27 сентября 2023
Статья 2 «Разновидности Web Application Firewall»
Онлайн курс: Вебмониторэкс Getting Started
В первой статье мы определили, какой именно ресурс может называться веб-приложением. А также выяснили, что для защиты от атак на веб-приложения нас защищает такой класс устройств, как WAF — Web Application Firewall.
В данном же материале мы подробнее рассмотрим, какие именно бывают WAF-ы, на примере отечественного вендора Вебмониторэкс. Рассмотрим их принципиальные отличия и расскажем, как выбрать и протестировать вариант, который подойдет для вашей инфраструктуры.
Все существующие на сегодняшний день WAF-ы можно поделить на 3 типа:
В данном же материале мы подробнее рассмотрим, какие именно бывают WAF-ы, на примере отечественного вендора Вебмониторэкс. Рассмотрим их принципиальные отличия и расскажем, как выбрать и протестировать вариант, который подойдет для вашей инфраструктуры.
Все существующие на сегодняшний день WAF-ы можно поделить на 3 типа:
OnPremise
Это решения, которые полностью располагаются в инфраструктуре заказчика. В рамках одного периметра с защищаемыми приложениями
Cloud SAAS
Это облачные решения, которые приобретаются и работают по сервисной модели
Hybrid Cloud Base
Гибридные решения, которые содержат в себе как OnPremise, так и Cloud элементы
Первый тип решений отличается тем, что вся проверка запросов проводится на ресурсах клиента. Обычно это устройство, которое работает в режиме обратного-прокси и с помощью которого осуществляется публикация приложения в интернет. Такая архитектура решения подразумевает, что оно будет полностью находится в зоне ответственности клиента. От вендора будут приходить только обновления сигнатур и ПО. Это очень похоже на классическое NGFW решение, устанавливаемое на периметре. Многие современные NGFW обладают встроенным WAF модулем.
Следующие два типа подразумевают разделение зон ответственности вендора и заказчика.
В дальнейшем мы сосредоточимся именно на них. Эти типы WAF также представлены в линейке компании Вебмониторэкс, решениям которой и посвящён наш курс.
Прежде чем начать разбор, необходимо выделить одну важную сущность — фильтрующую ноду. Фильтрующая нода — это ПО, через которое проходят http запросы, и оно же принимает решение: пропустить этот запрос или отбросить его. При этом все политики формируются и хранятся отдельно от фильтрующей ноды. Нода — это просто шлюз, который работает по тем правилам, которые мы ему укажем.
Итак, перейдём к вариантам использования Вебмониторэкс API Secutity:
В дальнейшем мы сосредоточимся именно на них. Эти типы WAF также представлены в линейке компании Вебмониторэкс, решениям которой и посвящён наш курс.
Прежде чем начать разбор, необходимо выделить одну важную сущность — фильтрующую ноду. Фильтрующая нода — это ПО, через которое проходят http запросы, и оно же принимает решение: пропустить этот запрос или отбросить его. При этом все политики формируются и хранятся отдельно от фильтрующей ноды. Нода — это просто шлюз, который работает по тем правилам, которые мы ему укажем.
Итак, перейдём к вариантам использования Вебмониторэкс API Secutity:
- Облачная архитектура Webmonitorx API Security:защита обеспечивается с помощью платформы SaaS под управлением Вебмониторэкс. В этом варианте подразумевается, что и фильтрующая нода, и «Облако» Вебмониторэкс с вычислительными ресурсами находится в зоне ответственности вендора.
Схематично это может выглядеть примерно так:
Из приведённой выше картинки видно, что все элементы управления и вычислительные ресурсы находятся в зоне ответственности вендора. Что показывает огромное преимущество такого подхода, а именно отсутствие необходимости содержания и администрирования WAF-а силами клиента. Нет необходимости выделять вычислительные ресурсы на работу ПО. Это и есть модель SaaS, когда клиент получает WAF как сервис и платит только абонентскую плату за его использование.
- Второй вариант использования Вебмониторэкс API Secutity: гибридныйЗдесь подразумевается, что заказчик разворачивает фильтрующую ноду на своих вычислительных мощностях и в своём периметре. А все средства администрирования и хранения политик находятся в облаке Вебмониторэкс.
Гибридная архитектура включает в себя два элемента:
Схематично это выглядит так:
- Программный пакет ноды предоставляется Вебмониторэкс и работает в среде клиента. Развертывание, управление и контроль фильтрующих нод осуществляется администраторами клиента
- Бэкенд-сервис облака Вебмониторэкс, который содержит в себе аналитический модуль на основе ИИ и предоставляет доступ к консольному пользовательскому интерфейсу, а также к открытым интерфейсам управления API. Этим компонентом управляют специалисты Вебмониторэкс
Схематично это выглядит так:
Именно такой сценарий использования WAF от Вебмониторэкс мы и будем рассматривать в следующих частях курса.
В этом сценарии фильтрующая нода выполняет роль обратного прокси сервера. Как если бы мы использовали OnPremise WAF, но все вычисления бы происходили в Облаке Вебмониторэкс.
Фильтрующей ноде отдаётся указание, что сделать с тем или иным запросом. При этом трафик, проходящий через фильтрующую ноду, не дублируется в облако вендора.
В этом сценарии фильтрующая нода выполняет роль обратного прокси сервера. Как если бы мы использовали OnPremise WAF, но все вычисления бы происходили в Облаке Вебмониторэкс.
Фильтрующей ноде отдаётся указание, что сделать с тем или иным запросом. При этом трафик, проходящий через фильтрующую ноду, не дублируется в облако вендора.
Вот как выглядит взаимодействие пользователей и ваших веб-приложений в случае с гибридным внедрением Вебмониторэкс. Из рисунка видно, что фильтрующие ноды обычно размещаются между интернетом и защищаемыми приложениями. Есть, конечно, и другие варианты инсталляций, но указанный выше является наиболее часто используемым и рекомендуемым решением.
В следующих статьях мы покажем, каким образом можно протестировать гибридное решение WAF от компании Вебмониторэкс. Зарегистрируем аккаунт в облаке вендора, развернём фильтрующую ноду и проведём несколько экспериментов с автоматическими атаками на заведомо уязвимое веб-приложение.
В следующих статьях мы покажем, каким образом можно протестировать гибридное решение WAF от компании Вебмониторэкс. Зарегистрируем аккаунт в облаке вендора, развернём фильтрующую ноду и проведём несколько экспериментов с автоматическими атаками на заведомо уязвимое веб-приложение.
Пройти сертификацию
Пройдите тест по содержанию данного курса (рекомендуется после полного прохождения) и получите сертификат, подтверждающий полученные знания.
