Sa aming nakaraang materyal sa mga paksa ng ulap, kami , kung paano protektahan ang mga mapagkukunan ng IT sa pampublikong ulap at kung bakit hindi ganap na angkop ang mga tradisyonal na antivirus para sa mga layuning ito. Sa post na ito, ipagpapatuloy namin ang paksa ng seguridad sa ulap at pag-uusapan ang tungkol sa ebolusyon ng WAF at kung ano ang mas mahusay na piliin: hardware, software o cloud.
Ano ang WAF
Higit sa 75% ng mga pag-atake ng hacker ay naglalayong sa mga kahinaan ng mga web application at website: ang mga naturang pag-atake ay karaniwang hindi nakikita ng imprastraktura ng seguridad ng impormasyon at mga serbisyo sa seguridad ng impormasyon. Ang mga kahinaan sa mga web application ay nagdadala, sa turn, ng mga panganib ng kompromiso at panloloko ng mga user account at personal na data, password, at mga numero ng credit card. Bilang karagdagan, ang mga kahinaan sa website ay nagsisilbing entry point para sa mga umaatake sa corporate network.
Ang Web Application Firewall (WAF) ay isang protective screen na humaharang sa mga pag-atake sa mga web application: SQL injection, cross-site scripting, remote code execution, brute force at authorization bypass. Kabilang ang mga pag-atake na nagsasamantala sa mga zero-day na kahinaan. Ang mga firewall ng application ay nagbibigay ng proteksyon sa pamamagitan ng pagsubaybay sa nilalaman ng web page, kabilang ang HTML, DHTML, at CSS, at pag-filter ng mga potensyal na nakakahamak na kahilingan sa HTTP/HTTPS.
Ano ang mga unang desisyon?
Ang mga unang pagtatangka upang lumikha ng isang Web Application Firewall ay ginawa noong unang bahagi ng 90s. Hindi bababa sa tatlong inhinyero ang kilala na nagtrabaho sa larangang ito. Ang una ay ang propesor ng computer science na si Gene Spafford mula sa Purdue University. Inilarawan niya ang arkitektura ng isang proxy application firewall at inilathala ito noong 1991 sa aklat .
Ang pangalawa at pangatlo ay ang mga espesyalista sa seguridad ng impormasyon na sina William Cheswick at Marcus Ranum mula sa Bell Labs. Binuo nila ang isa sa mga unang prototype ng firewall ng application. Ito ay ipinamahagi ng DEC - ang produkto ay inilabas sa ilalim ng pangalang SEAL (Secure External Access Link).
Ngunit ang SEAL ay hindi isang ganap na solusyon sa WAF. Ito ay isang klasikong network firewall na may advanced na pag-andar - ang kakayahang harangan ang mga pag-atake sa FTP at RSH. Para sa kadahilanang ito, ang unang solusyon sa WAF ngayon ay itinuturing na produkto ng Perfecto Technologies (mamaya Sanctum). Noong 1999 siya AppShield system. Sa oras na iyon, ang Perfecto Technologies ay bumubuo ng mga solusyon sa seguridad ng impormasyon para sa e-commerce, at ang mga online na tindahan ay naging target na madla ng kanilang bagong produkto. Nasuri ng AppShield ang mga kahilingan sa HTTP at naka-block na pag-atake batay sa mga patakaran sa seguridad ng dynamic na impormasyon.
Kasabay ng AppShield (noong 2002), lumitaw ang unang open source na WAF. Siya ay naging . Nilikha ito sa layuning gawing popular ang mga teknolohiya ng WAF at sinusuportahan pa rin ng komunidad ng IT (narito ). Hinaharang ng ModSecurity ang mga pag-atake sa mga application batay sa isang karaniwang hanay ng mga regular na expression (pirma) - mga tool para sa pagsuri ng mga kahilingan batay sa mga pattern - .
Bilang resulta, nagawa ng mga developer na makamit ang kanilang layunin - nagsimulang lumitaw ang mga bagong solusyon sa WAF sa merkado, kabilang ang mga binuo batay sa ModSecurity.
Tatlong henerasyon na ang kasaysayan
Nakaugalian na makilala ang tatlong henerasyon ng mga WAF system, na umunlad sa pag-unlad ng teknolohiya.
Unang henerasyon. Gumagana sa mga regular na expression (o grammar). Kabilang dito ang ModSecurity. Pinag-aaralan ng system provider ang mga uri ng pag-atake sa mga application at bumubuo ng mga pattern na naglalarawan ng mga lehitimong at potensyal na nakakahamak na kahilingan. Sinusuri ng WAF ang mga listahang ito at nagpapasya kung ano ang gagawin sa isang partikular na sitwasyon - upang harangan ang trapiko o hindi.
Ang isang halimbawa ng pagtuklas batay sa mga regular na expression ay ang nabanggit na proyekto open source. Isa pang halimbawa - , na open source din. Ang mga system na may mga regular na expression ay may ilang mga disadvantages, lalo na, kapag may natuklasang bagong kahinaan, ang administrator ay kailangang gumawa ng mga karagdagang panuntunan nang manu-mano. Sa kaso ng isang malakihang imprastraktura ng IT, maaaring mayroong ilang libong mga patakaran. Ang pamamahala ng napakaraming mga regular na expression ay medyo mahirap, hindi banggitin ang katotohanan na ang pagsuri sa mga ito ay maaaring mabawasan ang pagganap ng network.
Ang mga regular na expression ay mayroon ding medyo mataas na false positive rate. Ang bantog na linggwistang si Noam Chomsky ay nagmungkahi ng klasipikasyon ng mga gramatika kung saan hinati niya ang mga ito sa apat na kondisyonal na antas ng pagiging kumplikado. Ayon sa pag-uuri na ito, maaari lamang ilarawan ng mga regular na expression ang mga panuntunan sa firewall na hindi nagsasangkot ng mga paglihis mula sa pattern. Nangangahulugan ito na madaling "lokohin" ng mga umaatake ang unang henerasyong WAF. Ang isang paraan upang labanan ito ay ang pagdaragdag ng mga espesyal na character sa mga kahilingan sa application na hindi nakakaapekto sa lohika ng malisyosong data, ngunit lumalabag sa panuntunan ng lagda.
Pangalawang henerasyon. Upang iwasan ang mga isyu sa pagganap at katumpakan ng mga WAF, binuo ang mga pangalawang henerasyong firewall ng application. Mayroon na silang mga parser na responsable sa pagtukoy ng mga mahigpit na tinukoy na uri ng pag-atake (sa HTML, JS, atbp.). Gumagana ang mga parser na ito sa mga espesyal na token na naglalarawan ng mga query (halimbawa, variable, string, hindi alam, numero). Ang mga potensyal na nakakahamak na pagkakasunud-sunod ng token ay inilalagay sa isang hiwalay na listahan, na regular na sinusuri ng WAF system. Ang diskarte na ito ay unang ipinakita sa kumperensya ng Black Hat 2012 sa anyo ng C/C++ , na nagbibigay-daan sa iyong makita ang mga SQL injection.
Kung ikukumpara sa mga unang henerasyong WAF, ang mga espesyal na parser ay maaaring maging mas mabilis. Gayunpaman, hindi nila nalutas ang mga paghihirap na nauugnay sa manu-manong pag-configure ng system kapag lumitaw ang mga bagong malisyosong pag-atake.
Ikatlong salinlahi. Ang ebolusyon sa third-generation detection logic ay binubuo ng paggamit ng mga paraan ng machine learning na ginagawang posible na dalhin ang detection grammar na mas malapit hangga't maaari sa totoong SQL/HTML/JS grammar ng mga protektadong system. Ang lohika ng pag-detect na ito ay nagagawang iakma ang isang Turing machine upang masakop ang recursively enumerable grammars. Bukod dito, dati ang gawain ng paglikha ng isang madaling ibagay na Turing machine ay hindi malulutas hanggang sa nai-publish ang mga unang pag-aaral ng neural Turing machine.
Nagbibigay ang machine learning ng natatanging kakayahang iakma ang anumang grammar upang masakop ang anumang uri ng pag-atake nang hindi manu-manong gumagawa ng mga listahan ng lagda gaya ng kinakailangan sa unang henerasyong pag-detect, at nang hindi gumagawa ng mga bagong tokenizer/parser para sa mga bagong uri ng pag-atake gaya ng Memcached, Redis, Cassandra, SSRF injection. , ayon sa kinakailangan ng pamamaraan ng ikalawang henerasyon.
Sa pamamagitan ng pagsasama-sama ng lahat ng tatlong henerasyon ng lohika ng pagtuklas, maaari tayong gumuhit ng isang bagong diagram kung saan ang ikatlong henerasyon ng pagtuklas ay kinakatawan ng pulang balangkas (Larawan 3). Kasama sa henerasyong ito ang isa sa mga solusyon na ipinapatupad namin sa cloud kasama ng Onsek, ang developer ng platform para sa adaptive na proteksyon ng mga web application at ang Wallarm API.
Gumagamit na ngayon ang lohika ng pagtuklas ng feedback mula sa application para i-self-tune ang sarili nito. Sa machine learning, ang feedback loop na ito ay tinatawag na "reinforcement." Karaniwan, mayroong isa o higit pang mga uri ng naturang pampalakas:
- Pagsusuri ng gawi sa pagtugon sa application (passive)
- Scan/fuzzer (aktibo)
- Mag-ulat ng mga file/mga pamamaraan ng interceptor/mga bitag (pagkatapos ng katotohanan)
- Manwal (tinukoy ng superbisor)
Bilang resulta, tinutugunan din ng lohika ng pagtuklas ng ikatlong henerasyon ang mahalagang isyu ng katumpakan. Posible na ngayon hindi lamang upang maiwasan ang mga maling positibo at maling negatibo, kundi pati na rin upang matukoy ang mga wastong totoong negatibo, tulad ng pagtuklas ng paggamit ng elemento ng SQL command sa Control Panel, pag-load ng template ng web page, mga kahilingan sa AJAX na nauugnay sa mga error sa JavaScript, at iba pa.
Susunod, isasaalang-alang namin ang mga teknolohikal na kakayahan ng iba't ibang mga opsyon sa pagpapatupad ng WAF.
Hardware, software o cloud - ano ang pipiliin?
Ang isa sa mga opsyon para sa pagpapatupad ng mga firewall ng application ay isang solusyon sa hardware. Ang mga naturang system ay mga espesyal na computing device na lokal na ini-install ng isang kumpanya sa data center nito. Ngunit sa kasong ito, kailangan mong bumili ng iyong sariling kagamitan at magbayad ng pera sa mga integrator para sa pag-set up nito at pag-debug nito (kung ang kumpanya ay walang sariling IT department). Kasabay nito, ang anumang kagamitan ay nagiging lipas na at hindi na magagamit, kaya ang mga customer ay napipilitang magbadyet para sa mga upgrade ng hardware.
Ang isa pang opsyon para sa pag-deploy ng WAF ay isang pagpapatupad ng software. Ang solusyon ay naka-install bilang isang add-on para sa ilang software (halimbawa, ang ModSecurity ay naka-configure sa tuktok ng Apache) at tumatakbo sa parehong server kasama nito. Bilang isang patakaran, ang mga naturang solusyon ay maaaring i-deploy pareho sa isang pisikal na server at sa cloud. Ang kanilang kawalan ay limitadong scalability at suporta sa vendor.
Ang pangatlong opsyon ay ang pagse-set up ng WAF mula sa cloud. Ang ganitong mga solusyon ay ibinibigay ng mga tagapagbigay ng ulap bilang isang serbisyo ng subscription. Ang kumpanya ay hindi kailangang bumili at mag-configure ng dalubhasang hardware; ang mga gawaing ito ay nakasalalay sa mga balikat ng service provider. Ang isang mahalagang punto ay ang isang modernong cloud WAF ay hindi nagpapahiwatig ng paglipat ng mga mapagkukunan sa platform ng provider. Maaaring i-deploy ang site kahit saan, kahit na nasa lugar.
Ipapaliwanag pa namin kung bakit lalong tumitingin ang mga tao sa cloud WAF.
Ano ang magagawa ng WAF sa cloud
Sa mga tuntunin ng mga teknolohikal na kakayahan:
- Responsable ang provider para sa mga update. Ang WAF ay ibinibigay sa pamamagitan ng subscription, kaya sinusubaybayan ng service provider ang kaugnayan ng mga update at lisensya. Ang mga pag-update ay nababahala hindi lamang sa software, kundi pati na rin sa hardware. Ina-upgrade ng provider ang server park at pinapanatili ito. Responsable din ito para sa load balancing at redundancy. Kung nabigo ang WAF server, ang trapiko ay agad na ire-redirect sa ibang makina. Ang makatwirang pamamahagi ng trapiko ay nagbibigay-daan sa iyo upang maiwasan ang mga sitwasyon kapag ang firewall ay pumasok sa fail open mode - hindi nito makayanan ang pag-load at huminto sa pag-filter ng mga kahilingan.
- Virtual patching. Pinaghihigpitan ng mga virtual na patch ang pag-access sa mga nakompromisong bahagi ng application hanggang sa isara ng developer ang kahinaan. Bilang resulta, ang customer ng cloud provider ay nakakakuha ng pagkakataon na mahinahong maghintay hanggang ang supplier ng ito o ang software na iyon ay mag-publish ng opisyal na "mga patch". Ang paggawa nito nang mabilis hangga't maaari ay isang priyoridad para sa supplier ng software. Halimbawa, sa Wallarm platform, isang hiwalay na software module ang may pananagutan para sa virtual patching. Ang administrator ay maaaring magdagdag ng mga custom na regular na expression upang harangan ang mga nakakahamak na kahilingan. Ginagawang posible ng system na markahan ang ilang kahilingan gamit ang flag na "Kumpidensyal na data". Pagkatapos ang kanilang mga parameter ay naka-mask, at sa ilalim ng anumang pagkakataon ay ipinadala sila sa labas ng lugar ng pagtatrabaho ng firewall.
- Built-in na perimeter at vulnerability scanner. Nagbibigay-daan ito sa iyong independyenteng matukoy ang mga hangganan ng network ng imprastraktura ng IT gamit ang data mula sa mga query sa DNS at ang protocol ng WHOIS. Pagkatapos, awtomatikong sinusuri ng WAF ang mga serbisyong tumatakbo sa loob ng perimeter (nagsasagawa ng port scanning). Ang firewall ay may kakayahang mag-detect ng lahat ng karaniwang uri ng mga kahinaan - SQLi, XSS, XXE, atbp. - at tukuyin ang mga error sa configuration ng software, halimbawa, hindi awtorisadong pag-access sa Git at BitBucket repository at anonymous na mga tawag sa Elasticsearch, Redis, MongoDB.
- Ang mga pag-atake ay sinusubaybayan ng mga mapagkukunan ng ulap. Bilang isang tuntunin, ang mga tagapagbigay ng ulap ay may malaking halaga ng kapangyarihan sa pag-compute. Nagbibigay-daan ito sa iyo na pag-aralan ang mga banta na may mataas na katumpakan at bilis. Ang isang kumpol ng mga filter node ay naka-deploy sa cloud, kung saan dumadaan ang lahat ng trapiko. Hinaharangan ng mga node na ito ang mga pag-atake sa mga web application at nagpapadala ng mga istatistika sa Analytics Center. Gumagamit ito ng mga machine learning algorithm para i-update ang mga panuntunan sa pag-block para sa lahat ng protektadong application. Ang pagpapatupad ng naturang pamamaraan ay ipinapakita sa Fig. 4. Ang ganitong mga pinasadyang panuntunan sa seguridad ay nagpapaliit sa bilang ng mga maling alarma sa firewall.
Ngayon ng kaunti tungkol sa mga tampok ng cloud WAF sa mga tuntunin ng mga isyu sa organisasyon at pamamahala:
- Paglipat sa OpEx. Sa kaso ng mga cloud WAF, ang halaga ng pagpapatupad ay magiging zero, dahil ang lahat ng hardware at lisensya ay binayaran na ng provider; ang pagbabayad para sa serbisyo ay ginawa sa pamamagitan ng subscription.
- Iba't ibang mga plano ng taripa. Ang user ng cloud service ay maaaring mabilis na paganahin o hindi paganahin ang mga karagdagang opsyon. Pinamamahalaan ang mga function mula sa iisang control panel, na ligtas din. Ito ay ina-access sa pamamagitan ng HTTPS, at mayroong dalawang-factor na mekanismo ng pagpapatunay batay sa protocol ng TOTP (Time-based One-Time Password Algorithm).
- Koneksyon sa pamamagitan ng DNS. Maaari mong baguhin ang DNS sa iyong sarili at i-configure ang pagruruta ng network. Upang malutas ang mga problemang ito ay hindi na kailangang mag-recruit at magsanay ng mga indibidwal na espesyalista. Bilang panuntunan, makakatulong ang teknikal na suporta ng provider sa pag-setup.
Nag-evolve ang mga teknolohiya ng WAF mula sa mga simpleng firewall na may mga panuntunan ng thumb hanggang sa mga kumplikadong sistema ng proteksyon na may mga algorithm ng machine learning. Nag-aalok na ngayon ang mga firewall ng application ng malawak na hanay ng mga feature na mahirap ipatupad noong 90s. Sa maraming paraan, naging posible ang paglitaw ng bagong pag-andar salamat sa mga teknolohiya ng ulap. Ang mga solusyon sa WAF at ang kanilang mga bahagi ay patuloy na nagbabago. Tulad ng ibang mga lugar ng seguridad ng impormasyon.
Ang text ay inihanda ni Alexander Karpuzikov, information security product development manager sa cloud provider na #CloudMTS.
Pinagmulan: www.habr.com