Современный Интернет — это сложная система, состоящая из множества локальных сетей, которые взаимодействуют между собой. С технической точки зрения, это могут быть как огромные сети (например, дата-центры), так и небольшие (сети компаний или домашние сети пользователей). Эти сети могут быть как публичными, так и приватными, причём приватные сети часто создаются с помощью межсетевых экранов или более современных решений, таких как Next Generation Firewall (NGFW). Однако для обычного пользователя Интернет — это прежде всего веб-сайты и приложения, с которыми он взаимодействует ежедневно: новостные порталы, почта, интернет-магазины, мессенджеры и видеохостинги. Всё это работает на основе веб-технологий, таких как HTTP/HTTPS.
Многие компании сегодня сильно зависят от своих веб-сервисов, которые стали ключевыми активами их бизнеса. Например, интернет-банки, интернет-магазины, государственные порталы и страховые компании. Утрата или компрометация таких сервисов может привести к серьёзным финансовым и репутационным потерям. Например, простой интернет-банка может привести к потере клиентов, а утечка данных с государственного портала — к огромным штрафам. Однако публичность этих сервисов делает их уязвимыми для атак. Согласно отчёту компании Positive Technologies, в 2022 году количество успешных атак на веб-ресурсы выросло на 56%, что подчеркивает важность их защиты.
Для защиты веб-приложений используются специальные решения — Web Application Firewall (WAF). WAF отличается от Next Generation Firewall (NGFW), который защищает всю сеть компании, но не обеспечивает глубокую проверку веб-трафика. NGFW работает на более низком уровне (сетевом и транспортном), проверяя трафик на основе правил и сигнатур, но не анализирует содержимое HTTP/HTTPS запросов. WAF же специализируется на анализе именно веб-трафика и защите веб-приложений от атак, таких как инъекции, подделка запросов и другие угрозы, описанные в OWASP Top 10.
WAF устанавливается перед веб-приложением и проксирует все запросы, анализируя их на предмет вредоносной активности. В отличие от NGFW, WAF работает на уровне приложений (L7) и может проверять корректность работы веб-приложений. Например, WAF может анализировать параметры запросов, выявлять попытки SQL-инъекций или XSS-атак, а также блокировать подозрительные действия. Однако WAF требует значительных ресурсов, что делает его отдельным классом решений, не заменяющим NGFW. Эти два решения дополняют друг друга: NGFW защищает сеть в целом, а WAF — конкретные веб-приложения.
Существует два основных класса WAF: классический WAF и более современный WAAP (Web Application and API Protection). Классический WAF — это, как правило, отдельное устройство или виртуальная машина, которая устанавливается перед веб-приложением и анализирует трафик. Однако в современных условиях, особенно в облачных средах, где веб-приложения могут динамически масштабироваться, классический WAF может быть неэффективен. Здесь на помощь приходит WAAP, который лучше подходит для облачных сред.
WAAP разделён на две основные части: фильтрующие ноды и сервер управления. Фильтрующие ноды проксируют трафик и анализируют его, а сервер управления централизованно настраивает и контролирует работу всех нод. Это позволяет автоматизировать настройку и масштабирование защиты, что особенно важно в облачных средах, где количество веб-приложений и их копий может динамически меняться. Кроме того, WAAP изначально поддерживает защиту API, что важно в современном мире, где большая часть трафика — это API-запросы. API используется практически везде: в веб-приложениях, мобильных приложениях и других сервисах. Защита API — это одна из ключевых функций WAAP.
На рынке представлены как зарубежные, так и отечественные решения WAF. Среди российских вендоров выделяются:
- PTAF от Positive Technologies — классический WAF, который интегрируется с другими решениями компании, такими как системы анализа кода и пентеста. PTAF поддерживает глубокий анализ трафика и имеет сертификат ФСТЭК.
- WebmonitorX — это российский аналог популярного зарубежного решения Wallarm. WebmonitorX предоставляет WAAP-решение с облачным сервером управления и возможностью развертывания фильтрующих нод в локальной инфраструктуре.
- SolidWall WAF — гибридное решение, которое сочетает в себе классический WAF и облачные функции. SolidWall интегрируется с CDN-провайдерами и Anti-DDoS решениями, что позволяет использовать его как сервис.
- Nemesida WAF — бюджетное решение с собственным сканером уязвимостей. Nemesida предлагает бесплатную версию с ограниченным функционалом.
- Континент WAF — решение, созданное в партнерстве с SolidWall, которое развернуто на платформах шлюзов "Континент".
Ключевые проблемы WAF — это баланс между блокировкой реальных угроз (True Positive Rate) и минимизацией ложных срабатываний (False Positive Rate). Ложные срабатывания могут негативно сказаться на пользователях, которые работают с веб-приложением, что может привести к финансовым или репутационным потерям. Поэтому внедрение WAF часто начинается с режима обнаружения (Detect), чтобы избежать блокировки легитимного трафика, и только после настройки переходит в режим предотвращения (Prevent).
В заключение, WAF и NGFW — это взаимодополняющие решения, которые обеспечивают безопасность на разных уровнях. WAF защищает веб-приложения от атак, описанных в OWASP Top 10, и устанавливается в DMZ, "прячась" за NGFW. Современные решения, такие как WAAP, лучше подходят для облачных сред и обеспечивают более гибкую и автоматизированную защиту.