Экраны приложений устанавливаются между межсетевым экраном и сервером приложений

С помощью традиционных межсетевых экранов решаются вопросы контроля доступа в сеть путем блокирования неавторизованных запросов сетевого уровня. Между тем защитные экраны приложений работают на уровне приложений. Эти экраны в первую очередь защищают поток данных, передаваемых при взаимодействии Web-приложений, и все связанные с приложениями ресурсы от атак, осуществляемых с помощью браузера, то есть посредством HTTP.

Цель таких атак — изменить поведение приложений выгодным хакеру образом. Сюда относятся атаки на данные, при которых используются специальные символы или метасимволы для изменения данных; логические атаки на информационное наполнение, нацеленные на командную строку или логические операторы; целевые атаки, которые направлены на бюджеты, файлы или хосты.

Существует два подхода к реализации подобных защитных экранов: позитивная модель защиты, которая поддерживает корректное поведение, и негативная модель защиты, которая блокирует выявленные атаки.

Позитивная модель защиты поддерживает корректное поведение за счет изучения логики приложений и последующего формирования политики (правил) защиты известных корректных запросов при взаимодействии пользователя с приложением.

Негативная модель защиты блокирует выявленные атаки, используя для этого информацию в базе данных с сигнатурами возможных атак.

Экраны приложений устанавливаются между межсетевым экраном и сервером приложений, функционирующим на седьмом уровне модели ISO. Вся информация о сеансе, как передаваемая, так и получаемая, проходит через экран приложений. Получаемые запросы передаются по каналам через такой экран, а в случае позитивной модели выполняется синтаксический анализ с целью формирования правил. Для этого необходимо, чтобы защитный экран был размещен перед сервером кэширования, что позволяет гарантировать проверку запросов.

Пересылаемые запросы также передаются по каналам через экран приложений, который пропускает только корректные, тем самым выгружая некорректные запросы с сервера.

Защитные экраны приложений распознают входящие и выходящие запросы сеанса. Они интегрируются на уровне канала с существующими приложениями и совместимы с Web-технологиями. Они работают в реальном времени, стремясь предотвратить угрозу, прежде чем приложению будет нанесен вред.

Экран анализирует трафик, принимает входящие запросы HTTP/Secure HTTP от клиента, проводит их разбор, связывает их с сеансом или создает сеанс, если это необходимо, а затем проверяет запросы на соответствие правилам сеанса.

Если данный запрос разрешен (канал открыт), он передается на Web-сервер. Если не разрешен — отвергается. Ответ Web-сервера появляется на защитном экране. Он связывается с тем же сеансом, которому принадлежит запрос, анализируется. Затем модернизируются правила (новые каналы, которые открываются), извлекаются и связываются с сеансом. Если это ответ на первый запрос, к ответу присоединяются файлы cookie для идентификации клиентского сеанса при последующей связи. И наконец, ответ передается клиенту.

Ицхар Бар-Гед (ibargad@sanctuminc.com) — директор по технологиям компании Sanctum

Поделитесь материалом с коллегами и друзьями