Межсетевой экран для веб-приложений (WAF)
Что такое WAF?
Межсетевой Экран для web-приложений (Web Application Firewall) — это передовая технология безопасности, созданная специально для защиты веб-порталов и приложений. В зависимости от ваших потребностей она может быть аппаратной или программной.
Основные задачи WAF:
- Защита web-порталов и web-приложений путем проверки XML/SOAP семантики потокового трафика;
- Анализ трафика (HTTP/HTTPS) на предмет наличия всевозможных видов атак и аномалий на уровне web-приложений.
Технология WAF способна:
- Выполнять функции прокси-сервера;
- Выполнять терминацию SSL трафика и балансировку серверной нагрузки, благодаря анализу HTTPS трафика, по средствам импорта сертификата безопасности целевого сервера;
- Поддерживать кластеризацию;
- Выполнять акселерацию web-приложений.
Режимы развертывания, поддерживаемые WAF:
- Bridge mode;
- Transparent proxy;
- Reverse proxy;
- Сетевой мониторинг (SPAN или TAP).
WAF функционирует на основе двух моделей безопасности:
- Negative — отрицательная модель или черный список (отрицает то, что является заведомо установленным). Базовая защита, аналог IPS-решения, но с более высокой оценкой безопасности web-приложений. Базовая защита достигается путем использования известных сигнатур для предотвращения общеизвестных атак и специфических сигнатур для точечных атак, использующих уязвимости отдельных приложений. Пример: Потенциально опасный HTTP-запрос GET отрицать, а все остальное разрешать;
- Positive — положительная модель или белый список (разрешает только то, что является заведомо установленным). Для улучшения защиты, помимо сигнатур, WAF дополнительно использует правила, которые определяют что разрешено. Пример: Разрешить только HTTP-запрос GET для отдельно взятого URL, остальное — запретить.
Ключевые возможности WAF:
- Поддержка всех применимых к web-приложениям PCI DSS Requirements, связанных с компонентами системы в среде обработки данных по платежным картам;
- Оперативная реакция (определяется активной политикой и/или набором правил) на угрозы и атаки, определенные, как минимум, в OWASP Top 10;
- Анализ входящего HTTP/HTTPS трафика и запросов к web-приложениям;
- Принятие защитных мер на основе активных политик и правил (разрешить, блокировать, предупредить);
- Поддержка и соблюдение корректного функционирования положительной и отрицательной модели безопасности;
- Изучение и проверка web-контента, созданного с помощью Hypertext Markup Language (HTML), Dynamic HTML (DHTML), Cascading Style Sheets (CSS) и основных протоколов доставки web-контента, таких как Hypertext Transport Protocol (HTTP) и Transport Protocol Hypertext over SSL (HTTPS);
- Предотвращение утечки данных — анализ исходящего HTTP/HTTPS трафика и запросов к web-приложениям и принятие защитных мер на основе активных политик и правил, а также своевременная запись произошедших событий в журнал событий;
- Анализ сообщений web-сервисов, в особенности публичных. Как правило, включает себя проверку Simple Object Access Protocol (SOAP) и eXtensible Markup Language (XML), а также Remote Procedure Call (RPC) ориентированные модели взаимодействия с web-сервисами, основанные на базе HTTP;
- Проверка любого протокола или конструкции данных (проприетарных или стандартизированных), которые используются для передачи данных в/из web-приложения;
- Защита от угроз, направленных непосредственно на WAF;
- Терминация SSL и/или TLS (расшифровка и проверка трафика перед отправкой к web-приложению).
В отличие от обычного межсетевого экрана, WAF анализирует HTTP-протокол на уровне приложений (layer 7) и способен защитить сайт от большого количества угроз.
Наши партнеры:
Специалисты Айтуби работают со всеми видами WAF-решений. Для осуществления проектов по интеграции данных комплексов мы обращаемся к наиболее надежным решениям наших партнёров: Fortinet, Radware, Imperva, PT Application Firewall (PT Позитив технолоджис), Код безопасности,F5.
Поддержка отечественных разработчиков:
Дополнительно в рамках соответствия законодательству РФ мы предлагаем WAF-решения, разработанные нашими российскими партнерами, такими как PT (Позитив технолоджис) и Код безопасности.
- Межсетевые экраны (NGFW/DCFW/ISFW)
- EDR решения
- Sandbox
- Security Awareness
- DevSecOps
- Системы сбора и корреляции событий ИБ (SIEM)
- Многофакторная аутентификация (MFA)
- Защита электронной почты
- Контроль управляющих конфигураций
- Контроль привилегированных пользователей (PIM/PAM/PUM)
- Системы контроля и управления доступом к неструктурированным данным (DCAP, DAG, FA)
- DDoS-защита
- MDM/MDP решения
- DLP системы
- Анализ сетевого трафика (NTA/NDR)
- Решения для анализа кода на уязвимости (SAST, DAST)
- Защита сетей АСУ ТП и обнаружение угроз в них (IoT, OT, ICS, SCADA protection and device discovery, DataDiodes)
- Mobile information management (MIM) «Системы для работы с файлами, их контроля и защищенного обмена»
- Управление уязвимостями (VM)
- Шифрование данных на рабочих станциях
- Мониторинг и защита баз данных (DBM/DBF)
- Системы внешнего моделирования и проведения нарушений и атак (BAS)
- HoneyPots (DDP)
- Анализ и устранение уязвимостей облачной инфраструктуры, оценка соответствия облака политикам безопасности (CSPM)
- Сетевой доступ с нулевым доверием (ZTNA)
- Платформа реагирования на инциденты кибербезопасности (IRP)
- Системы управления доступом, учетными записями пользователей (IDM)