Web Application Firewall — защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-приложения, в том числе и с использованием уязвимостей нулевого дня:
SQL Injection — sql инъекции;
Remote Code Execution (RCE) — удаленное выполнение кода;
Cross Site Scripting (XSS) — межсайтовый скриптинг;
Cross Site Request Forgery (CSRF) — межстайтовая подделка запросов;
Remote File Inclusion (RFI) — удалённый инклуд;
Local File Inclusion (LFI) — локальный инклуд;
Auth Bypass — обход авторизации;
Insecure Direct Object Reference — небезопасные прямые ссылки на объекты;
Bruteforce — подбор паролей.
Основное предназначение WAF — защита веб-приложения от несанкционированного доступа, даже при наличии критичных уязвимостей.
На сегодняшний день высокая стоимость информации, обрабатываемая в процессинге веб-приложений, в совокупности с угрозой взлома увеличивает риски информационной безопасности компаний. В этих условиях встает закономерный вопрос: что предпринять для защиты веб-приложений? Контрмеры можно внедрять на двух этапах жизни приложения —разработки и эксплуатации. На этапе разработки — это различные инструменты тестирования безопасности: статический, динамический, интерактивный анализ. Если говорить о безопасности уже эксплуатируемого приложения, то здесь предлагается использовать наложенные средства защиты — системы предотвращения вторжений, межсетевые экраны следующего поколения (Next Generation Firewall, сокращенно NGFW), а также средства фильтрации трафика прикладного уровня, специально ориентированные на веб-приложения (Web Application Firewall, сокращенно — WAF). Применение Web Application Firewall традиционно считается наиболее эффективным подходом к защите веб-ресурсов. Одним из основополагающих факторов здесь служит узкоспециализированная разработка.
Общие требования к современному Web Application Firewall: системные компоненты WAF должны соответствовать требованиям PCI DSS;
возможность реагирования на угрозы, описанные в OWASP Top Ten;
инспектирование запросов и ответов в соответствии с политикой безопасности, журналирование событий; предотвращение утечки данных — инспекция ответов сервера на наличие критичных данных;
применение как позитивной, так и негативной модели безопасности; инспектирование всего содержимого веб-страниц, включая HTML, DHTML и CSS, а также нижележащих протоколов доставки содержимого (HTTP/HTTPS);
инспектирование сообщений веб-сервиса, если веб-сервис подключен к интернету (SOAP, XML);
инспектирование любого протокола или конструкции данных, использующихся для передачи данных веб-приложения вне зависимости от того, является ли он проприетарным или стандартизованным (как для входящих, так и исходящих потоков данных);
защита от угроз, направленных непосредственно на WAF;
поддержка SSL\TLS-терминации соединения;
предотвращение или обнаружение подделки идентификатора сессии;
автоматическое скачивание обновлений сигнатур атак и применение их;
возможность установки режима fail-open и fail-close;
поддержка устройством клиентских SSL-сертификатов;
поддержка аппаратного хранения ключей (FIPS).
Do'stlaringiz bilan baham: |