Katika nyenzo zetu zilizopita juu ya mada ya wingu, sisi , jinsi ya kulinda rasilimali za IT katika wingu la umma na kwa nini antivirus za jadi hazifai kabisa kwa madhumuni haya. Katika chapisho hili, tutaendelea mada ya usalama wa wingu na kuzungumza juu ya mageuzi ya WAF na nini ni bora kuchagua: vifaa, programu au wingu.
WAF ni nini
Zaidi ya 75% ya mashambulizi ya wadukuzi yanalenga uwezekano wa kuathiriwa na programu za wavuti na tovuti: mashambulizi kama hayo kwa kawaida hayaonekani kwa miundombinu ya usalama wa habari na huduma za usalama wa habari. Athari katika programu za wavuti hubeba, kwa upande wake, hatari za maelewano na ulaghai wa akaunti za watumiaji na data ya kibinafsi, manenosiri na nambari za kadi ya mkopo. Kwa kuongeza, udhaifu katika tovuti hutumika kama mahali pa kuingilia kwa washambuliaji kwenye mtandao wa shirika.
Firewall ya Maombi ya Wavuti (WAF) ni skrini inayolinda ambayo huzuia mashambulio kwenye programu za wavuti: sindano ya SQL, uandishi wa tovuti tofauti, utekelezaji wa msimbo wa mbali, nguvu ya kinyama na kupita kwa idhini. Ikiwa ni pamoja na mashambulizi ambayo hutumia udhaifu wa siku sifuri. Ngome za programu hutoa ulinzi kwa kufuatilia maudhui ya ukurasa wa wavuti, ikiwa ni pamoja na HTML, DHTML, na CSS, na kuchuja maombi yanayoweza kuwa mabaya ya HTTP/HTTPS.
Maamuzi ya kwanza yalikuwa yapi?
Majaribio ya kwanza ya kuunda Firewall ya Maombi ya Wavuti yalifanywa mapema miaka ya 90. Angalau wahandisi watatu wanajulikana kufanya kazi katika uwanja huu. Wa kwanza ni profesa wa sayansi ya kompyuta Gene Spafford kutoka Chuo Kikuu cha Purdue. Alielezea usanifu wa firewall ya maombi ya wakala na kuichapisha mnamo 1991 kwenye kitabu .
Wa pili na wa tatu walikuwa wataalamu wa usalama wa habari William Cheswick na Marcus Ranum kutoka Bell Labs. Walitengeneza moja ya prototypes za kwanza za firewall. Ilisambazwa na DEC - bidhaa ilitolewa chini ya jina la SEAL (Kiungo cha Ufikiaji wa Nje Salama).
Lakini SEAL haikuwa suluhisho kamili la WAF. Ilikuwa ni ngome ya mtandao yenye utendakazi wa hali ya juu - uwezo wa kuzuia mashambulizi kwenye FTP na RSH. Kwa sababu hii, suluhisho la kwanza la WAF leo linachukuliwa kuwa bidhaa ya Perfecto Technologies (baadaye Sanctum). Mwaka 1999 yeye Mfumo wa AppShield. Wakati huo, Perfecto Technologies walikuwa wakitengeneza suluhu za usalama wa habari kwa biashara ya mtandaoni, na maduka ya mtandaoni yakawa walengwa wa bidhaa zao mpya. AppShield iliweza kuchanganua maombi ya HTTP na kuzuia mashambulizi kulingana na sera madhubuti za usalama wa taarifa.
Karibu wakati huo huo kama AppShield (mnamo 2002), chanzo cha kwanza cha wazi cha WAF kilionekana. Akawa . Iliundwa kwa lengo la kutangaza teknolojia za WAF na bado inaungwa mkono na jumuiya ya IT (hapa ni ) ModSecurity huzuia mashambulizi kwa programu kulingana na seti ya kawaida ya misemo ya kawaida (saini) - zana za kukagua maombi kulingana na muundo - .
Matokeo yake, watengenezaji waliweza kufikia lengo lao - ufumbuzi mpya wa WAF ulianza kuonekana kwenye soko, ikiwa ni pamoja na yale yaliyojengwa kwa misingi ya ModSecurity.
Vizazi vitatu tayari ni historia
Ni desturi kutofautisha vizazi vitatu vya mifumo ya WAF, ambayo imebadilika na maendeleo ya teknolojia.
Kizazi cha kwanza. Hufanya kazi na misemo ya kawaida (au sarufi). Hii ni pamoja na ModSecurity. Mtoa huduma wa mfumo huchunguza aina za mashambulizi kwenye programu na kuzalisha ruwaza zinazoelezea maombi halali na yanayoweza kuwa mabaya. WAF huangalia orodha hizi na kuamua nini cha kufanya katika hali fulani - kuzuia trafiki au la.
Mfano wa ugunduzi kulingana na misemo ya kawaida ni mradi uliotajwa tayari chanzo wazi. Mfano mwingine - , ambayo pia ni chanzo wazi. Mifumo yenye maneno ya kawaida ina idadi ya hasara, hasa, wakati udhaifu mpya unapogunduliwa, msimamizi anapaswa kuunda sheria za ziada kwa manually. Katika kesi ya miundombinu ya IT ya kiwango kikubwa, kunaweza kuwa na sheria elfu kadhaa. Kusimamia misemo mingi ya kawaida ni ngumu sana, bila kutaja ukweli kwamba kuziangalia kunaweza kupunguza utendaji wa mtandao.
Vielezi vya kawaida pia vina kiwango cha juu cha chanya cha uwongo. Mwanaisimu mashuhuri Noam Chomsky alipendekeza uainishaji wa sarufi ambamo alizigawanya katika viwango vinne vya sharti vya uchangamano. Kulingana na uainishaji huu, misemo ya kawaida inaweza tu kuelezea sheria za ngome ambazo hazihusishi kupotoka kutoka kwa muundo. Hii inamaanisha kuwa washambuliaji wanaweza "kudanganya" kizazi cha kwanza cha WAF. Njia moja ya kupambana na hii ni kuongeza herufi maalum kwa maombi ya programu ambayo hayaathiri mantiki ya data hasidi, lakini inakiuka sheria ya saini.
Kizazi cha pili. Ili kukwepa masuala ya utendaji na usahihi wa WAFs, ngome za utumizi za kizazi cha pili zilitengenezwa. Sasa wana vichanganuzi ambavyo vina jukumu la kutambua aina zilizobainishwa kabisa za mashambulizi (kwenye HTML, JS, n.k.). Vichanganuzi hivi hufanya kazi na ishara maalum zinazoelezea maswali (kwa mfano, kutofautiana, kamba, haijulikani, nambari). Mpangilio wa ishara unaowezekana umewekwa katika orodha tofauti, ambayo mfumo wa WAF hukagua mara kwa mara. Mbinu hii ilionyeshwa kwa mara ya kwanza katika mkutano wa Black Hat 2012 katika mfumo wa C/C++ , ambayo hukuruhusu kugundua sindano za SQL.
Ikilinganishwa na WAF za kizazi cha kwanza, vichanganuzi maalumu vinaweza kuwa haraka zaidi. Hata hivyo, hawakutatua matatizo yanayohusiana na kusanidi mfumo kwa mikono wakati mashambulizi mapya mabaya yanaonekana.
Kizazi cha tatu. Mabadiliko katika mantiki ya ugunduzi wa kizazi cha tatu yanajumuisha matumizi ya mbinu za mashine za kujifunza ambazo hurahisisha kuleta sarufi ya utambuzi karibu iwezekanavyo na sarufi halisi ya SQL/HTML/JS ya mifumo inayolindwa. Mantiki hii ya utambuzi inaweza kurekebisha mashine ya Turing ili kujumuisha sarufi zinazoweza kuhesabika kwa kujirudia. Zaidi ya hayo, hapo awali kazi ya kuunda mashine ya Turing inayoweza kubadilika haikuweza kutatuliwa hadi tafiti za kwanza za mashine za neural Turing zilipochapishwa.
Kujifunza kwa mashine kunatoa uwezo wa kipekee wa kurekebisha sarufi yoyote ili kushughulikia aina yoyote ya shambulio bila kuunda mwenyewe orodha za sahihi kama inavyohitajika katika utambuzi wa kizazi cha kwanza, na bila kuunda viashiria/vichanganuzi vipya vya aina mpya za mashambulizi kama vile sindano za Memcached, Redis, Cassandra, SSRF. , kama inavyotakiwa na mbinu ya kizazi cha pili.
Kwa kuchanganya vizazi vyote vitatu vya mantiki ya kugundua, tunaweza kuchora mchoro mpya ambapo kizazi cha tatu cha ugunduzi kinawakilishwa na muhtasari mwekundu (Mchoro 3). Kizazi hiki kinajumuisha mojawapo ya masuluhisho ambayo tunatekeleza katika wingu pamoja na Onsek, msanidi wa jukwaa la ulinzi dhabiti wa programu za wavuti na API ya Wallarm.
Mantiki ya ugunduzi sasa inatumia maoni kutoka kwa programu ili kujirekebisha yenyewe. Katika kujifunza kwa mashine, kitanzi hiki cha maoni kinaitwa "uimarishaji." Kwa kawaida, kuna aina moja au zaidi ya kuimarisha vile:
- Uchambuzi wa tabia ya mwitikio wa maombi (passiv)
- Scan/fuza (inatumika)
- Ripoti faili/taratibu za viingilia/mitego (baada ya ukweli)
- Mwongozo (umefafanuliwa na msimamizi)
Kwa hivyo, mantiki ya ugunduzi wa kizazi cha tatu pia hushughulikia suala muhimu la usahihi. Sasa inawezekana sio tu kuzuia chanya za uwongo na hasi za uwongo, lakini pia kugundua hasi halali za kweli, kama vile kugundua utumiaji wa kipengele cha amri ya SQL kwenye Jopo la Kudhibiti, upakiaji wa violezo vya ukurasa wa wavuti, maombi ya AJAX yanayohusiana na makosa ya JavaScript, na zingine.
Ifuatayo, tutazingatia uwezo wa kiteknolojia wa chaguzi mbalimbali za utekelezaji wa WAF.
Vifaa, programu au wingu - nini cha kuchagua?
Moja ya chaguzi za kutekeleza firewalls ya maombi ni suluhisho la vifaa. Mifumo kama hii ni vifaa maalum vya kompyuta ambavyo kampuni husakinisha ndani ya kituo chake cha data. Lakini katika kesi hii, unapaswa kununua vifaa vyako mwenyewe na kulipa pesa kwa waunganisho kwa ajili ya kuanzisha na kurekebisha (ikiwa kampuni haina idara yake ya IT). Wakati huo huo, vifaa vyovyote vinakuwa vya kizamani na huwa visivyoweza kutumika, kwa hivyo wateja wanalazimika kupanga bajeti ya uboreshaji wa vifaa.
Chaguo jingine la kupeleka WAF ni utekelezaji wa programu. Suluhisho limesakinishwa kama programu jalizi kwa baadhi ya programu (kwa mfano, ModSecurity imesanidiwa juu ya Apache) na inaendeshwa kwenye seva hiyo nayo. Kama sheria, suluhisho kama hizo zinaweza kupelekwa kwenye seva ya mwili na kwenye wingu. Hasara yao ni scalability mdogo na msaada wa muuzaji.
Chaguo la tatu ni kuanzisha WAF kutoka kwa wingu. Suluhisho kama hizo hutolewa na watoa huduma za wingu kama huduma ya usajili. Kampuni haihitaji kununua na kusanidi maunzi maalum; kazi hizi ziko kwenye mabega ya mtoa huduma. Jambo muhimu ni kwamba WAF ya wingu ya kisasa haimaanishi uhamiaji wa rasilimali kwenye jukwaa la mtoa huduma. Tovuti inaweza kutumwa popote, hata kwenye uwanja.
Tutaelezea zaidi kwa nini watu sasa wanazidi kutazama WAF ya wingu.
Nini WAF inaweza kufanya katika wingu
Kwa upande wa uwezo wa kiteknolojia:
- Mtoa huduma anawajibika kwa sasisho. WAF hutolewa kwa usajili, kwa hivyo mtoa huduma anafuatilia umuhimu wa sasisho na leseni. Sasisho hazijali programu tu, bali pia vifaa. Mtoa huduma huboresha hifadhi ya seva na kuitunza. Pia inawajibika kwa kusawazisha mzigo na kupunguza tena. Ikiwa seva ya WAF itashindwa, trafiki huelekezwa mara moja kwa mashine nyingine. Usambazaji wa busara wa trafiki hukuruhusu kuzuia hali wakati firewall inapoingia katika hali ya kushindwa - haiwezi kukabiliana na mzigo na kuacha maombi ya kuchuja.
- Uwekaji kiraka pepe. Viraka pepe huzuia ufikiaji wa sehemu zilizoathiriwa za programu hadi msanidi programu afunge uwezekano wa kuathiriwa. Matokeo yake, mteja wa mtoa huduma wa wingu anapata fursa ya kusubiri kwa utulivu hadi mtoaji wa hii au programu hiyo atachapisha "patches" rasmi. Kufanya hivi haraka iwezekanavyo ni kipaumbele kwa mtoa programu. Kwa mfano, katika jukwaa la Wallarm, moduli tofauti ya programu inawajibika kwa patching virtual. Msimamizi anaweza kuongeza misemo maalum ya kawaida ili kuzuia maombi hasidi. Mfumo huu unawezesha kuweka alama kwenye baadhi ya maombi kwa alamisho ya "Data ya Siri". Kisha vigezo vyao vimefunikwa, na chini ya hali yoyote hupitishwa nje ya eneo la kazi la firewall.
- Mzunguko uliojengewa ndani na kichanganuzi cha kuathirika. Hii hukuruhusu kuamua kwa uhuru mipaka ya mtandao ya miundombinu ya IT kwa kutumia data kutoka kwa maswali ya DNS na itifaki ya WHOIS. Baadaye, WAF huchanganua kiotomatiki huduma zinazoendeshwa ndani ya eneo (hufanya uchanganuzi wa bandari). Firewall ina uwezo wa kugundua aina zote za udhaifu wa kawaida - SQLi, XSS, XXE, nk - na kutambua makosa katika usanidi wa programu, kwa mfano, ufikiaji usioidhinishwa wa hazina za Git na BitBucket na simu zisizojulikana kwa Elasticsearch, Redis, MongoDB.
- Mashambulizi yanafuatiliwa na rasilimali za wingu. Kama kanuni, watoa huduma za wingu wana kiasi kikubwa cha nguvu za kompyuta. Hii inakuwezesha kuchambua vitisho kwa usahihi wa juu na kasi. Kundi la nodi za vichungi huwekwa kwenye wingu, ambapo trafiki yote hupita. Nodi hizi huzuia mashambulizi kwenye programu za wavuti na kutuma takwimu kwa Kituo cha Analytics. Inatumia kanuni za kujifunza kwa mashine kusasisha sheria za kuzuia kwa programu zote zinazolindwa. Utekelezaji wa mpango kama huo unaonyeshwa kwenye Mtini. 4. Sheria kama hizo za usalama zinapunguza idadi ya kengele za ngome za ngome.
Sasa kidogo juu ya huduma za WAF za wingu katika suala la maswala ya shirika na usimamizi:
- Kubadilisha kwa OpEx. Kwa upande wa WAF za wingu, gharama ya utekelezaji itakuwa sifuri, kwani vifaa na leseni zote tayari zimelipwa na mtoaji; malipo ya huduma hufanywa kwa usajili.
- Mipango tofauti ya ushuru. Mtumiaji wa huduma ya wingu anaweza kuwezesha au kuzima chaguzi za ziada haraka. Kazi zinasimamiwa kutoka kwa jopo moja la kudhibiti, ambalo pia ni salama. Inafikiwa kupitia HTTPS, na pia kuna utaratibu wa uthibitishaji wa vipengele viwili kulingana na itifaki ya TOTP (Algorithm ya Nenosiri la Wakati Mmoja).
- Muunganisho kupitia DNS. Unaweza kubadilisha DNS mwenyewe na kusanidi uelekezaji wa mtandao. Ili kutatua matatizo haya hakuna haja ya kuajiri na kutoa mafunzo kwa wataalamu binafsi. Kama sheria, usaidizi wa kiufundi wa mtoaji unaweza kusaidia kusanidi.
Teknolojia za WAF zimebadilika kutoka kwa ngome rahisi zenye kanuni za msingi hadi mifumo changamano ya ulinzi yenye kanuni za kujifunza kwa mashine. Ngome za programu sasa zinatoa anuwai ya vipengele ambavyo vilikuwa vigumu kutekeleza katika miaka ya 90. Kwa njia nyingi, kuibuka kwa utendaji mpya ikawa shukrani iwezekanavyo kwa teknolojia za wingu. Ufumbuzi wa WAF na vijenzi vyake vinaendelea kubadilika. Kama vile maeneo mengine ya usalama wa habari.
Maandishi hayo yalitayarishwa na Alexander Karpuzikov, meneja wa ukuzaji wa bidhaa za usalama wa habari katika mtoa huduma wa wingu #CloudMTS.
Chanzo: mapenzi.com