Cloud Networks • Аналитика • Что нового в мире ИБ: российские WAF глазами интегратора
07.12.2022

Что нового в мире ИБ: российские WAF глазами интегратора

Защита веб-приложений является крайне актуальной проблемой. По статистике:

  • Почти треть веб-приложений и сервисов уязвимо к атакам типа SQL-инъекций (один из самых популярных видов таргетированных атак).
  • Угроза отказа в обслуживании для веб-сервисов с каждым днем только растет. DDoS-атаку может устроить начинающий киберпреступник ради хакерской практики, опытный злоумышленник ради забавы или конкурент, чтобы помешать работе вашего бизнеса.

Для защиты от данного типа угроз применяется межсетевой экран уровня приложения (Web Application Firewall или WAF). Использование WAF является обязательным для компаний, которым требуется доступность их web-сервисов и ресурсов 24/7.

 

Какой WAF выбрать?

Итак, компания приняла решение о необходимости использования средств защиты для своих веб-приложений. Что дальше? Выбрать продукт, заказать его и ждать доставку? Я рассмотрю другой сценарий.

Сейчас прослеживается тренд по переходу на облачные сервисы в качестве надежных решений для бизнеса, предоставляемых «по подписке». Российские WAF-системы не стали исключением. В настоящий момент у облачных провайдеров в нашей стране доступны многие решения из данной области.

На площадке облачных услуг от Сбера (SberCloud) доступно решение их дочерней компании BI.ZONE WAF. На площадке облачных услуг от Яндекса (Yandex.Cloud) доступны такие решения как:

  • PT Application Firewall 3.7.3,
  • Nemesida WAF,
  • SolidWall WAF и др.

Решения доступны по разным моделям:

  1. Free — лицензия на продукт предоставляется бесплатно.
  2. PAYG (Pay as you go) — тарификация осуществляется посекундно на основе параметров потребления виртуальной машины или метрик приложения, определенных издателем продукта.
  3. Monthly — тарификация осуществляется раз в месяц в начале периода на основе параметров потребления виртуальной машины или метрик приложения, определенных издателем продукта.
  4. BYOL (Bring Your Own License) — позволяет запускать ПО на инфраструктуре облачного провайдера с использованием лицензий, приобретенных у сторонних поставщиков.

 

Облачный WAF: преимущества

В чем же выгода использовать облачное решение перед традиционным подходом с закупкой оборудования?

  • Финансовая привлекательность.

Заказчику не нужно оплачивать дорогостоящее оборудование, лицензии вендоров, труд инженеров по безопасности. Для многих компаний оплата подписки облачного провайдера обойдется дешевле.

  • Время.

В случае традиционного внедрения средства по защите информации заказчику сначала нужно будет выбрать подходящий продукт на рынке. Провести пилотное тестирование. Сделать вывод о корректной работе решения под рабочей нагрузкой. Обсудить и утвердить все детали с поставщиком, после чего оформить и провести сделку. Дождаться доставки оборудования с удаленного склада. И далее внедрить решение в свою сетевую инфраструктуру.

А ведь при подключении услуги облачного провайдера можно обезопасить свой бизнес от актуальных угроз всего за один день. Например, если интернет-магазин внезапно начала страдать от DDoS-атак, в случае традиционного подхода к внедрению средства безопасности, компания может остаться без прибыли на 3 месяца. В такой ситуации облачный провайдер станет спасением для бизнеса.

  • Экспертиза.

Если компания хочет внедрить средство защиты информации (СЗИ), ей придется искать и нанимать в штат высококвалифицированных специалистов по компьютерной безопасности с учетом дефицита данных экспертов на рынке. Облачный провайдер, в свою очередь, обеспечивает администрирование СЗИ собственными силами.

  • Риски.

При традиционном подходе к ИБ, компании нужно думать, что делать в случае, если аппаратное обеспечение внезапно выйдет из строя, или администратор безопасности резко уйдет на больничный и не сможет выполнять свои должностные обязанности. Все эти риски провайдер облачных услуг берет на себя. К тому же современные ЦОДы соответствуют высочайшим требованиям к обеспечению отказоустойчивости и доступности своих услуг.

Хорошо, теперь мы знаем, что заказчик может защитить свои веб-приложения пользуясь облачной услугой по подписке. Теперь стоит изучить следующий вопрос. Появились ли какие-то нововведения в мире отечественных WAF?

 

Обновления в российских WAF

К сожалению, за последнее время отечественные вендоры не смогли порадовать потенциальных заказчиков релизами новых версий и списками апргрейдов на своих публичных площадках. Зато один из фаворитов отечественного рынка информационной безопасности Positive Technologies выпустил долгожданную четвертую версию своего межсетевого экрана уровня приложения. Данный релиз является масштабным и достаточно значимым. Его стоит рассмотреть подробно.

 

PT Application Firewall 4.0: обзор новой версии

В связи с актуальной проблематикой Positive Technologies очень долго разрабатывали PTAF 4.0. Вендор заверяет, что это не очередное обновление, а по сути, выход нового продукта. Попробуем разобраться, что интересного вошло в релиз.

Архитектура:

Была полностью изменена внутренняя архитектура продукта. Теперь она микросервисная. Это позволяет:

  1. Горизонтально масштабировать продукт на произвольное качество вычислительных узлов.
  2. Устанавливать продукт в распределённой инфраструктуре, при этом собирая информацию в едином окне.
  3. Независимо настраивать, обновлять и масштабировать каждый компонент под любую нагрузку.

Теперь PTAF состоит из двух частей – приватной и публичной.

Приватная часть отвечает за работу всех жизнеобеспечивающих сервисов продукта и находится под управлением Kubernetes, системы с открытым исходным кодом для автоматизации развертывания, масштабирования и управления контейнерными приложениями.

Публичная часть занимается непосредственно обработкой трафика, прямой функцией фаервола.

У PTAF 4.0 есть возможность установки в кластерном варианте. В новой версии поддерживается кластер, состоящий минимум из трех нод. Одна нода является старшей, она осуществляет управление и распределение нагрузки между двумя другими нодами. Дальнейшее расширение кластера возможно только с нечетным количеством нод (3, 5 и т. д.).

Появилась распределенная установка.

Multitenancy – в новой версии продукта можно собирать трафик не только подключая приложения в публичную часть кластера или ноды PTAF, теперь можно разворачивать тенанты.

Тенант – это новая сущность в продукте, по сути, это мини WAF, который берет на себя часть ресурсов и функционирует как отдельный WAF. Тенант полностью изолирован, он работает со свои приложения и пользователями, и администратор основного кластера не видит, какие атаки происходят на теноте и наоборот. Можно сказать, что это отдельные WAF, которые базируются на одном физическом узле.

Aгент nginx – в новой версии появилась возможность установить PTAF в виде модуля на сервер nginx. При таком варианте PTAF будет обрабатывать трафик, используя ресурсы сервера nginx. Выгода данной функции выражается в том, что теперь, чтобы быть защищенным, необязательно тратиться на дополнительное аппаратное обеспечение.

Экспертиза:

В PTAF 4.0 внедрили функционал глубокого машинного обучения. Обеспечивает это модуль Seq2Seq. Он реализован на нейросетях и автоматически обучается детектировать аномальные запросы, которые нехарактерны для данного приложения, автоматически без участия человека. Благодаря чему становится возможным защититься от ранее не известных угроз.

С учетом одновременной работы продукта с большим числом приложений, данный функционал становится крайне важным.

 

Лицензирование:

Отказ от RPS – ранее лицензирование продукта зависело от такого понятия как «RPS». Данная аббревиатура всегда вызывала много вопросов у заказчиков, поэтому в новой версии лицензия зависит от полосы трафика, которую надо защищать. Это та метрика, которая снимается на ядре PTAF, со всех компонентов. То есть учитывается суммарный трафик: 1, 2, 5, 10 Гбит/сек и т.д.

Инфраструктурные лицензии:

  1. Есть лицензия на кластер (3 узла, этом минимум).
  2. Далее доплата за расширение (с шагом по +2 ноды, но это избыточная мощность, обычно 3 хватает большинству заказчиков).
  3. Теперь можно расширять публичную часть. Дополнительные сервера по обработке трафика тоже лицензируются по количеству (1, 2, 3, 4 и т. д.).
  4. Централизованная консоль управления в распределенных инсталляциях. В графическом интерфейсе объединяет информацию о распределенных установках. Например, если в нескольких ЦОДах стоит по кластеру PTAF, у них у каждого своя консоль. Такая лицензия поможет объединить инфу с разных кластеров в одну консоль.

 

В заключение

В заключение хочется отметить, что выход 4 версии PTAF действительно стал масштабным релизом для данного решения.

Вендор в данный момент осуществляет продажу и поддержку как предыдущей версии 3.7, так и новой версии 4.0. Но с небольшой оговоркой.

Если у заказчика установлена и функционирует старая третья версия продукта, его обновление будет производиться индивидуально по запросу заказчика. А переход на новую четвертую версию решения будет осуществляться путем разворачивания новой инсталляции PTAF 4.0 с нуля.

В Cloud Networks вам подберут наилучший WAF и настроят защиту инфраструктуры. Оставьте свою заявку для бесплатной консультации:


    Отправляя форму, я даю свое согласие на обработку моих персональных данных
    Персональные данные
    Мы не передадим ваши данные третьим лицам и не будем донимать спамом
    to-top