretiales et Wallarm API.
Logica detectio nunc opiniones adhibet ab applicatione ad ipsam cantionem sui. In machina discendi, haec feedback ansa "auxilium" appellatur. De more, unum vel plura huiusmodi supplementi genera sunt;
- Analysis applicationis responsio mores (passive)
- Scan / fuzzer (active)
- Report files / interceptor ratio / laqueos (post facto)
- Manual (definitum per supervisorem)
Quam ob rem logica deprehensio tertiae-generationis etiam momenti quaestionem accurationis praebet. Nunc possibile est non solum falsas positivas et negativas falsas vitare, sed etiam veras negationes validas deprehendere, sicut detectio elementi SQL praecepti usus in Control Panel, pagina templates onerandi, AJAX petitiones ad JavaScript errores relatas, et alios.
Deinde considerabimus facultates technologicas variarum WAF optionum exsequendorum.
Ferramentum, luctus vel nubes - quid sumo?
Una optionum applicationis firewalls ad effectum deducendi hardware solutionis est. Huiusmodi systemata specialia sunt machinis computandis quae societas localiter in suo centro datorum installat. Sed hoc in casu, habes apparatum tuum redimere et pecuniam integratoribus dare ad eam instituendam et debugging (si dolor suum IT department habet). Eodem tempore, quodlibet apparatum evasit et inutile fit, sic clientes coguntur ut nibh in hardware upgrades.
Alia optio explicandi WAF est exsecutio programmatis. Solutio inauguratur ut adiectio pro aliquo programmate (exempli gratia: ModSecuritas super Apache configuratur) et eodem servo cum ea currit. Pro regula talis solutiones explicari possunt tam in servo physico quam in nube. Eorum incommodum scalabilitas et venditoris sustentatio limitata est.
Tertia optio WAF e nube est erecta. Tales solutiones nubibus praebentur ut subscriptionis servitium provisoribus. Societas mercandi et configurandi ferramenta specialia non indiget: haec officia in humeros provisoris servitii cadunt. Momenti punctum est quod nubes moderna WAF migrationem facultatum non implicat in suggestu provisoris. Situs alicubi explicari potest, etiam praemissa.
Amplius explicabimus cur nunc magis magisque ad nubem spectamus WAF.
Quod WAF potest facere in nube
Quantum ad facultates technologicas:
- Provisor est reus updates. WAF subscriptione providetur, ut ministerium provisoris monitores momentum updates ac licentias praebeat. Updates sollicitudin non solum luctus, sed etiam odio. Provisor upgrades parcum servo suo conservat. Est etiam oneris libratio et redundantia. Si servo WAF desit, negotiatio statim ad aliam machinam reducitur. Rationale negotiationis distributio permittit te ad condiciones vitare cum ignis murus intrat, modus apertus deficiet - cum onere obire non potest et petitiones eliquare sistit.
- Rectum patching. Rectum inaequaliter restringere accessum ad partes applicationis suspectas donec elit vulnerabilitatem claudit. Quam ob rem, mos provisoris nebulae occasionem accipit placide exspectandi, donec elit huius vel illius programmatis officialis "sarcia" divulgat. Hoc facere quam celerrime est prioritas programmatis programmatis. Exempli gratia, in suggestu Wallarm separatus modulus programmator virtualis commissurae responsabilis est. Administrator consuetas expressiones regulares addere potest ut petitiones malignas intercludant. Systema sinit ut aliquas petitiones cum vexillo "confidentiales" notare possit. Tunc ambitus eorum palliata sunt, et nullatenus extra aream focalem operandi transmittuntur.
- Inaedificata in perimetro et vulnerability scanner. Hoc tibi permittit ut independenter definias retis limites infrastructuras IT utens notitia ex quaestionibus DNS et protocollo WHOIS. Postea WAF sponte analyses operas intra perimetrum currens (portum intuens praestat). Murus murus omnia genera vulnerabilium communium - SQLi, XSS, XXE, etc. detegere potest, et errores in configuratione programmatis distinguere, exempli gratia, accessus alienum ad Git et BitBucket repositoria et anonyma vocat ad Elasticsearch, Redis, MongoDB.
- Impetus viverra nubes opibus. Pro regula, nubes praebent magnam vim computandi vim habent. Hoc permittit ut minas accurate ac celeritate resolvere possis. Botrus nodis sparguntur in nube, per quam omne commercium transit. Hae nodi impetus in applicationibus interretialibus et statisticam mittunt ad Centrum Analyticorum. Utitur machina discendi algorithmos ad regulas interclusiones renovandas pro applicationibus omnibus conservandis. Exsecutio talis schema in Fig. 4. Tales regulae securitatis discriminatim numerum falsis terroribus inclusum minuunt.
Nunc pauca de lineamentis nubis WAFs in terminis constitutionum normarum et administratione;
- Transitus ad OpEx. In casu nubis WAFs, pretium exsecutionis nulla erit, cum omnia ferramenta et licentiae a provisore iam solvantur, solutio pro servitio subscriptio facta est.
- Alia consilia lezdam. Usor muneris nubeculae celeriter efficere vel inactivare optiones additas potest. Munera ex una tabula dicione administrantur, quae etiam tuta est. Accessum est per HTTPS, plus est mechanismum authenticum duo factor in TOTP innixum (Tempus-substructio Una-Tempus Password Algorithmus) protocollum.
- Connection per DNS. DNS te mutare potes et retis configurare excitandis. Ad has difficultates solvendas non opus est singulos artifices conscribere et instituere. Pro regula, auxilium technicum provisoris cum paroeciali adiuvare potest.
WAF technologiae evolutae sunt e simplicibus firewalls cum pollicis praeceptis ad systemata tutelae composita cum algorithms discendi apparatus. Applicatio firewalls nunc offert amplis notis quae in 90s efficiendi difficile erant. Multis modis, novae functionis cessum possibilis facta est ob technologias nubeculas. WAF solutiones earumque partes evolvere pergunt. Iustus ut aliis locis notitiarum securitatis.
Textus ab Alexandro Karpuzikov paratus est, procurator notitiae securitatis producti progressus ad nubes provisor #CloudMTS.
Source: www.habr.com