Безопасная публикация веб-приложений
В этой статье рассматриваются два способа безопасной публикации веб-приложений.
Anti-DDoS
Как описано в статье Виды атак, от атак на исчерпание полосы защититься силами заказчика невозможно. Существует два способа защиты от таких атак:
оператор связи может фильтровать на пограничных маршрутизаторах входящий трафик по портам атаки, настраивая ACL вручную или распространяя их по сети через BGP Flowspec. Этот метод крайне эффективен при атаках, созданных путем амплификации трафика, но практически бесполезен при более сложных атаках L7;
специализированные внешние сервисы очистки трафика заточены под эффективную фильтрацию атак как на L4, так и на L7, однако при их использовании важно обращать внимание на схему интеграции, так как от этого может зависеть эффективность защиты.
Самый очевидный и простой для заказчика способ защититься от атак на исчерпание ресурсов — тонкая настройка параметров серверов для эффективного использования ресурсов, а затем наращивание вычислительных мощностей, на которых размещено веб-приложение и установка перед ним stateless балансировщика нагрузки.
Этот способ условно эффективен для умеренного размера атак, однако для более мощных атак применяются уже описанные ранее центры очистки оператора связи или специализированного сервиса защиты от DDoS.
Действенным методом защиты от атак на эксплуатацию уязвимостей является Web Application Firewall (WAF). Это может быть как программный или программно-аппаратный комплекс, устанавливаемый на ресурсах заказчика, так и специализированный внешний сервис, аналогично защите от DDoS-атак.
WAF сочетает сигнатурные и семантические методы обнаружения аномалий, что позволяет обеспечить высокую степень защиты как от широко распространенных простых видов атак, так и от сложных направленных воздействий. WAF является более эффективным методом защиты веб-трафика, чем классические IPS-сигнатуры в устройствах класса NGFW, которые защищают приложения только от основных типов атак.
WAF
Применение WAF на базе Qrator/StormWall возможно только в схемах с раскрытием сертификата. Если по каким-либо причинам раскрытие сертификата недопустимо, возможно локальное разворачивание приложения WAF в облаке заказчика. В этом случае будет не такая эффективная защита от DDoS, так как нелегитимный трафик атак, убираемый на уровне L7, уже сможет попадать в облако заказчика.
Сервис WAF предоставляется только в комплексе с защитой от DDoS-атак, так как без этой защиты она может быть неэффективна: DDoS-атака может исчерпать полосу канала защищаемого сервиса.
Кроме предотвращения атак из перечня OWASP Top 10 <https://owasp.org/www-project-top-ten/>, WAF также применяет следующие меры:
защита от атак, эксплуатирующих нарушения бизнес-логики приложения;
защита от ботов и атак перебором;
предотвращение эксплуатации уязвимостей 0, 1-day;
защита от мошеннических действий;
защита API и мобильных приложений;
специфические DoS/DDoS-атаки направленные на уровень приложения: множественные внешне легитимные запросы, вызывающие отказ в обслуживании;
защита внутренних систем.
Возможны различные варианты работы WAF, такие как сигнатурный анализ и детектирование аномалий с помощью поведенческого анализа и алгоритмов машинного обучения.
Информацию об используемых решениях WAF можно уточнить у вашего аккаунт-менеджера.
Схема предоставления услуг Anti-DDoS и WAF на базе оператора анти-DDoS приведена ниже.
для Dev & Test