Rozwiązania IT
Rozwiązania ITarrow Software
Software

Znajdź skuteczne zabezpieczenia w zakresie bezpieczeństwa teleinformatycznego. Zabezpiecz urządzenia końcowe, sieć oraz systemy centralne.

Web Application Firewall

Czym jest WAF?

WAF lub Web Application Firewall pomaga chronić aplikacje internetowe poprzez filtrowanie i monitorowanie ruchu HTTP pomiędzy aplikacją internetową a Internetem. Zazwyczajchroniaplikacjeinternetoweprzedatakami,takimi jak cross-site forgery, cross-site-scripting (XSS), file inclusion i SQL injection. WAF jest mechanizmem obronnym warstwy 7 protokołu (w modelu OSI) i nie jest przeznaczony do ochrony przed wszystkimi rodzajami ataków. Ta metoda ograniczania ataków jest zazwyczaj częścią zestawu narzędzi, które razem tworzą holistyczną obronę przed różnymi wektorami ataków.

Wdrażając WAF przed aplikacją webową, umieszcza się tarczę pomiędzy aplikacją webową a Internetem. Podczas gdy serwer proxy chroni tożsamość klienta poprzez użycie pośrednika, WAF jest rodzajem odwróconego serwera proxy chroniąc serwer poprzez przepuszczanie klientów przez WAF przed dotarciem do serwera.

WAF działa w oparciu o zestaw reguł często nazywanych politykami. Zasady te mają na celu ochronę przed podatnościami w aplikacji poprzez filtrowanie złośliwego ruchu. Koszt WAF wynika częściowo z szybkości i łatwości z jaką można wdrożyć modyfikację polityk, co pozwala na szybsze reagowanie na różne wektory ataków; podczas ataku DDoS można szybko wdrożyć ograniczanie szybkości poprzez modyfikację polityk WAF.

Czym są WAF-y sieciowe, hostowe i chmurowe?

WAF może być wdrożony na trzy różne sposoby, z których każdy ma swoje zalety i wady:

WAF oparty na urządzeniu jest zazwyczaj oparty na sprzęcie. Ponieważ są one instalowane lokalnie, minimalizują opóźnienia, ale sieciowe WAF-y są najdroższą opcją, a ponadto wymagają przechowywania i konserwacji sprzętu fizycznego.

WAF oparty na oprogramowaniu może być w pełni zintegrowany z oprogramowaniem aplikacji. Takie rozwiązanie jest tańsze niż sieciowy WAF i oferuje większe możliwości dostosowania. Wadą WAF opartego na hoście jest zużycie lokalnych zasobów serwerowych, złożoność wdrożenia i koszty utrzymania. Komponenty te zwykle wymagają czasu inżynierów i mogą być kosztowne.

Chmura

WAF-y oparte na chmurze oferują niedrogą opcję, która jest bardzo łatwa do wdrożenia; zazwyczaj oferują one instalację „pod klucz”, która jest tak prosta jak zmiana wDNSaby przekierować ruch. Urządzenia WAF oparte na chmurze mają również minimalne koszty początkowe, ponieważ użytkownicy płacą miesięcznie lub rocznie za bezpieczeństwo jako usługę. WAF-y oparte na chmurze mogą również oferować rozwiązanie, które jest stale aktualizowane w celu ochrony przed najnowszymi zagrożeniami bez dodatkowej pracy lub kosztów po stronie użytkownika. Wadą WAF opartego na chmurze jest to, że użytkownicy przekazują odpowiedzialność stronie trzeciej, dlatego niektóre funkcje WAF mogą być dla nich czarną skrzynką.

 

WAF
Zrozumienie różnicy między zaporami sieciowymi a aplikacyjnymi

WAF chroni aplikacje internetowe, kierując je na ruch związany z protokołem HTTP (Hypertext Transfer Protocol). Różni się to od standardowego firewalla, który stanowi barierę między zewnętrznym i wewnętrznym ruchem sieciowym.

WAF znajduje się pomiędzy użytkownikami zewnętrznymi a aplikacjami internetowymi i analizuje całą komunikację HTTP. Następnie wykrywa i blokuje złośliwe żądania zanim dotrą one do użytkowników lub aplikacji internetowych. W rezultacie WAF chroni krytyczne dla biznesu aplikacje i serwery internetowe przed zagrożeniami zero-day i innymi atakami w warstwie aplikacji. Jest to coraz ważniejsze, ponieważ firmy rozwijają nowe inicjatywy cyfrowe, które mogą sprawić, że nowe aplikacje internetowe i interfejsy programowania aplikacji (API) będą podatne na ataki.

Firewall sieciowy chroni zabezpieczoną sieć lokalną przed nieautoryzowanym dostępem, aby zapobiec ryzyku ataków. Jej głównym zadaniem jest oddzielenie strefy zabezpieczonej od mniej zabezpieczonej i kontrolowanie komunikacji między nimi. Bez niej każdy komputer z publicznym adresem IP jest dostępny poza siecią i potencjalnie narażony na atak.

Ochrona w warstwie 7 vs. warstwa 3 i 4

Kluczową różnicą techniczną pomiędzy firewallem na poziomie aplikacji a firewallem na poziomie sieci jest warstwa bezpieczeństwa, na której działają. Są one definiowane przez model OSI (Open Systems Interconnection), który charakteryzuje i standaryzuje funkcje komunikacyjne w systemach telekomunikacyjnych i obliczeniowych.

WAF-y chronią przed atakami w warstwie 7 modelu OSI, czyli na poziomie aplikacji. Obejmuje to ataki na aplikacje, takie jak Ajax, ActiveX i JavaScript, a także manipulacje plikami cookie, wstrzykiwanie kodu SQL i ataki na adresy URL. Ich celem są również protokoły aplikacji internetowych HTTP i HTTPS, które są wykorzystywane do łączenia przeglądarek internetowych z serwerami WWW.

Na przykład, atak DDoS warstwy 7 powoduje zalew ruchu do warstwy serwera, gdzie strony internetowe są generowane i dostarczane w odpowiedzi na żądania HTTP. WAF łagodzi ten problem działając jako odwrotne proxy, które chroni docelowy serwer przed złośliwym ruchem i filtruje żądania w celu zidentyfikowania użycia narzędzi DDoS.

Zapory sieciowe działają w warstwach 3 i 4 modelu OSI, które chronią transfer danych i ruch sieciowy. Obejmuje to ataki na system nazw domen (DNS) i protokół transferu plików (FTP), a także protokół SMTP (Simple Mail Transfer Protocol), Secure Shell (SSH) i Telnet.

Największe błędy w cyberbezpieczeństwie
  1. Zła organizacja projektu, brak rozpisania i omówienia poszczególnych faz projektu. Wdrożenie powinno być podzielone na przynajmniej pięć kroków:
  • Określenie oczekiwań związanych z nowym systemem
  • Wybór dostawcy
  • Doprecyzowanie modelu współpracy, podpisanie umów
  • Faktyczne wdrożenie (instalacja, szkolenia)
  • Podsumowanie i wnioski
  1. Złe określenie oczekiwań

Częstym błędem jest skupienie się na zakupie i wdrożeniu systemu informatycznego, a nie na określonych funkcjach bezpieczeństwa.

  1. Brak dokładnych analiz funkcjonalności systemu.

WAF który ma chronić zasoby organizacji musi być dokładnie przemyślany. Jeśli przewidujemy zwiększenie obciążenia systemu lub jego komponentów, przetestujmy wcześniej możliwości poszczególnych rozwiązań.

  1. Brak menedżera projektu

Ważną sprawą jest wyznaczenie osoby odpowiedzialnej za prowadzenie projektu. Jeśli wybieramy do tego osobę, która ma również inne obowiązki, to ryzykujemy niepowodzenie tego projektu.

  1. Za słabe umocowanie menedżera

Klasyczny problem zarówno nowych osób (nie znają struktury i nieformalnych zwyczajów w firmie), jak i awansowanych. Menedżer od początku musi mieć bardzo mocną pozycję i silne wsparcie sponsora projektu (najczęściej zarządu). Brak takiej pozycji może spowodować ucieczkę ludzi do innych prac poza wdrożeniem.

___________________________________
  1. Brak odpowiedniej liczby osób zaangażowanych w projekt

Jeśli przy wdrożeniu mają pracować osoby, które jednocześnie muszą zająć się bieżącymi sprawami, to na pewno najpierw będą wykonywać te bieżące sprawy, a później … zabraknie czasu na wdrożenie. Pod żadnym pozorem nie można na tym oszczędzać.

  1. Zła komunikacja wewnętrzna

Informatycy i przedstawiciele biznesu często mówią innymi językami. Jeśli menedżer projektu nie rozumie obu należy zadbać o taką integrację przedstawicieli obu pionów, aby po wdrożeniu nie okazało się, że tylko jeden z działów jest zadowolony (najczęściej zupełnie nie ten, który miał w założeniu na tym zyskać).

  1. Pozorne oszczędności

Często ze względów politycznych wybiera się opcję, która jest tańsza w chwili wdrożenia, jednak łączne koszty są większe. Te dodatkowe koszty można jednak ukryć i określić jako niezwiązane z wdrożeniem. Przykładem może być zakup tańszego oprogramowania na końcówki zamiast terminalowego, który wymaga wymiany stacji roboczych. Oszczędności na systemie nie rekompensują kosztów wymiany komputerów, jednak wykonuje się tą wymianę pozornie bez związku z zakupem systemu.

  1. Wymuszenie na dostawcy prac, których się nie chce podjąć

Przy wyborze dostawcy ważne jest dokładne słuchanie tego, co dostawca chce nam zaoferować. Czasami propozycje dostawcy wynikają z większej niż nasza wiedzy o procesach biznesowych, a czasami z braku możliwości zaimplementowania pewnej funkcjonalności w swoim systemie. Generalnie największym błędem jest zmuszenie dostawcy (np. ceną) do podjęcia się realizacji funkcjonalności lub terminu, który z góry uważają oni za zagrożony. Niemal na pewno zaowocuje to błędami wdrożenia.

  1. Założenie, że czas jest z gumy

Jeśli prowadzący lub sponsor projektu już przy jego starcie zakłada, że w razie opóźnień pracownicy podgonią pracując po godzinach, czy w soboty, to na pewno projekt się przedłuży. Planując harmonogram należy zakładać ortodoksyjne podejście do czasu pracy. Nieprzewidzianych wypadków będzie na tyle dużo, że i tak trzeba będzie zaangażować ludzi ponad miarę.

Korzyści
  • Zapobiegaatakom, w tym SQLinjection, atakomtypu cross-site scripting (XSS) iatakomtypu DDoS (distributed denial of service)
  • Zapobiega naruszeniom danych klientów, aby zachować ich zaufanie i lojalność
  • Zapewnia zgodności z przepisami takimi jak HIPAA i PCI
  • Uwalnia zasoby zespołu IT dzięki automatycznemu przeprowadzaniu testów bezpieczeństwa i monitorowaniu ruchu sieciowego
Chcesz dowiedzieć się więcej na temat WAF?
Skontaktuj się z nami arrow
Proces wdrożenia usługi
1
Określenie oczekiwań związanych z nowym systemem Wybór dostawcy
2
Doprecyzowanie modelu współpracy, podpisanie umów
3
Faktyczne wdrożenie (instalacja, szkolenia)
4
Podsumowanie i wnioski
Masz pytania dotyczące wdrożenia WAF?
Napisz do nas arrow
Materiały dodatkowe