Дар маводи қаблии мо дар мавзӯъҳои абрӣ, мо , чӣ гуна ҳифзи захираҳои IT дар абри ҷамъиятӣ ва чаро антивирусҳои анъанавӣ барои ин мақсадҳо комилан мувофиқ нестанд. Дар ин паём, мо мавзӯи амнияти абрро идома медиҳем ва дар бораи таҳаввулоти WAF сӯҳбат хоҳем кард ва кадомашро интихоб кардан беҳтар аст: сахтафзор, нармафзор ё абр.
WAF чист
Зиёда аз 75% ҳамлаҳои ҳакерӣ ба осебпазирии барномаҳои веб ва вебсайтҳо нигаронида шудаанд: чунин ҳамлаҳо одатан ба инфрасохтори амнияти иттилоотӣ ва хадамоти амнияти иттилоотӣ ноаёнанд. Осебпазириҳо дар барномаҳои веб, дар навбати худ, хатари созиш ва қаллобии ҳисобҳои корбарон ва маълумоти шахсӣ, паролҳо ва рақамҳои корти кредитиро доранд. Илова бар ин, осебпазирӣ дар вебсайт ҳамчун нуқтаи вуруд барои ҳамлагарон ба шабакаи корпоративӣ хидмат мекунанд.
Firewall Web Application (WAF) як экрани муҳофизатӣ мебошад, ки ҳамлаҳоро ба барномаҳои веб манъ мекунад: тазриқи SQL, скрипти байнисоҳавӣ, иҷроиши коди дурдаст, қувваи бераҳмона ва гузариши авторизатсия. Аз ҷумла ҳамлаҳое, ки осебпазирии сифрро истифода мебаранд. Сипарҳои барномавӣ тавассути мониторинги мундариҷаи саҳифаи веб, аз ҷумла HTML, DHTML ва CSS ва филтр кардани дархостҳои эҳтимолии зараровар HTTP/HTTPS муҳофизатро таъмин мекунанд.
Қарорҳои аввалин чӣ гуна буданд?
Аввалин кӯшишҳо барои эҷоди Firewall-и веб-барномаҳо дар аввали солҳои 90-ум анҷом дода шуда буданд. Дар ин соха камаш се инженер кор кардааст. Якум профессори илмҳои компютерӣ Ҷин Спаффорд аз Донишгоҳи Пердю мебошад. Вай меъмории девори барномаи проксиро тавсиф кард ва онро дар соли 1991 дар китоб нашр кард .
Дуюм ва сеюм мутахассисони амнияти иттилоотӣ Вилям Чесвик ва Маркус Ранум аз Bell Labs буданд. Онҳо яке аз аввалин прототипҳои девори барномаро таҳия карданд. Он аз ҷониби DEC паҳн карда шуд - маҳсулот бо номи SEAL (Secure External Access Link) бароварда шуд.
Аммо SEAL як ҳалли пурраи WAF набуд. Ин як девори классикии шабакавӣ бо функсияҳои пешрафта буд - қобилияти бастани ҳамлаҳо ба FTP ва RSH. Аз ин сабаб, имрӯз аввалин ҳалли WAF маҳсули Perfecto Technologies (баъдтар Sanctum) ҳисобида мешавад. Соли 1999 вай Системаи AppShield. Он вақт Perfecto Technologies ҳалли амнияти иттилоотиро барои тиҷорати электронӣ таҳия мекард ва мағозаҳои онлайн шунавандагони мақсадноки маҳсулоти нави онҳо гардиданд. AppShield тавонист дархостҳои HTTP ва ҳамлаҳои басташударо дар асоси сиёсати динамикии амнияти иттилоотӣ таҳлил кунад.
Тақрибан дар як вақт бо AppShield (соли 2002), аввалин манбаи кушодаи WAF пайдо шуд. Вай шуд . Он бо мақсади паҳн кардани технологияҳои WAF сохта шудааст ва то ҳол аз ҷониби ҷомеаи IT дастгирӣ карда мешавад (дар ин ҷо ). ModSecurity ҳамлаҳоро ба барномаҳо дар асоси маҷмӯи стандартии ифодаҳои муқаррарӣ (имзоҳо) блок мекунад - асбобҳо барои тафтиши дархостҳо дар асоси намунаҳо - .
Дар натиҷа, таҳиягарон тавонистанд ба ҳадафи худ бирасанд - қарорҳои нави WAF дар бозор пайдо шуданд, аз ҷумла онҳое, ки дар асоси ModSecurity сохта шудаанд.
Се насл аллакай таърих аст
Фарқ кардани се насли системаҳои WAF маъмул аст, ки бо рушди технология таҳаввул кардаанд.
Насли якум. Бо ибораҳои муқаррарӣ (ё грамматика) кор мекунад. Ба ин ModSecurity дохил мешавад. Провайдери система намудҳои ҳамлаҳоро ба барномаҳо меомӯзад ва намунаҳоеро тавлид мекунад, ки дархостҳои қонунӣ ва эҳтимолан зарароварро тавсиф мекунанд. WAF ин рӯйхатҳоро тафтиш мекунад ва қарор медиҳад, ки дар вазъияти мушаххас чӣ кор кардан лозим аст - бастани трафик ё не.
Намунаи муайянкунӣ дар асоси ифодаҳои муқаррарӣ лоиҳаи аллакай зикршуда мебошад манбаи кушода. Мисоли дигар - , ки он низ манбаи кушода аст. Системаҳои дорои ибораҳои муқаррарӣ як қатор нуқсонҳо доранд, аз ҷумла, вақте ки осебпазирии нав ошкор мешавад, маъмур бояд қоидаҳои иловагиро дастӣ эҷод кунад. Дар мавриди инфрасохтори васеъмиқёси IT, метавонад якчанд ҳазор қоидаҳо вуҷуд дошта бошанд. Идоракунии ин қадар ибораҳои муқаррарӣ хеле душвор аст, набояд қайд кард, ки тафтиши онҳо метавонад кори шабакаро коҳиш диҳад.
Ибораҳои муқаррарӣ инчунин сатҳи мусбати бардурӯғ доранд. Забоншиноси маъруф Ноам Хомский таснифи грамматикаро пешниҳод кард, ки дар он онҳоро ба чаҳор дараҷаи шартии мураккабӣ тақсим кардааст. Тибқи ин тасниф, ибораҳои муқаррарӣ танҳо қоидаҳои брандмауэрро тавсиф карда метавонанд, ки инҳироф аз намунаро дар бар намегиранд. Ин маънои онро дорад, ки ҳамлагарон метавонанд насли якуми WAF-ро ба осонӣ "беақл" кунанд. Яке аз усулҳои мубориза бо ин илова кардани аломатҳои махсус ба дархостҳои барномавӣ мебошад, ки ба мантиқи маълумоти зараровар таъсир намерасонанд, аммо қоидаҳои имзоро вайрон мекунанд.
Насли дуюм. Барои бартараф кардани мушкилот ва дурустии WAFҳо, деворҳои насли дуюми барномаҳо таҳия карда шуданд. Онҳо ҳоло таҳлилгарон доранд, ки барои муайян кардани намудҳои қатъии ҳамлаҳо (дар HTML, JS ва ғайра) масъуланд. Ин таҳлилгарон бо аломатҳои махсусе кор мекунанд, ки дархостҳоро тавсиф мекунанд (масалан, тағирёбанда, сатр, номаълум, рақам). Пайдарпайвандҳои аломатҳои эҳтимолии зараровар дар рӯйхати алоҳида ҷойгир карда шудаанд, ки системаи WAF мунтазам онҳоро тафтиш мекунад. Ин равиш бори аввал дар конфронси Black Hat 2012 дар шакли C/C++ нишон дода шуд , ки ба шумо имкон медиҳад тазриқи SQL-ро ошкор кунед.
Дар муқоиса бо WAF-ҳои насли аввал, таҳлилгарони махсус метавонанд тезтар бошанд. Бо вуҷуди ин, онҳо мушкилоти марбут ба танзими дастӣ системаро ҳангоми пайдо шудани ҳамлаҳои нави шубҳанок ҳал накарданд.
Насли сеюм. Эволютсия дар мантиқи кашфи насли сеюм аз истифодаи усулҳои омӯзиши мошин иборат аст, ки имкон медиҳад грамматикаи ошкоркуниро ба грамматикаи воқеии SQL/HTML/JS системаҳои ҳифзшаванда наздик созанд. Ин мантиқи кашф қодир аст як мошини Тюрингро барои фаро гирифтани грамматикаҳои ба таври рекурсивӣ номбаршаванда мутобиқ созад. Гузашта аз ин, қаблан вазифаи эҷоди як мошини мутобиқшавандаи Тюринг то нашр шудани аввалин таҳқиқоти мошинҳои асабии Тюринг ҳалнашаванда буд.
Омӯзиши мошинсозӣ қобилияти беназири мутобиқ кардани ҳама гуна грамматикаро барои фарогирии ҳама гуна ҳамлаҳо бидуни эҷоди дастӣ рӯйхати имзоҳо, ки ҳангоми ошкоркунии насли аввал талаб карда мешавад ва бидуни таҳияи токенизаторҳо/таҳлилгарони нав барои намудҳои нави ҳамла ба монанди Memcached, Redis, Cassandra, SSRF тазриќӣ фароҳам меорад. , чунон ки методологияи насли дуюм талаб мекунад.
Бо муттаҳид кардани ҳар се насли мантиқи ошкор, мо метавонем диаграммаи наверо кашем, ки дар он насли сеюми ошкоркунӣ бо контури сурх тасвир шудааст (расми 3). Ин насл яке аз қарорҳоеро дар бар мегирад, ки мо дар абр якҷоя бо Онсек, таҳиягари платформаи муҳофизати мутобиқсозии барномаҳои веб ва Wallarm API татбиқ мекунем.
Мантиқи ошкор ҳоло фикру мулоҳизаҳои барномаро барои худтанзимкунӣ истифода мебарад. Дар омӯзиши мошинсозӣ, ин ҳалқаи бозгашти "мустаҳкамкунӣ" номида мешавад. Одатан, як ё якчанд намуди чунин тақвият вуҷуд дорад:
- Таҳлили рафтори вокуниш ба ариза (фаъол)
- Скан/фузер (фаъол)
- Ҳисобот додани файлҳо / расмиёти боздоштани / домҳо (пас аз он)
- Дастур (аз ҷониби супервайзер муайян карда мешавад)
Дар натиҷа, мантиқи кашфи насли сеюм низ масъалаи муҳими дақиқро ҳал мекунад. Ҳоло имкон дорад, ки на танҳо аз мусбатҳои бардурӯғ ва манфиҳои бардурӯғ канорагирӣ кард, балки инчунин ошкор кардани манфиҳои дурусти ҳақиқӣ, ба монанди ошкор кардани истифодаи унсури фармони SQL дар панели идоракунӣ, боркунии қолаби саҳифаи веб, дархостҳои AJAX вобаста ба хатогиҳои JavaScript ва ғайра.
Минбаъд, мо имкониятҳои технологии вариантҳои гуногуни татбиқи WAF-ро баррасӣ хоҳем кард.
Сахтафзор, нармафзор ё абр - чӣ интихоб кардан лозим аст?
Яке аз вариантҳои татбиқи деворҳои барномавӣ ҳалли сахтафзор мебошад. Чунин системаҳо дастгоҳҳои махсуси ҳисоббарорӣ мебошанд, ки ширкат ба таври маҳаллӣ дар маркази додаҳои худ насб мекунад. Аммо дар ин ҳолат, шумо бояд таҷҳизоти худро харед ва ба интеграторҳо барои насб ва ислоҳи он пул пардохт кунед (агар ширкат шӯъбаи IT-и худро надошта бошад). Ҳамзамон, ҳама гуна таҷҳизот кӯҳна шуда, корношоям мешавад, бинобар ин муштариён маҷбур мешаванд, ки барои такмил додани таҷҳизот буҷет ҷудо кунанд.
Варианти дигари ҷойгиркунии WAF ин татбиқи нармафзор аст. Ҳал ҳамчун замима барои баъзе нармафзор насб карда мешавад (масалан, ModSecurity дар болои Apache танзим шудааст) ва дар ҳамон сервер бо он кор мекунад. Чун қоида, чунин қарорҳоро ҳам дар сервери ҷисмонӣ ва ҳам дар абр ҷойгир кардан мумкин аст. Камбудии онҳо миқёспазирии маҳдуд ва дастгирии фурӯшанда мебошад.
Варианти сеюм насб кардани WAF аз абр аст. Чунин қарорҳоро провайдерҳои абрӣ ҳамчун хидмати обуна пешниҳод мекунанд. Ба ширкат лозим нест, ки таҷҳизоти махсусро харидорӣ ва танзим кунад; ин вазифаҳо ба дӯши провайдери хидматрасон гузошта мешаванд. Нуктаи муҳим ин аст, ки абри муосири WAF маънои интиқоли захираҳоро ба платформаи провайдерро надорад. Сайтро дар ҳама ҷо, ҳатто дар дохили бино ҷойгир кардан мумкин аст.
Мо минбаъд шарҳ медиҳем, ки чаро одамон ҳоло бештар ба абри WAF менигаранд.
WAF дар абр чӣ кор карда метавонад
Аз рӯи имкониятҳои технологӣ:
- Провайдер барои навсозиҳо масъул аст. WAF тавассути обуна таъмин карда мешавад, бинобар ин провайдери хидматрасон мувофиқати навсозиҳо ва иҷозатномаҳоро назорат мекунад. Навсозиҳо на танҳо ба нармафзор, балки ба сахтафзор низ дахл доранд. Провайдер парки серверро такмил медиҳад ва онро нигоҳ медорад. Он инчунин барои мувозинати сарборӣ ва зиёдатӣ масъул аст. Агар сервери WAF ноком шавад, трафик фавран ба мошини дигар равона карда мешавад. Тақсимоти оқилонаи трафик ба шумо имкон медиҳад, ки аз ҳолатҳое, ки брандмауэр ба ҳолати нокомии кушода ворид мешавад, канорагирӣ кунед - он ба сарборӣ тоб оварда наметавонад ва филтркунии дархостҳоро қатъ мекунад.
- Пахши виртуалӣ. Часбҳои виртуалӣ дастрасӣ ба қисмҳои осебшудаи барномаро то он даме, ки таҳиякунанда осебпазириро маҳкам накунад, маҳдуд мекунад. Дар натиҷа, муштарии провайдери абрӣ имкон пайдо мекунад, ки оромона интизор шавад, то таъминкунандаи ин ё он нармафзор "патчҳо"-и расмиро нашр кунад. Ҳарчи зудтар анҷом додани ин кор барои таъминкунандаи нармафзор афзалият дорад. Масалан, дар платформаи Wallarm, як модули нармафзори алоҳида барои часпакҳои виртуалӣ масъул аст. Администратор метавонад ифодаҳои муқаррарии фармоиширо барои бастани дархостҳои зараровар илова кунад. Система имкон медиҳад, ки баъзе дархостҳо бо парчами "Маълумоти махфӣ" қайд карда шаванд. Сипас параметрҳои онҳо ниқоб карда мешаванд ва дар ҳеҷ ҳолат онҳо берун аз минтақаи кории брандмауэр интиқол дода намешаванд.
- Периметри дарунсохт ва сканери осебпазирӣ. Ин ба шумо имкон медиҳад, ки сарҳадҳои шабакаи инфрасохтори IT-ро бо истифода аз маълумот аз дархостҳои DNS ва протоколи WHOIS мустақилона муайян кунед. Баъдан, WAF ба таври худкор хидматҳоеро, ки дар дохили периметр кор мекунанд, таҳлил мекунад (сканкунии портро иҷро мекунад). Сипар қодир аст ҳамаи навъҳои маъмули осебпазириро - SQLi, XSS, XXE ва ғайра - ва муайян кардани хатогиҳо дар конфигуратсияи нармафзор, масалан, дастрасии беиҷозат ба анбори Git ва BitBucket ва зангҳои беном ба Elasticsearch, Redis, MongoDB.
- Ҳамлаҳо аз ҷониби захираҳои абрӣ назорат карда мешаванд. Чун қоида, провайдерҳои абрӣ миқдори зиёди қудрати ҳисоббарорӣ доранд. Ин ба шумо имкон медиҳад, ки таҳдидҳоро бо дақиқ ва суръати баланд таҳлил кунед. Дар абр кластери гиреҳҳои филтр ҷойгир карда шудааст, ки тамоми трафик тавассути он мегузарад. Ин гиреҳҳо ҳамлаҳои веб-барномаҳоро манъ мекунанд ва оморро ба Маркази таҳлилӣ мефиристанд. Он алгоритмҳои омӯзиши мошинро барои навсозии қоидаҳои бастани ҳамаи замимаҳои ҳифзшуда истифода мебарад. Татбиқи чунин схема дар расм нишон дода шудааст. 4. Чунин қоидаҳои бехатарии мутобиқшуда шумораи ҳушдорҳои қалбакии брандмауэрро кам мекунанд.
Акнун каме дар бораи хусусиятҳои WAF-ҳои абрӣ дар робита ба масъалаҳои ташкилӣ ва идоракунӣ:
- Гузариш ба OpEx. Дар мавриди WAF-ҳои абрӣ, арзиши татбиқ ба сифр баробар хоҳад буд, зеро ҳама сахтафзор ва литсензияҳо аллакай аз ҷониби провайдер пардохта шудаанд; пардохт барои хидмат тавассути обуна сурат мегирад.
- Нақшаҳои тарофаҳои гуногун. Истифодабарандаи хидмати абрӣ метавонад имконоти иловагиро зуд фаъол ё ғайрифаъол кунад. Функсияҳо аз як панели идоракунӣ идора карда мешаванд, ки он низ бехатар аст. Он тавассути HTTPS дастрас аст, инчунин як механизми аутентификатсияи ду-омилӣ дар асоси протоколи TOTP (Time-based One-Time Password Algorithm) мавҷуд аст.
- Пайвастшавӣ тавассути DNS. Шумо метавонед DNS-ро худатон тағир диҳед ва масири шабакаро танзим кунед. Барои халли ин проблемахо ба хоста гирифтан ва тайёр кардани мутахассисони алохида лозим нест. Чун қоида, дастгирии техникии провайдер метавонад дар танзим кӯмак кунад.
Технологияҳои WAF аз брандмауэрҳои оддӣ бо қоидаҳои одди ба системаҳои мураккаби муҳофизатӣ бо алгоритмҳои омӯзиши мошин табдил ёфтанд. Фейерволлҳои барнома ҳоло доираи васеи хусусиятҳоро пешниҳод мекунанд, ки татбиқи онҳо дар солҳои 90-ум душвор буд. Аз бисёр ҷиҳат, пайдоиши функсияҳои нав ба шарофати технологияҳои абрӣ имконпазир гардид. Қарорҳои WAF ва ҷузъҳои онҳо таҳаввулро идома медиҳанд. Мисли дигар соҳаҳои амнияти иттилоотӣ.
Матн аз ҷониби Александр Карпузиков, менеҷери таҳияи маҳсулоти амнияти иттилоотӣ дар провайдери абрии #CloudMTS таҳия шудааст.
Манбаъ: will.com