A zapora sieciowa aplikacji internetowych (WAF) chroni aplikacje internetowe przed lukami w warstwie aplikacji, takimi jak skrypty między witrynami (XSS), wstrzykiwanie SQL i zatruwanie plików cookie. Ataki na aplikacje są głównym źródłem naruszeń, ponieważ umożliwiają dostęp do wrażliwych danych. Dzięki odpowiedniej zaporze sieciowej aplikacji internetowej można zapobiec wielu atakom polegającym na wydobyciu danych w wyniku naruszenia bezpieczeństwa systemów.
Do czego służy zapora aplikacji sieci Web (WAF)?
Gdy zapora sieciowa aplikacji internetowej jest zainstalowana przed aplikacją internetową, tworzy barierę ochronną pomiędzy aplikacją internetową a Internetem, monitorując całą komunikację pomiędzy aplikacją a użytkownikiem końcowym (lub użytkownikami końcowymi). WAF chroni aplikacje internetowe, filtrując, monitorując i blokując wszelki złośliwy ruch HTTP/S przesyłany do aplikacji internetowej oraz zapobiegając opuszczaniu aplikacji przez nieautoryzowane dane, stosując się do zasad, które pomagają określić, jaki ruch jest złośliwy, a jaki jest bezpieczny. W ten sam sposób, w jaki serwer proxy działa jako pośrednik chroniący tożsamość klienta, zapora sieciowa aplikacji internetowej działa w przeciwnym kierunku w typowym wdrożeniu, działając jako pośrednik chroniący serwer aplikacji internetowej przed potencjalnie niebezpiecznym klientem.
Jaka jest rola zabezpieczeń zapory aplikacji internetowych?
WAF mają kluczowe znaczenie dla coraz większej liczby przedsiębiorstw dostarczających produkty lub usługi online, takich jak twórcy aplikacji mobilnych, dostawcy mediów społecznościowych i bankowość cyfrowa. WAF może pomóc w ochronie wrażliwych danych, takich jak dane klienta i informacje o karcie kredytowej, oraz w zapobieganiu wyciekom danych.
Najbardziej wrażliwe dane są często przechowywane w wewnętrznej bazie danych dostępnej za pośrednictwem aplikacji internetowych. Aplikacje mobilne i urządzenia IoT są szybko wykorzystywane przez przedsiębiorstwa w celu ułatwienia interakcji handlowych, a wiele transakcji online odbywa się w warstwie aplikacji. Osoby atakujące często atakują programy, aby uzyskać dostęp do tych danych.
Korzystanie z zapory sieciowej aplikacji internetowej może pomóc w spełnieniu standardów zgodności, takich jak PCI DSS (standard bezpieczeństwa danych w branży kart płatniczych), który ma zastosowanie do każdej firmy obsługującej dane posiadaczy kart i wymaga wdrożenia zapory ogniowej. W rezultacie WAF jest integralnym składnikiem paradygmatu bezpieczeństwa każdej organizacji.
WAF jest konieczny, ale zaleca się połączenie go z dodatkowymi środkami bezpieczeństwa, takimi jak systemy wykrywania włamań (IDS), systemy zapobiegania włamaniom (IPS) i tradycyjne zapory ogniowe, aby ustanowić paradygmat bezpieczeństwa zapewniającego dogłębną obronę.
Zapory sieciowe aplikacji internetowych i opcje wdrażania
WAF można wdrożyć na różne sposoby, każdy z nich ma swoje zalety i wady. WAF dzieli się na trzy typy:
W większości przypadków A sieciowy WAF opiera się na sprzęcie. Ponieważ jest wdrażany lokalnie, zmniejsza opóźnienia; niemniej jednak wymaga przechowywania i konserwacji sprzętu fizycznego.
A oparty na oprogramowaniu WAF jest kontrolowane przez usługodawcę, który świadczy WAF jako usługę bezpieczeństwa.
WAF oparte na chmurze zapewnić ekonomiczne i proste do wdrożenia rozwiązanie; często zapewniają instalację „pod klucz”, która jest tak prosta, jak aktualizacja DNS w celu przekierowania ruchu. Oparte na chmurze rozwiązania WAF oferują również niski koszt początkowy, ponieważ klienci płacą za bezpieczeństwo jako usługę co miesiąc lub rok. Oparte na chmurze rozwiązania WAF mogą również zapewniać stale aktualizowane rozwiązanie chroniące przed najnowszymi atakami bez dodatkowej pracy i kosztów ze strony użytkownika. Wadą korzystania z usługi WAF opartej na chmurze jest to, że klienci delegują obowiązki stronie trzeciej.
W idealnym przypadku zapora sieciowa aplikacji internetowych powinna umożliwiać wdrożenie typu in-line, gdzie rozwiązanie może działać jako „pośrednik” lub jako usługa out-of-path (OOP) oparta na interfejsie API. Wdrożenie OOP oparte na interfejsie API może zapewnić wiele wyraźnych korzyści, dzięki czemu można je dostosować do ustawień wielu chmur. Umożliwia kierowanie zapytań aplikacji bezpośrednio od klienta do serwera aplikacji. Mniejsze opóźnienia, brak przekierowywania ruchu, dłuższy czas pracy i pełne bezpieczeństwo w heterogenicznych ustawieniach to tylko niektóre z korzyści.
Charakterystyka i możliwości zapory sieciowej aplikacji internetowych
Zapory sieciowe aplikacji internetowych są zwykle wyposażone w następujące cechy i możliwości:
Bazy danych sygnatur ataków
Sygnatury ataków to wzorce złośliwego ruchu, które obejmują typy żądań, nietypowe odpowiedzi serwerów i znane złośliwe adresy IP. WAF były kiedyś w dużym stopniu zależne od baz danych wzorców ataków, które były nieskuteczne w przypadku nowych lub nieodkrytych zagrożeń.
Analiza wzorców ruchu możliwa dzięki sztucznej inteligencji
Systemy sztucznej inteligencji umożliwiają analizę behawioralną wzorców ruchu, wykorzystując wartości bazowe behawioralne dla różnych form ruchu w celu wykrycia nieprawidłowości sugerujących atak. Umożliwia to wykrywanie ataków, które nie mają dobrze znanych szkodliwych wzorców.
Profile aplikacji
Wiąże się to ze sprawdzeniem struktury aplikacji, w tym typowych zapytań, adresów URL, wartości i dozwolonych typów danych. Dzięki temu usługa WAF może wykrywać i odrzucać potencjalnie złośliwe żądania.
Dostosowywanie
Operatorzy mogą definiować reguły bezpieczeństwa mające zastosowanie do ruchu aplikacji. Dzięki temu przedsiębiorstwa mogą dostosować zachowanie WAF do swoich wymagań, unikając jednocześnie blokowania prawdziwego ruchu.
Silniki do korelacji danych
Ruch przychodzący jest analizowany i ustalany priorytety na podstawie znanych sygnatur ataków, profilowania aplikacji, analizy sztucznej inteligencji i niestandardowych reguł w celu podjęcia decyzji, czy należy go zatrzymać.
Platformy ochrony DDoS
Można zintegrować platformę opartą na chmurze, która chroni przed rozproszonymi atakami typu „odmowa usługi” (DDoS). Jeśli WAF wykryje atak DDoS, może skierować ruch do platformy ochrony DDoS, która może zarządzać dużą liczbą ataków.
Sieci dystrybucji treści (CDN)
Ponieważ pliki WAF są umieszczane na krawędzi sieci, WAF hostowany w chmurze może zapewnić sieć CDN do buforowania witryny internetowej i skracania czasu ładowania. WAF dystrybuuje CDN do wielu globalnych punktów obecności (PoP), zapewniając obsługę użytkowników z najbliższego PoP.
Modele bezpieczeństwa WAF
WAF mogą stosować pozytywny lub negatywny model bezpieczeństwa lub hybrydę tych dwóch:
The pozytywne bezpieczeństwo WAF koncepcja obejmuje białą listę, która filtruje ruch w oparciu o listę zatwierdzonych komponentów i działań — wszystko, czego nie ma na liście, jest zabronione. Zaletą tego paradygmatu jest to, że może on wykrywać nowe lub nieodkryte ataki, których twórca się nie spodziewał, i zapobiegać im.
The zabezpieczenie negatywne koncepcja obejmuje „czarną listę” (lub „listę odrzuconych”), która zabrania tylko określonych pozycji – wszystko, czego nie ma na liście, jest dozwolone. Strategia ta jest prostsza we wdrożeniu, ale nie zapewnia wyeliminowania wszystkich zagrożeń. Wymaga to również utrzymywania potencjalnie długiej listy szkodliwych podpisów. Poziom bezpieczeństwa zależy od liczby nałożonych ograniczeń.
Jaka jest funkcja WAF?
Wiele firm boryka się z większymi problemami związanymi z bezpieczeństwem aplikacji ze względu na elastyczne procesy programistyczne, migrację do chmury, rosnące wykorzystanie oprogramowania internetowego lub usług SaaS oraz zdalną siłę roboczą. Włączając zaporę sieciową aplikacji internetowych, przedsiębiorstwa mogą reagować na ataki na aplikacje internetowe i interfejsy programowania aplikacji (API).
Chociaż zapory sieciowe aplikacji internetowych nie są w stanie chronić przedsiębiorstw przed wszystkimi zagrożeniami cyfrowymi, rozwiązują problemy na poziomie aplikacji, takie jak 10 najważniejszych luk w aplikacjach OWASP. Oto kilka przykładów:
- Skrypty między witrynami (XSS): Atak polegający na wstrzyknięciu kodu polegający na umieszczeniu złośliwego kodu w legalnej witrynie internetowej. Kod jest następnie uruchamiany w przeglądarce internetowej użytkownika jako zainfekowany skrypt, umożliwiając osobie atakującej kradzież poufnych informacji lub podszywanie się pod użytkownika.
- Ataki DDoS na warstwę aplikacji: Typowymi przykładami są wolumetryczny atak DoS lub DDoS skierowany na warstwę aplikacji. Zalewy HTTP/S, ataki SSL, powolne i powolne ataki oraz ataki typu brute-force.
- Wstrzyknięcie SQL: Podobnie jak XSS, ataki polegające na wstrzykiwaniu SQL wykorzystują znaną słabość w celu wstawienia złośliwych zapytań SQL do aplikacji. Dzięki temu haker może odzyskać, zmodyfikować lub zniszczyć dane.
- Ataki dnia zerowego Dzieje się tak, gdy haker wykorzystuje nieodkrytą lukę w zabezpieczeniach lub defekt oprogramowania, zanim twórca programu wypuści poprawkę.
Odwiedziliśmy 45 razy, 1 wizyta dzisiaj
