بادل جي عنوانن تي اسان جي پوئين مواد ۾، اسان عوامي ڪلائوڊ ۾ آئي ٽي وسيلن کي ڪيئن بچائڻو آهي ۽ ڇو روايتي اينٽي وائرس انهن مقصدن لاءِ مڪمل طور تي مناسب نه آهن. هن پوسٽ ۾، اسان ڪلائوڊ سيڪيورٽي جي موضوع کي جاري رکون ٿا ۽ WAF جي ارتقا بابت ڳالهائينداسين ۽ ڇا چونڊڻ بهتر آهي: هارڊويئر، سافٽ ويئر يا ڪلائوڊ.
WAF ڇا آهي
75٪ کان وڌيڪ هيڪر حملن جو مقصد ويب ايپليڪيشنن ۽ ويب سائيٽن جي ڪمزورين جو مقصد آهي: اهڙا حملا عام طور تي معلوماتي سيڪيورٽي انفراسٽرڪچر ۽ معلوماتي سيڪيورٽي سروسز لاءِ پوشيده هوندا آهن. ويب ايپليڪيشنن ۾ ڪمزوريون، موڙ ۾، سمجھوتي جا خطرا ۽ صارف جي اڪائونٽن ۽ ذاتي ڊيٽا، پاسورڊ، ۽ ڪريڊٽ ڪارڊ نمبرن جي فراڊ. ان کان علاوه، ويب سائيٽ جي ڪمزورين ڪارپوريٽ نيٽ ورڪ ۾ حملي ڪندڙن لاءِ داخلا پوائنٽ طور ڪم ڪن ٿيون.
ويب ايپليڪيشن فائر وال (WAF) هڪ حفاظتي اسڪرين آهي جيڪا ويب ايپليڪيشنن تي حملن کي روڪيندي آهي: SQL انجيڪشن، ڪراس سائيٽ اسڪرپٽنگ، ريموٽ ڪوڊ ايگزيڪيوشن، برٽ فورس ۽ اختيار ڪرڻ وارو بائي پاس. حملن سميت جيڪي صفر ڏينهن جي ڪمزورين جو استحصال ڪن ٿا. ايپليڪيشن فائر والز ويب پيج جي مواد جي نگراني ڪندي تحفظ فراهم ڪن ٿا، بشمول HTML، DHTML، ۽ CSS، ۽ ممڪن طور تي خراب HTTP/HTTPS درخواستن کي فلٽر ڪرڻ.
پهرين فيصلا ڪهڙا هئا؟
ويب ايپليڪيشن فائر وال ٺاهڻ جي پهرين ڪوششون 90 جي شروعات ۾ واپس ڪيون ويون. گهٽ ۾ گهٽ ٽي انجنيئر ڄاڻن ٿا ته هن فيلڊ ۾ ڪم ڪيو آهي. پهريون آهي ڪمپيوٽر سائنس جو پروفيسر جين سپافورڊ پرڊيو يونيورسٽي مان. هن هڪ پراکسي ايپليڪيشن فائر وال جي فن تعمير کي بيان ڪيو ۽ ان کي 1991 ۾ ڪتاب ۾ شايع ڪيو .
ٻيو ۽ ٽيون معلوماتي سيڪيورٽي ماهر وليم چيسوڪ ۽ بيل ليبز مان مارڪس رينم هئا. انهن مان هڪ ترقي ڪئي پهرين ايپليڪيشن فائر وال پروٽوٽائپ. اهو DEC پاران ورهايو ويو - پراڊڪٽ جي نالي سان جاري ڪيو ويو SEAL (Secure External Access Link).
پر SEAL هڪ مڪمل WAF حل نه هو. اهو جديد ڪارڪردگي سان گڏ هڪ کلاسک نيٽ ورڪ فائر وال هو - FTP ۽ RSH تي حملن کي بلاڪ ڪرڻ جي صلاحيت. انهي سبب لاء، اڄ پهريون WAF حل تصور ڪيو وڃي ٿو پرفيڪٽو ٽيڪنالاجيز (بعد ۾ سانڪٽم) جي پيداوار. 1999 ع ۾ هوء AppShield سسٽم. ان وقت، Perfecto Technologies ترقي ڪري رهيا هئا معلومات حفاظتي حل اي ڪامرس لاءِ، ۽ آن لائين اسٽور بڻجي ويا انهن جي نئين پراڊڪٽ جا ٽارگيٽ سامعين. AppShield متحرڪ معلومات جي حفاظتي پاليسين جي بنياد تي HTTP درخواستن ۽ بلاڪ ٿيل حملن جو تجزيو ڪرڻ جي قابل هئي.
ساڳئي وقت AppShield (2002 ۾)، پهريون اوپن سورس WAF ظاهر ٿيو. هو بڻجي ويو . اهو WAF ٽيڪنالاجي کي مشهور ڪرڻ جي مقصد سان ٺاهيو ويو ۽ اڃا تائين آئي ٽي ڪميونٽي جي حمايت ڪئي وئي آهي (هتي اهو آهي ). ModSecurity ايپليڪيشنن تي حملن کي بلاڪ ڪري ٿو باقاعده اظهار جي معياري سيٽ جي بنياد تي (دستخط) - نمونن جي بنياد تي درخواستن جي جانچ ڪرڻ جا اوزار - .
نتيجي طور، ڊولپرز پنهنجو مقصد حاصل ڪرڻ ۾ ڪامياب ٿي ويا - نئين WAF حل مارڪيٽ تي ظاهر ٿيڻ شروع ٿيا، جن ۾ ModSecurity جي بنياد تي ٺهيل شامل آهن.
ٽي نسل اڳ ۾ ئي تاريخ آهن
WAF سسٽم جي ٽن نسلن ۾ فرق ڪرڻ جو رواج آهي، جيڪي ٽيڪنالاجي جي ترقي سان ترقي ڪيا آهن.
پهريون نسل. باقاعده اظهار (يا گرامر) سان ڪم ڪري ٿو. ھن ۾ شامل آھي ModSecurity. سسٽم فراهم ڪندڙ ايپليڪيشنن تي حملن جي قسمن جو مطالعو ڪري ٿو ۽ نمونن کي ٺاهي ٿو جيڪي جائز ۽ ممڪن طور تي بدسلوڪي درخواستن کي بيان ڪن ٿا. WAF انهن لسٽن کي چيڪ ڪري ٿو ۽ فيصلو ڪري ٿو ته ڪنهن خاص صورتحال ۾ ڇا ڪجي - ٽرئفڪ کي بلاڪ ڪرڻ يا نه.
باقاعده اظهار جي بنياد تي ڳولڻ جو هڪ مثال اڳ ۾ ئي ذڪر ڪيل منصوبو آهي کليل ذريعو. ٻيو مثال - ، جيڪو پڻ کليل ذريعو آهي. باقاعده اظهار سان سسٽم ۾ ڪيترائي نقصان آهن، خاص طور تي، جڏهن هڪ نئين خطري کي دريافت ڪيو ويندو آهي، منتظم کي دستي طور تي اضافي ضابطا ٺاهڻ گهرجن. وڏي پيماني تي آئي ٽي انفراسٽرڪچر جي صورت ۾، اتي ڪيترائي هزار ضابطا ٿي سگهن ٿا. ڪيتريون ئي باقاعده اظهار جو انتظام تمام ڏکيو آهي، حقيقت جو ذڪر نه ڪرڻ گهرجي ته انهن کي جانچڻ نيٽ ورڪ ڪارڪردگي کي گهٽائي سگھي ٿو.
باقاعده اظهار پڻ هڪ انتهائي تيز غلط مثبت شرح آهي. مشهور لسانيات دان نوم چومسڪي گرامر جي درجي بندي جي تجويز ڏني، جنهن ۾ هن انهن کي پيچيدگي جي چار مشروط سطحن ۾ ورهايو. هن درجي بندي جي مطابق، باقاعده اظهار صرف فائر وال جي ضابطن کي بيان ڪري سگھن ٿا جيڪي نموني مان انحراف شامل نه ڪندا آهن. هن جو مطلب آهي ته حملو ڪندڙ آساني سان "بيوقوف" ڪري سگهن ٿا پهرين نسل WAF. هن کي منهن ڏيڻ جو هڪ طريقو اهو آهي ته خاص ڪردارن کي شامل ڪيو وڃي ايپليڪيشن جي درخواستن ۾ جيڪي خراب ڊيٽا جي منطق کي متاثر نه ڪن، پر دستخط جي ضابطي جي ڀڃڪڙي ڪن.
ٻيو نسل. WAFs جي ڪارڪردگي ۽ درستگي جي مسئلن کي روڪڻ لاء، سيڪنڊ نسل ايپليڪيشن فائر والز ٺاهيا ويا. انهن وٽ هاڻي پارسر آهن جيڪي سخت طور تي بيان ڪيل حملن جي قسمن جي نشاندهي ڪرڻ جا ذميوار آهن (HTML، JS، وغيره تي). اهي parsers خاص ٽوڪن سان ڪم ڪن ٿا جيڪي سوالن جي وضاحت ڪن ٿا (مثال طور، متغير، اسٽرنگ، نامعلوم، نمبر). ممڪن طور تي بدسلوڪي ٽوڪن جي ترتيبن کي الڳ لسٽ ۾ رکيو ويو آهي، جنهن کي WAF سسٽم باقاعدگي سان چيڪ ڪري ٿو. اهو طريقو پهريون ڀيرو بليڪ هٽ 2012 ڪانفرنس ۾ C/C++ جي صورت ۾ ڏيکاريو ويو ، جيڪو توهان کي SQL انجڻ کي ڳولڻ جي اجازت ڏئي ٿو.
پهرين نسل جي WAFs جي مقابلي ۾، خاص پارسر تيز ٿي سگهن ٿا. تنهن هوندي، اهي دستي طور تي سسٽم کي ترتيب ڏيڻ سان لاڳاپيل مشڪلاتن کي حل نه ڪيو جڏهن نوان بدسلوڪي حملا ظاهر ٿيندا آهن.
ٽيون نسل. ٽين نسل جي ڳولا واري منطق ۾ ارتقا مشين جي سکيا جي طريقن جي استعمال تي مشتمل آهي جيڪي ان کي ممڪن بڻائين ٿا معلوم ڪرڻ واري گرامر کي ممڪن حد تائين حقيقي SQL/HTML/JS گرامر جي محفوظ سسٽم جي ويجهو آڻين. هي معلوم ڪرڻ وارو منطق هڪ ٽريننگ مشين کي ترتيب ڏيڻ جي قابل هوندو آهي ته جيئن ٻيهر ڳڻپيوڪر گرامر کي ڍڪڻ لاء. ان کان علاوه، اڳ ۾ هڪ قابل اطلاق ٽريننگ مشين ٺاهڻ جو ڪم ناقابل حل هو جيستائين نيورل ٽريننگ مشين جي پهرين مطالعي کي شايع نه ڪيو ويو.
مشين لرننگ ڪنهن به گرامر کي ترتيب ڏيڻ جي منفرد صلاحيت مهيا ڪري ٿي ته ڪنهن به قسم جي حملي کي ڍڪڻ لاءِ دستي طور تي دستخطي لسٽون ٺاهڻ کان سواءِ پهرين نسل جي سڃاڻپ ۾ گهربل هجي، ۽ نوان ٽوڪنائيزر/پارسر ٺاهڻ کان سواءِ نئين حملي جي قسمن جهڙوڪ Memcached، Redis، Cassandra، SSRF انجيڪشن. جيئن ٻئي نسل جي طريقيڪار جي ضرورت آهي.
ڳولڻ جي منطق جي سڀني ٽن نسلن کي گڏ ڪرڻ سان، اسان هڪ نئون ڊراگرام ٺاهي سگهون ٿا جنهن ۾ ڳولڻ جو ٽيون نسل ڳاڙهي خاڪو (شڪل 3) جي نمائندگي ڪري ٿو. ھن نسل ۾ ھڪڙو حل شامل آھي جيڪو اسان ڪلائوڊ ۾ آنسيڪ سان گڏ لاڳو ڪري رھيا آھيون، پليٽ فارم جو ڊولپر ويب ايپليڪيشنن جي موافقت واري تحفظ ۽ والارم API.
پتو لڳائڻ وارو منطق ھاڻي ايپليڪيشن مان موٽ کي استعمال ڪري ٿو پاڻ کي ٽيون ڪرڻ لاءِ. مشين لرننگ ۾، هن موٽڻ واري لوپ کي "تقويق" سڏيو ويندو آهي. عام طور تي، اهڙي قسم جي هڪ يا وڌيڪ قسم آهن:
- ايپليڪيشن جي جواب جي رويي جو تجزيو (غير فعال)
- اسڪين/فزر (فعال)
- رپورٽ ڪريو فائلون/انٽرسيپٽر طريقا/جال (حقيقت کان پوءِ)
- دستي (سپروائيزر پاران بيان ڪيل)
نتيجي طور، ٽئين نسل جي ڳولا منطق پڻ درستگي جي اهم مسئلي کي خطاب ڪري ٿو. اهو هاڻي ممڪن آهي ته نه رڳو غلط مثبت ۽ غلط منفي کان بچڻ، پر صحيح صحيح منفيات کي ڳولڻ، جهڙوڪ ڪنٽرول پينل ۾ SQL ڪمان جي عنصر جي استعمال جو پتو لڳائڻ، ويب پيج ٽيمپليٽ لوڊ ڪرڻ، جاوا اسڪرپٽ جي غلطين سان لاڳاپيل AJAX درخواستون، ۽ ٻيا.
اڳيون، اسان مختلف WAF عمل درآمد جي اختيارن جي ٽيڪنالاجي صلاحيتن تي غور ڪنداسين.
هارڊويئر، سافٽ ويئر يا ڪڪر - ڇا چونڊيو؟
ايپليڪيشن فائر والز کي لاڳو ڪرڻ لاء اختيارن مان ھڪڙو ھڪڙو هارڊويئر حل آھي. اهڙا سسٽم خاص ڪمپيوٽنگ ڊوائيسز آهن جيڪي هڪ ڪمپني مقامي طور تي پنهنجي ڊيٽا سينٽر ۾ نصب ڪن ٿيون. پر انهي صورت ۾، توهان کي پنهنجو سامان خريد ڪرڻو پوندو ۽ ان کي ترتيب ڏيڻ ۽ ان کي ڊيبگ ڪرڻ لاء انٽيگريٽر کي پئسا ادا ڪرڻو پوندو (جيڪڏهن ڪمپني وٽ پنهنجو آئي ٽي ڊپارٽمينٽ نه آهي). ساڳي ئي وقت ۾، ڪنهن به سامان جو پراڻو ٿي ويندو آهي ۽ ناقابل استعمال ٿي ويندو آهي، تنهنڪري گراهڪ هارڊويئر اپ گريڊ لاء بجيٽ تي مجبور آهن.
WAF کي ترتيب ڏيڻ لاء هڪ ٻيو اختيار هڪ سافٽ ويئر عمل درآمد آهي. حل ڪجهه سافٽ ويئر لاء هڪ اضافو طور تي نصب ڪيو ويو آهي (مثال طور، ModSecurity Apache جي چوٽي تي ترتيب ڏنل آهي) ۽ ان سان گڏ ساڳئي سرور تي هلندو آهي. ضابطي جي طور تي، اهڙي حل ٻنهي کي فزيڪل سرور ۽ ڪلائوڊ ۾ ترتيب ڏئي سگهجي ٿو. انهن جو نقصان محدود اسڪيلبلٽي ۽ وينڊر سپورٽ آهي.
ٽيون اختيار ڪلائوڊ مان WAF ترتيب ڏئي رهيو آهي. اھڙا حل بادل فراهم ڪندڙ پاران مهيا ڪيل آھن رڪنيت جي خدمت جي طور تي. ڪمپني کي خاص هارڊويئر خريد ڪرڻ ۽ ترتيب ڏيڻ جي ضرورت ناهي؛ اهي ڪم خدمت فراهم ڪندڙ جي ڪلهن تي آهن. هڪ اهم نقطو اهو آهي ته هڪ جديد بادل WAF مهيا ڪندڙ جي پليٽ فارم ڏانهن وسيلن جي لڏپلاڻ جو مطلب ناهي. سائيٽ ڪٿي به رکي سگھجي ٿي، حتي ان بنياد تي.
اسان وڌيڪ وضاحت ڪنداسين ته ڇو ماڻهو هاڻي وڌي رهيا آهن بادل WAF ڏانهن.
WAF بادل ۾ ڇا ڪري سگھي ٿو
ٽيڪنالاجي صلاحيتن جي لحاظ کان:
- مهيا ڪندڙ تازه ڪاري لاء ذميوار آهي. WAF سبسڪرپشن طرفان مهيا ڪيل آهي، تنهنڪري خدمت فراهم ڪندڙ تازه ڪاري ۽ لائسنس جي مطابقت جي نگراني ڪندو آهي. تازه ڪاري جو تعلق نه رڳو سافٽ ويئر، پر هارڊويئر پڻ. مهيا ڪندڙ سرور پارڪ کي اپڊيٽ ڪري ٿو ۽ ان کي برقرار رکي ٿو. اهو پڻ لوڊ بيلنسنگ ۽ بيڪارگي جي ذميوار آهي. جيڪڏهن WAF سرور ناڪام ٿئي ٿو، ٽرئفڪ کي فوري طور تي ٻي مشين ڏانهن منتقل ڪيو ويندو. ٽريفڪ جي منطقي ورڇ توهان کي حالتن کان بچڻ جي اجازت ڏئي ٿي جڏهن فائر وال ناڪام اوپن موڊ ۾ داخل ٿئي ٿي - اهو لوڊ سان مقابلو نٿو ڪري سگهي ۽ فلٽرنگ جي درخواستن کي روڪي ٿو.
- مجازي پيچنگ. ورچوئل پيچس ايپليڪيشن جي سمجھوتي ٿيل حصن تائين رسائي کي محدود ڪن ٿا جيستائين ڊولپر نقصان کي بند نه ڪري. نتيجي طور، ڪلائوڊ فراهم ڪندڙ جي گراهڪ کي آرام سان انتظار ڪرڻ جو موقعو ملي ٿو جيستائين هن يا انهي سافٽ ويئر جو سپلائر سرڪاري "پيچ" شايع نه ڪري. ائين ڪرڻ جيترو جلدي ممڪن ٿي سگهي سافٽ ويئر فراهم ڪندڙ لاءِ ترجيح آهي. مثال طور، والرم پليٽ فارم ۾، هڪ الڳ سافٽ ويئر ماڊل مجازي پيچنگ لاء ذميوار آهي. منتظم بدسلوڪي درخواستن کي بلاڪ ڪرڻ لاءِ حسب ضرورت باقاعده اظهار شامل ڪري سگھن ٿا. سسٽم اهو ممڪن بڻائي ٿو ته ڪجهه درخواستن کي "رازداري ڊيٽا" پرچم سان نشان لڳايو. پوءِ انهن جا پيرا ميٽر نقاب پوش آهن، ۽ ڪنهن به حالت ۾ اهي فائر وال ڪم ڪندڙ علائقي کان ٻاهر منتقل نه ڪيا ويا آهن.
- بلٽ ان فيميٽر ۽ وينريبلٽي اسڪينر. هي توهان کي اجازت ڏئي ٿو آزاد طور تي ڊي اين ايس سوالن ۽ WHOIS پروٽوڪول مان ڊيٽا استعمال ڪندي IT انفراسٽرڪچر جي نيٽ ورڪ جي حدن جو تعين ڪرڻ. بعد ۾، WAF خود بخود پردي جي اندر هلندڙ خدمتن جو تجزيو ڪري ٿو (پورٽ اسڪيننگ انجام ڏئي ٿو). فائر وال تمام عام قسم جي خطرن کي ڳولڻ جي قابل آهي - SQLi، XSS، XXE، وغيره - ۽ سافٽ ويئر جي ترتيب ۾ غلطين جي نشاندهي ڪرڻ، مثال طور، Git ۽ BitBucket جي مخزن تائين غير مجاز رسائي ۽ Elasticsearch، Redis، MongoDB کي گمنام ڪالون.
- حملا بادل وسيلن جي نگراني ڪئي وئي آهي. ضابطي جي طور تي، ڪلائوڊ فراهم ڪندڙن وٽ وڏي مقدار ۾ ڪمپيوٽنگ پاور آهي. هي توهان کي خطرن جو تجزيو ڪرڻ جي اجازت ڏئي ٿو اعلي درستگي ۽ رفتار سان. فلٽر نوڊس جو هڪ ڪلستر بادل ۾ لڳايو ويو آهي، جنهن جي ذريعي تمام ٽرئفڪ گذري ٿو. اهي نوڊس ويب ايپليڪيشنن تي حملن کي روڪيندا آهن ۽ تجزياتي مرڪز ڏانهن انگ اکر موڪليندا آهن. اهو سڀ محفوظ ٿيل ايپليڪيشنن لاءِ بلاڪنگ قاعدن کي تازه ڪاري ڪرڻ لاءِ مشين لرننگ الگورتھم استعمال ڪري ٿو. اهڙي منصوبي تي عملدرآمد تصوير ۾ ڏيکاريل آهي. 4. اهڙا ٺهيل حفاظتي ضابطا غلط فائر وال الارم جي تعداد کي گھٽ ڪن ٿا.
ھاڻي ٿورڙو بادل WAFs جي خصوصيتن بابت تنظيمي مسئلن ۽ انتظام جي لحاظ کان:
- OpEx ڏانهن منتقلي. ڪلائوڊ WAFs جي صورت ۾، عمل درآمد جي قيمت صفر ٿي ويندي، ڇاڪاڻ ته سڀ هارڊويئر ۽ لائسنس اڳ ۾ ئي ادا ڪيا ويا آهن سروس لاء ادائيگي سبسڪرپشن ذريعي.
- مختلف ٽريف منصوبا. ڪلائوڊ سروس استعمال ڪندڙ جلدي اضافي اختيارن کي فعال يا غير فعال ڪري سگھي ٿو. ڪم هڪ واحد ڪنٽرول پينل مان منظم ڪيا ويا آهن، جيڪو پڻ محفوظ آهي. اهو HTTPS ذريعي پهچايو ويو آهي، ان سان گڏ هڪ ٻه عنصر جي تصديق واري ميڪانيزم آهي جيڪو TOTP (Time-based One-time Password Algorithm) پروٽوڪول تي ٻڌل آهي.
- DNS ذريعي ڪنيڪشن. توھان پاڻ کي تبديل ڪري سگھو ٿا DNS ۽ نيٽ ورڪ روٽنگ ترتيب ڏيو. انهن مسئلن کي حل ڪرڻ لاءِ انفرادي ماهرن کي ڀرتي ۽ تربيت ڏيڻ جي ڪا ضرورت ناهي. ضابطي جي طور تي، مهيا ڪندڙ جي ٽيڪنيڪل سپورٽ سيٽ اپ سان مدد ڪري سگھي ٿي.
WAF ٽيڪنالاجيون ترقي ڪيون ويون آهن سادي فائر والز کان اصولن جي انگن اکرن سان پيچيده تحفظ واري نظام تائين مشين لرننگ الگورتھم سان. ايپليڪيشن فائر والز هاڻي خاصيتن جي وسيع رينج پيش ڪن ٿا جيڪي 90s ۾ لاڳو ڪرڻ ڏکيو هئا. ڪيترن ئي طريقن سان، نئين ڪارڪردگي جو اڀرڻ ممڪن ٿيو ڪلائوڊ ٽيڪنالاجيز جي مهرباني. WAF حل ۽ انهن جا حصا ترقي جاري رکندا آهن. بس معلومات جي سيڪيورٽي جي ٻين علائقن وانگر.
متن اليگزينڊر ڪارپوزيڪوف پاران تيار ڪيو ويو، انفارميشن سيڪيورٽي پراڊڪٽ ڊولپمينٽ مينيجر ڪلائوڊ فراهم ڪندڙ #CloudMTS تي.
جو ذريعو: www.habr.com
