Network World, США
Практика показывает, что пользователям настолько трудно понять, что означает термин «сетевой экран для Web-приложений» (Web applications firewall, WAF), что консорциум Web Application Security Consortium опубликовал документ Web Application Firewall Evaluation Criteria, в котором даются рекомендации, как выбрать наиболее подходящее устройство данной категории.
В общем и целом WAF на уровне приложения анализируют трафик HTTP и HTTPS в поисках данных, маскирующихся под трафик легитимных приложений. Брандмауэры выявляют попытки получить доступ к критически важной информации, хранящейся на серверах Web-приложений, например к таким данным, как сведения о кредитных картах или номера социального страхования, а также к внутренней корпоративной информации.
По мнению Марка Крайнака, директора по маркетингу продуктов компании Imperva, существует так много разнообразных методов достижения этой цели, что потенциальным пользователям трудно представить, какой продукт в большей степени, чем другие, отвечает их требованиям.
Иван Ристик, возглавлявший оценочную комиссию консорциума, отметил, что не существует одного сетевого экрана Web-приложений, который бы подходил для всех сетей. Поэтому необходимо соотнести требования к защите и цели бизнеса.
Например, компании, которой в силу требований законодательства необходимо документировать все HTTP-транзакции, может потребоваться WAF с очень ограниченными возможностями. А компании, имеющей есть только один Web-сервер, возможно, вообще не нужен отдельный WAF, а требуется только программное обеспечение сетевого экрана приложений, которое может работать на самом сервере.
Диапазон возможностей сетевых экранов весьма широк. Устройство WAF может работать с трафиком SSL, например приостанавливая передачу, анализируя трафик и передавая его дальше либо буферизуя трафик и дешифруя его, не прерывая сессий. Точно так же, если WAF необходимо блокировать трафик, он может прервать соединения сетевого протокола и не передавать вредоносный трафик или вообще разорвать соединения.
Кроме того, отдельные продукты могут поддерживать больше или меньше версий HTTP, шифрования и аутентификации, а также, например, выполнять или нет фильтрацию передаваемого трафика.
«Три года назад ничего подобного этому оценочному критерию не было, — сказал ИТ-директор одной финансовой компании, использующей решение Citrix. — Мы были вынуждены приглашать сторонних специалистов для того, чтобы они имитировали атаку и проверяли, смогут ли они проникнуть в нашу сеть».
Рафаэль Мигель, старший консультант испанской компании daVinci Consulting, специализирующейся на вопросах защиты, отметил важность средств управления этими устройствами. В частности, они должны уметь адаптироваться к новым атакам без вмешательства администратора.
С ним согласен ИТ-директор финансовой компании. «Это не то решение, которое вы можете купить, установить и никогда его не менять. Оно должно адаптироваться к новым угрозам», — сказал он. По его словам, автоматизация крайне важна. В качестве иллюстрации он привел конфигурацию одного из устройств Kavado, которое ему пришлось тестировать. Созданная вручную конфигурация этого устройства оказалась настолько сложной, что при настройке можно было легко совершить ошибку.
Для того чтобы «учиться» воспринимать новые угрозы, устройства должны понимать логику приложений и адаптировать свои фильтры, когда они распознают шаблоны трафика, отличающиеся от стандартного потока данных. Различные устройства определяют, что такое «нормальный» трафик, по-разному. Одни имеют специальные инструменты, имитирующие трафик для сервера, и на его основе учатся определять, какой трафик является легитимным. Другие ведут мониторинг реального трафика. Первые способны быстро установить, как работает приложение, последние — более точные.
Мигель сообщил, что скоро консорциум опубликует средства моделирования атак на приложения, которые пользователи могут применять для тестирования. Пользователи смогут создать тестовую сеть с ПК, где работает симулятор атаки, и с сервером, на который организована атака. К этой сети можно будет подключать устройства WAF для того, чтобы оценить, насколько хорошо защищен сервер.
Предупрежден — значит…
Web-приложения несут в себе угрозу безопасности — как, впрочем, и все другие сетевые средства, которые опасны без принятия надлежащих мер. Для противодействия важно представлять себе, каким образом злоумышленники получают доступ к важной информации (таблица)