Брандмауэр веб-приложений - Web application firewall
А брандмауэр веб-приложений (WAF) - это особая форма брандмауэр приложений который фильтрует, отслеживает и блокирует HTTP трафик в и из веб-сервис. Проверяя HTTP-трафик, он может предотвратить атаки, использующие известные уязвимости веб-приложения, такие как SQL-инъекция, межсайтовый скриптинг (XSS), включение файлов и неправильная конфигурация системы.[1]
История
Выделенные брандмауэры веб-приложений появились на рынке в конце 1990-х годов, когда веб сервер нападения становились все более распространенными.
Ранняя версия WAF была разработана Perfecto Technologies с этими AppShield товар,[2] который ориентирован на рынок электронной коммерции и защищен от незаконного ввода символов веб-страницы. В 2002 году проект с открытым исходным кодом ModSecurity[3] был создан для того, чтобы сделать технологию WAF более доступной. Они завершили разработку основного набора правил для защиты веб-приложений, основанного на работе Технического комитета по безопасности веб-приложений OASIS (WAS TC), посвященной уязвимостям. В 2003 году они расширили и стандартизировали правила с помощью Открыть проект безопасности веб-приложений (OWASP) Top 10 List, ежегодный рейтинг уязвимостей веб-безопасности. Этот список станет отраслевым стандартом для соответствия требованиям безопасности веб-приложений.[4][5]
С тех пор рынок продолжал расти и развиваться, уделяя особое внимание мошенничество с кредитными картами профилактика. С развитием Стандарт безопасности данных индустрии платежных карт (PCI DSS), стандартизация контроля над данными держателей карт, безопасность в этом секторе стала более регулируемой. По данным журнала CISO Magazine, к 2022 году рынок WAF вырастет до 5,48 млрд долларов.[6]
Описание
Брандмауэр веб-приложений - это особый тип брандмауэра приложений, который применяется специально к веб-приложениям. Он развертывается перед веб-приложениями и анализирует двунаправленный веб-трафик (HTTP), обнаруживая и блокируя все вредоносное. OWASP дает широкое техническое определение WAF как «решение безопасности на уровне веб-приложения, которое с технической точки зрения не зависит от самого приложения».[7] Согласно Информационному дополнению PCI DSS к требованию 6.6, WAF определяется как «точка применения политики безопасности, расположенная между веб-приложением и конечной точкой клиента. Эта функциональность может быть реализована в программном или аппаратном обеспечении, запущена на устройстве или на типичном сервере, работающем под общей операционной системой. Это может быть автономное устройство или интегрированное в другие сетевые компоненты ».[8] Другими словами, WAF может быть виртуальным или физическим устройством, которое предотвращает использование уязвимостей в веб-приложениях внешними угрозами. Эти уязвимости могут быть вызваны тем, что само приложение относится к устаревшему типу или было недостаточно продумано. WAF устраняет эти недостатки кода с помощью специальных конфигураций наборов правил, также известных как политики.
Ранее неизвестные уязвимости можно обнаружить путем тестирования на проникновение или с помощью сканера уязвимостей. А сканер уязвимостей веб-приложений, также известный как сканер безопасности веб-приложений, определяется в САМАТЕ NIST 500-269 как «автоматизированную программу, которая проверяет веб-приложения на наличие потенциальных уязвимостей. Помимо поиска уязвимостей, связанных с конкретными веб-приложениями, эти инструменты также ищут ошибки программного кода ».[9] Устранение уязвимостей обычно называют исправлением. В приложении можно внести исправления в код, но обычно требуется более быстрый ответ. В этих ситуациях может потребоваться применение настраиваемой политики для уникальной уязвимости веб-приложения для предоставления временного, но немедленного исправления (известного как виртуальный патч).
WAF не являются окончательным решением безопасности, скорее они предназначены для использования в сочетании с другими решениями безопасности периметра сети, такими как сетевые брандмауэры и системы предотвращения вторжений, чтобы обеспечить целостную стратегию защиты.
WAF обычно следуют модели позитивной безопасности, негативной безопасности или их комбинации, как указано в Институт SANS.[10] WAF используют комбинацию логики, основанной на правилах, разбор, и сигнатуры для обнаружения и предотвращения атак, таких как межсайтовый скриптинг и SQL-инъекции. OWASP составляет список из десяти основных недостатков безопасности веб-приложений. Все коммерческие предложения WAF покрывают как минимум десять этих недостатков. Есть и некоммерческие варианты. Как упоминалось ранее, хорошо известный механизм WAF с открытым исходным кодом под названием ModSecurity является одним из таких вариантов. Одного механизма WAF недостаточно для обеспечения адекватной защиты, поэтому OWASP вместе с Trustwave Spiderlabs помогают организовать и поддерживать набор основных правил с помощью GitHub[11] для использования с механизмом ModSecurity WAF.[12]
Варианты развертывания
Хотя названия рабочих режимов могут отличаться, WAF в основном развертываются в оперативном режиме тремя разными способами. Согласно NSS Labs, варианты развертывания прозрачный мост, прозрачный обратный прокси и обратный прокси.[13] «Прозрачный» относится к тому факту, что HTTP-трафик отправляется прямо в веб-приложение, поэтому WAF прозрачен для клиента и сервера. В этом отличие от обратного прокси, где WAF действует как прокси, а клиентский трафик направляется непосредственно в WAF. Затем WAF отдельно отправляет отфильтрованный трафик в веб-приложения. Это может обеспечить дополнительные преимущества, такие как маскирование IP, но может привести к недостаткам, таким как задержка производительности.
Коммерческие поставщики
Многие коммерческие WAF имеют схожие функции, но основные различия часто относятся к пользовательским интерфейсам, вариантам развертывания или требованиям в конкретных средах. Известные поставщики включают:
Прибор
- Barracuda Networks WAF
- Citrix Брандмауэр приложений Netscaler
- F5 BIG-IP Advanced WAF (ранее известный как ASM)
- Fortinet FortiWeb
- Imperva SecureSphere
- Qualys WAF
- Radware AppWall
- Кибербезопасность Rohde & Schwarz WAF
Облако
- Akamai Technologies Kona
- Облако Alibaba
- Веб-сервисы Amazon AWS WAF
- Barracuda Networks CloudGen WAF и WAF как услуга
- CDNetworks
- Cloudbric
- Cloudflare
- Fortinet FortiWeb
- F5 Серебряная линия
- Быстро
- IBM Облачные интернет-сервисы WAF
- Imperva Инкапсула
- Microsoft Azure Шлюз приложений с WAF
- Облачная инфраструктура Oracle WAF
- Qualys WAF
- Radware
- Кибербезопасность Rohde & Schwarz WAF
- Сукури Брандмауэр
- VMware NSX Advanced Load Balancer (ранее Avi Vantage)
Открытый исходный код
Известные приложения с открытым исходным кодом включают:
Смотрите также
- Брандмауэр приложений
- Стандарт безопасности данных индустрии платежных карт (PCI DSS)
- веб приложение
- Программное обеспечение как сервис (SaaS)
- Компьютерная безопасность
- Сетевая безопасность
- Безопасность приложений
- Безопасность веб-приложений
Рекомендации
- ^ «Брандмауэр веб-приложений». TechTarget. Получено 10 апреля 2018.
- ^ «Perfecto Technologies поставляет AppShield для электронного бизнеса - InternetNews». www.internetnews.com. Получено 2016-09-20.
- ^ "Домашняя страница ModSecurity". ModSecurity.
- ^ Дюпол, Нил (25 апреля 2012 г.). «Что такое OWASP? Руководство по десятке лучших по безопасности приложений OWASP». Veracode. Получено 10 апреля 2018.
- ^ Свартман, Даниил (12 марта 2018 г.). «Десять ведущих OWASP и сегодняшняя картина угроз». ИТПроПортол. Получено 10 апреля 2018.
- ^ "Рынок межсетевых экранов для веб-приложений к 2022 году составит 5,48 миллиарда долларов". Журнал CISO. 5 октября 2017 г.. Получено 10 апреля 2018.
- ^ Максимиллан Дерманн; Мирко Дзядька; Борис Хемкемайер; Александр Мейзель; Матиас Рор; Томас Шрайбер (7 июля 2008 г.). «Рекомендации OWASP: использование межсетевых экранов веб-приложений версии 1.0.5». OWASP. OWASP.
- ^ Совет по стандартам безопасности данных PCI (октябрь 2008 г.). «Информационное дополнение: обзоры приложений и брандмауэры веб-приложений, уточненная версия 1.2» (PDF). PCI DSS. PCI DSS.
- ^ Пол Э. Блэк; Элизабет Фонг; Вадим Окун; Ромен Гоше (январь 2008 г.). «Специальная публикация NIST 500-269 Software Assurance Tools: Функциональная спецификация сканера безопасности веб-приложений, версия 1.0» (PDF). САМАТЕ НИСТ. САМАТЕ НИСТ.
- ^ Джейсон Пабал (13 марта 2015 г.). «Межсетевые экраны веб-приложений - корпоративные методы» (PDF). Институт SANS. Читальный зал Инфобезопасности Института SANS.
- ^ «Репозиторий проекта набора основных правил». GitHub.
- ^ "Проект набора правил OWASP ModSecurity Core". OWASP.
- ^ «МЕТОДОЛОГИЯ ТЕСТИРОВАНИЯ Брандмауэра веб-приложений 6.2». NSS Labs. NSS Labs. Получено 2018-05-03.