Брандмауэр веб - приложений (WAF) является специфической формой применения брандмауэра , что фильтры, мониторы, а также блокирует HTTP - трафика в и из веб - службы . Проверяя HTTP-трафик, он может предотвратить атаки, использующие известные уязвимости веб-приложения, такие как внедрение SQL , межсайтовый скриптинг (XSS), включение файлов и неправильная конфигурация системы. [1]
История
Выделенные брандмауэры веб-приложений появились на рынке в конце 1990-х годов, когда атаки на веб-серверы становились все более распространенными.
Ранняя версия WAF была разработана Perfecto Technologies с ее продуктом AppShield [2], ориентированным на рынок электронной коммерции и защищенным от незаконного ввода символов веб-страниц. В 2002 году был создан проект с открытым исходным кодом ModSecurity [3] , чтобы сделать технологию WAF более доступной. Они завершили разработку основного набора правил для защиты веб-приложений, основанного на работе Технического комитета по безопасности веб-приложений OASIS (WAS TC), посвященной уязвимостям. В 2003 году они расширили и стандартизировали правила, включив в список 10 лучших проектов Open Web Application Security Project (OWASP), ежегодный рейтинг уязвимостей веб-безопасности. Этот список станет отраслевым стандартом для соответствия требованиям безопасности веб-приложений. [4] [5]
С тех пор рынок продолжал расти и развиваться, уделяя особое внимание предотвращению мошенничества с кредитными картами . С разработкой стандарта безопасности данных индустрии платежных карт (PCI DSS), который представляет собой стандартизацию контроля над данными держателей карт, безопасность в этом секторе стала более регулируемой. По данным журнала CISO Magazine, к 2022 году рынок WAF вырастет до 5,48 млрд долларов [6].
Описание
Брандмауэр веб-приложений - это особый тип брандмауэра приложений, который применяется специально к веб-приложениям. Он развертывается перед веб-приложениями и анализирует двунаправленный веб-трафик (HTTP), обнаруживая и блокируя все вредоносное. OWASP дает широкое техническое определение WAF как «решение безопасности на уровне веб-приложения, которое с технической точки зрения не зависит от самого приложения». [7] Согласно Информационному дополнению PCI DSS к требованию 6.6, WAF определяется как «точка применения политики безопасности, расположенная между веб-приложением и конечной точкой клиента. Эта функциональность может быть реализована в программном или аппаратном обеспечении, запущена на устройстве или на типичном сервере под управлением общей операционной системы. Это может быть автономное устройство или интегрированное в другие сетевые компоненты ». [8] Другими словами, WAF может быть виртуальным или физическим устройством, которое предотвращает использование уязвимостей в веб-приложениях внешними угрозами. Эти уязвимости могут быть вызваны тем, что само приложение является устаревшим, или оно было недостаточно продумано. WAF устраняет эти недостатки кода с помощью специальных конфигураций наборов правил, также известных как политики.
Ранее неизвестные уязвимости могут быть обнаружены путем тестирования на проникновение или с помощью сканера уязвимостей. Сканер уязвимостей веб - приложений , также известный как сканер безопасности веб - приложений, определяется в SAMATE NIST 500-269 как «автоматизированной программы , которая исследует веб - приложений для потенциальных уязвимостей. Помимо поиска уязвимостей, связанных с конкретными веб-приложениями, эти инструменты также ищут ошибки программного кода ». [9] Устранение уязвимостей обычно называют исправлением. В приложении можно внести исправления в код, но обычно требуется более оперативный ответ. В этих ситуациях может потребоваться применение настраиваемой политики для уникальной уязвимости веб-приложения, чтобы предоставить временное, но немедленное исправление (известное как виртуальный патч).
WAF не являются окончательным решением безопасности, скорее они предназначены для использования в сочетании с другими решениями безопасности периметра сети, такими как сетевые брандмауэры и системы предотвращения вторжений, для обеспечения целостной стратегии защиты.
WAF обычно следуют модели позитивной безопасности, негативной безопасности или их комбинации, как указано в SANS Institute . [10] WAF используют комбинацию логики на основе правил, синтаксического анализа и сигнатур для обнаружения и предотвращения атак, таких как межсайтовые сценарии и SQL-инъекции. OWASP составляет список из десяти основных недостатков безопасности веб-приложений. Все коммерческие предложения WAF покрывают как минимум десять этих недостатков. Есть и некоммерческие варианты. Как упоминалось ранее, широко известный механизм WAF с открытым исходным кодом под названием ModSecurity является одним из таких вариантов. Одного механизма WAF недостаточно для обеспечения адекватной защиты, поэтому OWASP вместе с Trustwave Spiderlabs помогают организовать и поддерживать набор основных правил через GitHub [11] для использования с механизмом ModSecurity WAF. [12]
Варианты развертывания
Хотя названия рабочих режимов могут отличаться, WAF в основном развертываются в оперативном режиме тремя разными способами. Согласно NSS Labs, вариантами развертывания являются прозрачный мост , прозрачный обратный прокси и обратный прокси . [13] «Прозрачный» относится к тому факту, что HTTP-трафик отправляется прямо в веб-приложение, поэтому WAF прозрачен для клиента и сервера. В этом отличие от обратного прокси, где WAF действует как прокси, а клиентский трафик направляется непосредственно в WAF. Затем WAF отдельно отправляет отфильтрованный трафик в веб-приложения. Это может обеспечить дополнительные преимущества, такие как маскирование IP, но может привести к недостаткам, таким как задержка производительности.
Коммерческие поставщики
Многие коммерческие WAF имеют схожие функции, но основные различия часто относятся к пользовательским интерфейсам, вариантам развертывания или требованиям в конкретных средах. Известные поставщики включают:
Прибор
- Barracuda Networks WAF
- Брандмауэр приложений Citrix Netscaler
- F5 BIG-IP Advanced WAF (ранее известный как ASM)
- Fortinet FortiWeb
- Imperva SecureSphere
- Qualys WAF
- Radware AppWall
- Rohde & Schwarz Cybersecurity WAF
Облако
- Akamai Technologies Kona
- Облако Alibaba
- Amazon Web Services AWS WAF
- Barracuda Networks CloudGen WAF и WAF-as-a-Service
- CDNetworks
- Cloudbric
- Cloudflare
- Fortinet FortiWeb
- F5 Silverline
- Быстро
- IBM Cloud Internet Services WAF
- Imperva Incapsula
- Шлюз приложений Microsoft Azure с WAF
- Oracle Cloud Infrastructure WAF
- Qualys WAF
- Radware
- Rohde & Schwarz Cybersecurity WAF
- Брандмауэр Sucuri
- VMware NSX Advanced Load Balancer (ранее Avi Vantage)
Открытый источник
Известные приложения с открытым исходным кодом включают:
- ModSecurity
Смотрите также
- Брандмауэр приложений
- Стандарт безопасности данных индустрии платежных карт (PCI DSS)
- веб приложение
- Программное обеспечение как услуга (SaaS)
- Компьютерная безопасность
- Сетевая безопасность
- Безопасность приложений
- Безопасность веб-приложений
Рекомендации
- ^ «Брандмауэр веб-приложений» . TechTarget . Проверено 10 апреля 2018 года .
- ^ «Perfecto Technologies поставляет AppShield для электронного бизнеса - InternetNews» . www.internetnews.com . Проверено 20 сентября 2016 .
- ^ «Домашняя страница ModSecurity» . ModSecurity .
- ^ Дюпол, Нил (25 апреля 2012 г.). «Что такое OWASP? Руководство по десятке лучших по безопасности приложений OWASP» . Veracode . Проверено 10 апреля 2018 года .
- ^ Свартман, Даниил (12 марта 2018 г.). «Десять лучших OWASP и сегодняшняя картина угроз» . ИТПроПортол . Проверено 10 апреля 2018 года .
- ^ «Рынок межсетевых экранов для веб-приложений к 2022 году составит 5,48 миллиарда долларов» . Журнал CISO. 5 октября 2017 . Проверено 10 апреля 2018 года .
- ^ Максимиллан Дерманн; Мирко Дзядька; Борис Хемкемайер; Александр Мейзель; Маттиас Рор; Томас Шрайбер (7 июля 2008 г.). «Лучшие практики OWASP: использование межсетевых экранов веб-приложений версии 1.0.5» . OWASP . OWASP.
- ^ Совет по стандартам безопасности данных PCI (октябрь 2008 г.). «Информационное приложение: обзоры приложений и брандмауэры веб-приложений, уточненная версия 1.2» (PDF) . PCI DSS . PCI DSS.
- ^ Пол Э. Блэк; Элизабет Фонг; Вадим Окун; Ромен Гоше (январь 2008 г.). «Специальная публикация NIST 500-269 Software Assurance Tools: Функциональная спецификация сканера безопасности веб-приложений, версия 1.0» (PDF) . САМАТЕ НИСТ . САМАТЕ НИСТ.
- ^ Джейсон Пабал (13 марта 2015 г.). «Межсетевые экраны веб-приложений - корпоративные методы» (PDF) . Институт SANS . Читальный зал Инфобезопасности Института SANS.
- ^ «Репозиторий проекта набора основных правил» . GitHub .
- ^ «Проект набора правил OWASP ModSecurity Core» . OWASP .
- ^ «МЕТОДОЛОГИЯ ТЕСТИРОВАНИЯ Брандмауэра веб-приложений 6.2» . NSS Labs . NSS Labs . Проверено 3 мая 2018 .