Fil-materjal preċedenti tagħna dwar suġġetti tas-sħab, aħna , kif tipproteġi r-riżorsi tal-IT fil-cloud pubbliku u għaliex l-antiviruses tradizzjonali mhumiex adattati għal kollox għal dawn l-għanijiet. F'din il-kariga, se nkomplu s-suġġett tas-sigurtà tal-cloud u nitkellmu dwar l-evoluzzjoni tal-WAF u x'inhu aħjar li tagħżel: ħardwer, softwer jew sħab.
X'inhu WAF
Aktar minn 75% tal-attakki tal-hackers huma mmirati lejn vulnerabbiltajiet tal-applikazzjonijiet tal-web u websajts: attakki bħal dawn huma ġeneralment inviżibbli għall-infrastruttura tas-sigurtà tal-informazzjoni u s-servizzi tas-sigurtà tal-informazzjoni. Il-vulnerabbiltajiet fl-applikazzjonijiet tal-web iġorru, min-naħa tagħhom, riskji ta’ kompromess u frodi ta’ kontijiet tal-utent u data personali, passwords, u numri tal-karti ta’ kreditu. Barra minn hekk, il-vulnerabbiltajiet fil-websajt iservu bħala punt ta 'dħul għall-attakkanti fin-netwerk korporattiv.
Web Application Firewall (WAF) huwa skrin protettiv li jimblokka attakki fuq applikazzjonijiet tal-web: injezzjoni SQL, cross-site scripting, eżekuzzjoni remota tal-kodiċi, forza bruta u bypass tal-awtorizzazzjoni. Inklużi attakki li jisfruttaw vulnerabbiltajiet zero-day. Il-firewalls tal-applikazzjoni jipprovdu protezzjoni billi jimmonitorjaw il-kontenut tal-paġna tal-web, inkluż HTML, DHTML, u CSS, u jiffiltraw talbiet HTTP/HTTPS potenzjalment malizzjużi.
X'kienu l-ewwel deċiżjonijiet?
L-ewwel tentattivi biex jinħoloq Web Application Firewall saru lura fil-bidu tas-snin 90. Mill-inqas tliet inġiniera huma magħrufa li ħadmu f’dan il-qasam. L-ewwel huwa l-professur tax-xjenza tal-kompjuter Gene Spafford mill-Università ta 'Purdue. Huwa ddeskriva l-arkitettura ta 'firewall ta' applikazzjoni bi prokura u ppubblikaha fl-1991 fil-ktieb .
It-tieni u t-tielet kienu l-ispeċjalisti tas-sigurtà tal-informazzjoni William Cheswick u Marcus Ranum minn Bell Labs. Huma żviluppaw wieħed mill-ewwel prototipi tal-firewall tal-applikazzjoni. Ġie mqassam minn DEC - il-prodott ġie rilaxxat taħt l-isem SEAL (Secure External Access Link).
Iżda SEAL ma kienx soluzzjoni WAF sħiħa. Kien firewall tan-netwerk klassiku b'funzjonalità avvanzata - il-kapaċità li timblokka attakki fuq FTP u RSH. Għal din ir-raġuni, l-ewwel soluzzjoni WAF illum hija meqjusa bħala l-prodott ta 'Perfecto Technologies (aktar tard Sanctum). Fl-1999 hi Sistema AppShield. F'dak iż-żmien, Perfecto Technologies kienu qed jiżviluppaw soluzzjonijiet ta 'sigurtà ta' informazzjoni għall-kummerċ elettroniku, u l-ħwienet online saru l-udjenza fil-mira tal-prodott il-ġdid tagħhom. AppShield kien kapaċi janalizza talbiet HTTP u attakki mblukkati bbażati fuq politiki ta 'sigurtà tal-informazzjoni dinamiċi.
Madwar l-istess żmien bħall-AppShield (fl-2002), deher l-ewwel sors miftuħ WAF. Sar . Inħoloq bil-għan li jippopolalizza t-teknoloġiji WAF u għadu appoġġjat mill-komunità tal-IT (hawn hu ). ModSecurity timblokka attakki fuq applikazzjonijiet ibbażati fuq sett standard ta' espressjonijiet regolari (firem) - għodod għall-iċċekkjar ta' talbiet ibbażati fuq mudelli - .
Bħala riżultat, l-iżviluppaturi rnexxielhom jilħqu l-għan tagħhom - soluzzjonijiet ġodda WAF bdew jidhru fis-suq, inklużi dawk mibnija fuq il-bażi ta 'ModSecurity.
Tliet ġenerazzjonijiet huma diġà storja
Hija drawwa li ssir distinzjoni ta 'tliet ġenerazzjonijiet ta' sistemi WAF, li evolvew bl-iżvilupp tat-teknoloġija.
L-ewwel ġenerazzjoni. Jaħdem ma' espressjonijiet regolari (jew grammatiċi). Dan jinkludi ModSecurity. Il-fornitur tas-sistema jistudja t-tipi ta 'attakki fuq l-applikazzjonijiet u jiġġenera mudelli li jiddeskrivu talbiet leġittimi u potenzjalment malizzjużi. WAF jiċċekkja dawn il-listi u jiddeċiedi x'għandek tagħmel f'sitwazzjoni partikolari - li timblokka t-traffiku jew le.
Eżempju ta' sejbien ibbażat fuq espressjonijiet regolari huwa l-proġett diġà msemmi sors miftuħ. Eżempju ieħor - , li huwa wkoll sors miftuħ. Sistemi b'espressjonijiet regolari għandhom numru ta 'żvantaġġi, b'mod partikolari, meta tiġi skoperta vulnerabbiltà ġdida, l-amministratur irid joħloq regoli addizzjonali manwalment. Fil-każ ta' infrastruttura tal-IT fuq skala kbira, jista' jkun hemm diversi eluf ta' regoli. Il-ġestjoni ta' tant espressjonijiet regolari hija pjuttost diffiċli, biex ma nsemmux il-fatt li l-iċċekkjar tagħhom jista 'jnaqqas il-prestazzjoni tan-netwerk.
L-espressjonijiet regolari għandhom ukoll rata pożittiva falza pjuttost għolja. Il-lingwista famuż Noam Chomsky ippropona klassifikazzjoni tal-grammatiċi li fiha qasmu f'erba' livelli kundizzjonali ta 'kumplessità. Skont din il-klassifikazzjoni, espressjonijiet regolari jistgħu jiddeskrivu biss regoli tal-firewall li ma jinvolvux devjazzjonijiet mill-mudell. Dan ifisser li l-attakkanti jistgħu faċilment "iqarqu" lill-WAF tal-ewwel ġenerazzjoni. Metodu wieħed biex jiġi miġġieled dan huwa li żżid karattri speċjali mat-talbiet tal-applikazzjoni li ma jaffettwawx il-loġika tad-dejta malizzjuża, iżda jiksru r-regola tal-firma.
It-tieni ġenerazzjoni. Biex jiġu evitati l-kwistjonijiet tal-prestazzjoni u l-eżattezza tal-WAFs, ġew żviluppati firewalls tal-applikazzjoni tat-tieni ġenerazzjoni. Issa għandhom parsers li huma responsabbli biex jidentifikaw tipi ta' attakki definiti b'mod strett (fuq HTML, JS, eċċ.). Dawn il-parsers jaħdmu ma 'tokens speċjali li jiddeskrivu mistoqsijiet (per eżempju, varjabbli, string, mhux magħruf, numru). Sekwenzi ta' tokens potenzjalment malizzjużi jitqiegħdu f'lista separata, li s-sistema WAF tikkontrollaha regolarment. Dan l-approċċ intwera għall-ewwel darba fil-konferenza Black Hat 2012 fil-forma ta 'C/C++ , li jippermettilek tiskopri injezzjonijiet SQL.
Meta mqabbla mal-WAFs tal-ewwel ġenerazzjoni, parsers speċjalizzati jistgħu jkunu aktar mgħaġġla. Madankollu, ma solvewx id-diffikultajiet assoċjati mal-konfigurazzjoni manwalment tas-sistema meta jidhru attakki malizzjużi ġodda.
It-tielet ġenerazzjoni. L-evoluzzjoni fil-loġika ta 'sejbien tat-tielet ġenerazzjoni tikkonsisti fl-użu ta' metodi ta 'tagħlim bil-magni li jagħmluha possibbli li l-grammatika ta' l-iskoperta tkun qrib kemm jista 'jkun il-grammatika reali SQL/HTML/JS tas-sistemi protetti. Din il-loġika ta 'skoperta hija kapaċi tadatta magna Turing biex tkopri grammatiċi enumerabbli b'mod rikorsiv. Barra minn hekk, qabel il-kompitu li tinħoloq magna Turing adattabbli ma kienx solvubbli sakemm ġew ippubblikati l-ewwel studji tal-magni Turing newrali.
It-tagħlim bil-magni jipprovdi l-abbiltà unika li tadatta kwalunkwe grammatika biex tkopri kwalunkwe tip ta’ attakk mingħajr ma toħloq manwalment listi ta’ firem kif meħtieġ fl-iskoperta tal-ewwel ġenerazzjoni, u mingħajr ma jiġu żviluppati tokenizers/parsers ġodda għal tipi ġodda ta’ attakk bħal Memcached, Redis, Cassandra, injezzjonijiet SSRF , kif meħtieġ mill-metodoloġija tat-tieni ġenerazzjoni.
Billi ngħaqqdu t-tliet ġenerazzjonijiet ta 'loġika ta' skoperta, nistgħu nfasslu dijagramma ġdida li fiha t-tielet ġenerazzjoni ta 'skoperta hija rappreżentata mill-kontorn aħmar (Figura 3). Din il-ġenerazzjoni tinkludi waħda mis-soluzzjonijiet li qed nimplimentaw fil-cloud flimkien ma 'Onsek, l-iżviluppatur tal-pjattaforma għall-protezzjoni adattiva tal-applikazzjonijiet tal-web u l-API Wallarm.
Il-loġika tas-sejbien issa tuża feedback mill-applikazzjoni biex tistuna lilha nnifisha. Fit-tagħlim bil-magni, dan il-linja ta’ feedback tissejjaħ “tisħiħ”. Tipikament, hemm tip wieħed jew aktar ta' tali rinforz:
- Analiżi tal-imġiba tar-rispons tal-applikazzjoni (passiva)
- Scan/fuzzer (attiv)
- Irrapporta fajls/proċeduri ta’ interċetturi/nases (wara l-fatt)
- Manwal (definit mis-superviżur)
Bħala riżultat, il-loġika ta 'sejbien tat-tielet ġenerazzjoni tindirizza wkoll il-kwistjoni importanti tal-eżattezza. Issa huwa possibbli mhux biss li jiġu evitati pożittivi foloz u negattivi foloz, iżda wkoll li jinstabu negattivi veri validi, bħall-iskoperta tal-użu tal-element tal-kmand SQL fil-Panel tal-Kontroll, it-tagħbija tal-mudelli tal-paġna web, talbiet AJAX relatati ma 'żbalji JavaScript, u oħrajn.
Sussegwentement, se nikkunsidraw il-kapaċitajiet teknoloġiċi ta 'diversi għażliet ta' implimentazzjoni tal-WAF.
Ħardwer, software jew sħaba - x'tagħżel?
Waħda mill-għażliet għall-implimentazzjoni tal-firewalls tal-applikazzjoni hija soluzzjoni tal-ħardwer. Sistemi bħal dawn huma tagħmir tal-kompjuters speċjalizzat li kumpanija tinstalla lokalment fiċ-ċentru tad-dejta tagħha. Iżda f'dan il-każ, trid tixtri t-tagħmir tiegħek stess u tħallas il-flus lill-integraturi biex twaqqafha u tiddibaggjah (jekk il-kumpanija ma jkollhiex id-dipartiment tal-IT tagħha stess). Fl-istess ħin, kwalunkwe tagħmir isir skadut u ma jistax jintuża, għalhekk il-klijenti huma sfurzati jibbaġitjaw għal titjib tal-ħardwer.
Għażla oħra għall-iskjerament ta' WAF hija implimentazzjoni ta' softwer. Is-soluzzjoni hija installata bħala add-on għal xi softwer (pereżempju, ModSecurity hija kkonfigurata fuq Apache) u taħdem fuq l-istess server magħha. Bħala regola, soluzzjonijiet bħal dawn jistgħu jiġu skjerati kemm fuq server fiżiku kif ukoll fil-cloud. L-iżvantaġġ tagħhom huwa l-iskalabbiltà limitata u l-appoġġ tal-bejjiegħ.
It-tielet għażla hija li twaqqaf WAF mill-cloud. Soluzzjonijiet bħal dawn huma pprovduti minn fornituri tal-cloud bħala servizz ta’ abbonament. Il-kumpanija m'għandhiex bżonn tixtri u tikkonfigura ħardwer speċjalizzat; dawn il-kompiti jaqgħu fuq l-ispallejn tal-fornitur tas-servizz. Punt importanti huwa li cloud WAF modern ma jimplikax il-migrazzjoni tar-riżorsi għall-pjattaforma tal-fornitur. Is-sit jista' jiġi skjerat kullimkien, anke fuq il-post.
Aħna ser nispjegaw aktar għaliex in-nies issa qed iħarsu dejjem aktar lejn cloud WAF.
X'jista' jagħmel WAF fis-sħab
F'termini ta' kapaċitajiet teknoloġiċi:
- Il-fornitur huwa responsabbli għall-aġġornamenti. WAF huwa pprovdut b'abbonament, għalhekk il-fornitur tas-servizz jimmonitorja r-rilevanza tal-aġġornamenti u l-liċenzji. L-aġġornamenti jikkonċernaw mhux biss is-softwer, iżda wkoll il-ħardwer. Il-fornitur jaġġorna l-park tas-server u jżommu. Huwa wkoll responsabbli għall-ibbilanċjar tat-tagħbija u s-sensja. Jekk is-server WAF ifalli, it-traffiku jiġi ridirett immedjatament lejn magna oħra. Id-distribuzzjoni razzjonali tat-traffiku tippermettilek tevita sitwazzjonijiet meta l-firewall jidħol fil-modalità fail open - ma jistax ilaħħaq mat-tagħbija u jwaqqaf it-talbiet tal-filtrazzjoni.
- Patching virtwali. Irqajja virtwali jirrestrinġu l-aċċess għal partijiet kompromessi tal-applikazzjoni sakemm l-iżviluppatur jagħlaq il-vulnerabbiltà. Bħala riżultat, il-klijent tal-fornitur tas-sħab ikollu l-opportunità li jistenna bil-kalma sakemm il-fornitur ta 'dan jew dak is-software jippubblika "garża" uffiċjali. Li tagħmel dan malajr kemm jista 'jkun hija prijorità għall-fornitur tas-softwer. Pereżempju, fil-pjattaforma Wallarm, modulu tas-softwer separat huwa responsabbli għall-patching virtwali. L-amministratur jista 'jżid espressjonijiet regolari tad-dwana biex jimblokka talbiet malizzjużi. Is-sistema tagħmilha possibbli li xi talbiet jiġu mmarkati bil-marka “Data kunfidenzjali”. Imbagħad il-parametri tagħhom huma mgħottija, u taħt l-ebda ċirkostanza ma huma trażmessi barra miż-żona tax-xogħol tal-firewall.
- Skaner tal-perimetru u tal-vulnerabbiltà inkorporat. Dan jippermettilek tiddetermina b'mod indipendenti l-konfini tan-netwerk tal-infrastruttura tal-IT billi tuża data minn mistoqsijiet DNS u l-protokoll WHOIS. Wara, WAF awtomatikament janalizza s-servizzi li jaħdmu ġewwa l-perimetru (jwettaq skanjar tal-port). Il-firewall huwa kapaċi jiskopri t-tipi komuni kollha ta 'vulnerabbiltajiet - SQLi, XSS, XXE, eċċ. - u jidentifika żbalji fil-konfigurazzjoni tas-softwer, pereżempju, aċċess mhux awtorizzat għar-repożitorji Git u BitBucket u sejħiet anonimi lil Elasticsearch, Redis, MongoDB.
- L-attakki huma mmonitorjati minn riżorsi tal-cloud. Bħala regola, il-fornituri tal-cloud għandhom ammonti kbar ta 'qawwa tal-kompjuter. Dan jippermettilek tanalizza t-theddid bi preċiżjoni u veloċità għolja. Grupp ta 'nodi tal-filtri huwa skjerat fis-sħab, li minnu jgħaddi t-traffiku kollu. Dawn in-nodi jimblokkaw l-attakki fuq l-applikazzjonijiet tal-web u jibagħtu statistika liċ-Ċentru tal-Analytics. Juża algoritmi ta’ tagħlim tal-magni biex jaġġorna r-regoli tal-imblukkar għall-applikazzjonijiet kollha protetti. L-implimentazzjoni ta 'tali skema hija murija fil-Fig. 4. Regoli ta' sigurtà mfassla bħal dawn jimminimizzaw in-numru ta' allarmi tal-firewall foloz.
Issa ftit dwar il-karatteristiċi ta' cloud WAFs f'termini ta' kwistjonijiet organizzattivi u ġestjoni:
- Tranżizzjoni għal OpEx. Fil-każ ta' cloud WAFs, l-ispiża tal-implimentazzjoni se tkun żero, peress li l-hardware u l-liċenzji kollha diġà tħallsu mill-fornitur; il-ħlas għas-servizz isir b'abbonament.
- Pjanijiet ta' tariffi differenti. L-utent tas-servizz tal-cloud jista’ malajr jattiva jew iwaqqaf għażliet addizzjonali. Il-funzjonijiet huma ġestiti minn pannell tal-kontroll wieħed, li huwa wkoll sigur. Huwa aċċessat permezz ta 'HTTPS, kif ukoll hemm mekkaniżmu ta' awtentikazzjoni b'żewġ fatturi bbażat fuq il-protokoll TOTP (Algoritmu tal-Password ta 'Ħin ta' Ħin ibbażat fuq il-Ħin).
- Konnessjoni permezz DNS. Tista' tibdel id-DNS lilek innifsek u tikkonfigura r-rotot tan-netwerk. Biex issolvi dawn il-problemi m'hemmx bżonn li jiġu reklutati u mħarrġa speċjalisti individwali. Bħala regola, l-appoġġ tekniku tal-fornitur jista 'jgħin fis-setup.
It-teknoloġiji WAF evolvew minn firewalls sempliċi b'regoli ġenerali għal sistemi ta 'protezzjoni kumplessi b'algoritmi ta' tagħlim tal-magni. Il-firewalls tal-applikazzjoni issa joffru firxa wiesgħa ta 'karatteristiċi li kienu diffiċli biex jiġu implimentati fis-snin 90. F'ħafna modi, l-emerġenza ta 'funzjonalità ġdida saret possibbli grazzi għat-teknoloġiji cloud. Is-soluzzjonijiet WAF u l-komponenti tagħhom ikomplu jevolvu. Eżatt bħal oqsma oħra tas-sigurtà tal-informazzjoni.
It-test tħejja minn Alexander Karpuzikov, maniġer tal-iżvilupp tal-prodott tas-sigurtà tal-informazzjoni fil-fornitur tal-cloud #CloudMTS.
Sors: www.habr.com