`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Как защитить веб-приложения - обзор решений фильтрации трафика

+22
голоса

WAF программное обеспечение и устройства для фильтрации трафика веб-приложений: что это, сравнение, цена.

В последние годы правительственные структуры и коммерческие организации стали все больше использовать веб-приложения. Но с ростом количества веб-приложений выросли и киберугрозы, направленные на них. Компании стали уделять все больше внимания информационной безопасности. Действительно, хакерские атаки становятся все масштабнее, а следовательно — приносят больше урона. Согласно отчету исследовательской компании Forrester, наиболее уязвимыми являются три отрасли: государственные учреждения, ритейл и технологии. Компании, работающие в этих сферах, очень привлекательны для мошенников, потому что оперируют большим количеством данных о персональной информации пользователей.

На защиту персональных данных направлены крупные международные инициативы. Для всех компаний, которые работают с европейскими пользователями — это, например, GDPR. За нарушение правил, установленных GDPR, назначены существенные штрафы, поэтому компании вдвойне заинтересованы в высокой надежности защиты данных своих клиентов, чтобы избежать издержек.

Масштабы угроз информационной безопасности

Немного фактов о ситуации в сфере информационной безопасности:

  • Хакерские атаки случаются каждые 39 секунд.

  • DDoS-атаки в среднем увеличились в размерах более чем на 500%.

  • Ожидается, что на кибербезопасность к 2021 году во всем мире будут тратить более 1 триллиона долларов в год. Стоимость киберпреступлений к этому времени вырастет до 6 триллионов в год!

Наверное, многие помнят масштабное распространение сетевых червей Petya и WannaCry. Эти вирусы зашифровывали все файлы на компьютере и требовали выкуп с угрозой уничтожения файлов. Некоторые эксперты пришли к выводу, что конечной целью данных вирусов было не столько получение выкупа, сколько массовый сбой систем, ведь в результате сбоя компания несет потери куда больше, что играет на руку конкурентам. Отсутствие единых стандартов в web-программировании приводит к тому, что разработке ПО появляются ошибки и уязвимости, которыми хакер не преминет воспользоваться в корыстных целях. А это, в свою очередь, приводит к издержкам компании: утечке конфиденциальных данных, краже интеллектуальной собственности, задержке бизнес-процессов и репутационным потерям.

WAF — защита веб-приложений от киберпреступников

Однако вместе с действием растет и противодействие. Подходить к предотвращению атак необходимо комплексно — на протяжении всего жизненного цикла веб-приложения. Во время разработки стоит уделить особое внимание тестированию и этическому хакерству, что помогает выявить и устранить ключевые уязвимости. Во время эксплуатации на страже безопасности приложения будут стоять специальные средства защиты. И здесь установленный антивирус и брандмауэр не спасет приложения. Обычно щитом и мечом приложений являются межсетевой экран нового поколения (NGFW — next generation firewall) для предотвращения вторжений и фильтрация трафика для приложений (WAF — web application firewall). Разница между ними в том, что NGFW контролирует доступ внешних приложений к данным предприятия, а WAF защищает пользовательские приложения на внутренних серверах, анализируя данные, передаваемые по протоколам HTTP и HTTPS. Именно WAF может обеспечить глубинный анализ контента пакетных данных и учет особенностей структуры веб-приложений, что дает постоянную защиту и мониторинг приложений, а также имеет функционал для блокирования как уже известных атак, так и атак нулевого дня.

Особенности WAF технологии:

  • Максимизирует обнаружение и коэффициент обнаружения для известных и неизвестных угроз;

  • Минимизирует ложные оповещения (ложные срабатывания) и адаптируется к постоянно развивающимся веб-приложениям;

  • Отличает автоматизированный трафик от реальных пользователей и применяет соответствующие средства управления для обеих категорий трафика;

  • Обеспечивает более глубокий анализ и внедрение, благодаря простоте использования и минимальному влиянию на производительность;

  • Автоматизирует рабочий процесс реагирования на инциденты, чтобы помочь аналитикам безопасности веб-приложений;

  • Защищает как массово-открытые, так и внутренне используемые веб-приложения и API.

Сравниваем 7 WAF лидеров магического квадранта Gartner по характеристикам

Решений WAF на рынке достаточно много и на любой вкус. Чтобы выбрать продукт, который будет идеально подходить именно для вашей компании, следует обратить внимание на функционал — у разных вендоров сервисы немного отличаются. Ниже представлен обзор лидеров рынка WAF программных решений, устройств и облачных служб, определенный Magic Quadrant for Web Application Firewall в 2018 году. Более подробную информацию о них можно получить в сравнительной таблице ROI4CIO, где можно сравнить 28 WAF по 32 характеристикам. А в нашем обзоре мы попробуем осветить основные свойства и преимущества 7 самых популярных WAF продуктов. И все это в алфавитном порядке.

Хакеры страшнее, чем их малюют как защитить веб-приложения

Akamai Kona Web Application Firewall

Kona Web Application Firewall от Akamai (более дешевая урезанная версия Kona Site Defender) подходит клиентам, которым требуется облачная служба WAF, особенно когда клиенты уже используют Akamai в качестве CDN. Сравнительно дорогой продукт, но разработанный компанией (Кембридж, 7500 человек), команда разработчиков которой занимается исключительно вопросами безопасности веб-приложений.

Akamai предоставляет управляемый SOC, который может отслеживать инциденты. Производитель применяет автоматическую аналитику и сортировку всего трафика, который он обрабатывает, чтобы клиенты настраивали свои подписи и собирали информацию об угрозах для создания новых средств защиты.

Так как WAF Akamai доступен только в качестве облачной службы, для организаций, которым просто не нравятся решения для облачной безопасности, или когда оценки потенциальных клиентов определяют, что соблюдение и нормативные ограничения ограничивают его использование, Akamai не подойдет.

Kona Web Application Firewall от Akamai на сайте вендора

Kona Web Application Firewall характеристики и сравнение с продуктами других вендоров

Хакеры страшнее, чем их малюют как защитить веб-приложения

Barracuda Web Application Firewall

Barracuda Web Application Firewall — эффективная комплексная система, предназначенная для обеспечения безопасности веб-приложений и сайтов для предприятий среднего бизнеса. Barracuda WAF дает мощный отпор злоумышленникам, эксплуатирующим слабые места в протоколах и приложениях для хищения данных, нарушения работы сервисов или дефейса веб-сайтов. Линия WAF выпускается вендором для физических или виртуальных устройств, а также доступна на платформах Microsoft Azure, AWS и Google Cloud Platform (GCP). С выпуском устройства WAF 1060 Barracuda теперь поддерживает пропускную способность до 10 Гбит/с.

Barracuda остается одним из лучших WAF в Microsoft Azure. Barracuda Cloud WAF как услуга включает защиту от DDoS без дополнительной оплаты. Техническая поддержка осуществляется на хорошем уровне и получает высокую оценку клиентов.

Пользовательский интерфейс оценивается клиентами как user-friendly. И здесь хорошая новость для русскоговорящих — решение от Barracuda WAF имеет не только английский, но и русский интерфейс.

Продукт от Barracuda способен обеспечить защиту от следующих атак: внедрение SQL кода, межсайтовый скриптинг (XSS), подделка сессий и переполнение буфера, предотвращает хищение информации за счет мониторинга всех исходящих данных на наличие утечек каких-либо секретных сведений (номеров счетов в банках, личной пользовательской информации, паролей и прочего).

Системный администратор сможет вовремя детектировать DoS- и DDoS атаки благодаря специальной функции, контролирующей скорость передачи данных. Мощный встроенный антивирус позволяет проверить любые импортируемые в систему данные и файлы на предмет различного вредоносного кода.

Barracuda Web Application Firewall полностью совместим с большинством распространенных систем для идентификации (Active Directory, eDirectory), которые поддерживают LDAP RADIUS. Кроме того, здесь есть функция двухфакторной идентификации: система поддерживает пользовательские аутентификаторы и токены (RSASecureID), чтобы гарантировать надежную защиту аутентификации клиентов.

Barracuda Web Application Firewall на сайте вендора

Характеристики Barracuda WAF и сравнение с продуктами других вендоров

Рассчитать цену Barracuda Web Application Firewall

Хакеры страшнее, чем их малюют как защитить веб-приложения

Cloudflare WAF

Cloudflare web application firewall (WAF) корпоративного класса в облаке защищает веб-приложения от распространенных уязвимостей, таких как атаки с использованием SQL-инъекций, межсайтовый скриптинг и межсайтовые подделки, без изменений в существующей инфраструктуре. Сравнительно недорогие планы обслуживания удобны для небольших компаний. Есть более дорогие индивидуальные планы для крупных компаний — Enterprise. Модель самообслуживания, используемая компанией, позволяет клиентам быстро и легко настраивать конфигурации с помощью мастеров. Поэтому клиенты высоко оценивают простоту обслуживания.

Cloudflare (Сан-Франциско, 700 сотрудников) разрабатывает защиты от DDoS и предложения CDN. Cloudflare — провайдер с пропускной способностью 15 Тбит/с и 152 дата-центрами по всему миру. Эта инфраструктура не только поддерживает высокую производительность приложений, но и обеспечивает самые современные средства защиты.

Недавнее добавление Cloudflare Workers позволяет заказчикам размещать веб-приложения в инфраструктуре Cloudflare, что должно быть привлекательным для небольших организаций. Поставщик также предоставляет легкодоступную кнопку «Я под атакой». Это автоматически включает набор защит и удобно для экстренного реагирования.

Cloudflare предлагает WAF только в качестве облачного сервиса. Для организаций с ограничениями на облачные сервисы и организаций, для которых требуются локальные физические или виртуальные устройства, продукт не подходит.

Cloudflare WAF на сайте вендора

Cloudflare WAF характеристики и сравнение с продуктами других вендоров

Хакеры страшнее, чем их малюют как защитить веб-приложения

Citrix NetScaler Application Firewall

Citrix NetScaler AppFirewall — хороший выбор для клиентов Citrix, которые ценят высокопроизводительные устройства WAF. NetScaler Web App Firewall предназначен для государственного сегмента, крупного и среднего бизнеса в виду способности NetScaler масштабировать обращения для крупных организаций. NetScaler Web App Firewall поставляется как в виде виртуальной машины, так и аппаратного комплекса, а также в виде облачного сервиса. Возможности расшифровки NetScaler TLS и интеграция с аппаратными модулями безопасности (HSM) Thales и SafeNet часто являются ключевыми отличительными чертами в сравнительном тестировании на перспективу, когда организация планирует дальнейший рост.

Citrix (CTXS, Санта-Клара, штат Калифорния, более 9600 человек) разрабатывает портфель NetScaler ADC, который включает в себя аппаратное обеспечение (MPX), программное обеспечение (VPX), контейнерные (CPX) и многоэкземплярные (SDX). Все эти варианты АЦП предлагают WAF (NetScaler AppFirewall) и виртуальную частную сеть (VPN) Secure Sockets Layer (SSL) в качестве модулей. WAF также доступен в качестве отдельного продукта. Citrix в основном продает AppFirewall в качестве дополнения клиентам, которые в первую очередь заинтересованы в его функциях АЦП или в высокопроизводительных средах. Пропускная способность Citrix Web Application Firewall составляет от 500 Мбит/с до 44 Гбит/с.

Клиенты высоко оценивают поддержку, которую они получают от системных интеграторов и поставщиков услуг. Они также высоко оценивают улучшения в управляемости через API. Большинство клиентов Citrix используют NetScaler AppFirewall в качестве опции программного обеспечения поверх физического устройства ADC.

NetScaler Application Firewall от Citrix защищает от атак типа SQL инъекция, XSS, от изменения скрытых параметров формы (read-only(hidden) parameters) и других атак. Имеется функция предотвращения утечек данных, которая обеспечивает профилактику хищения данных кредитных карт и других конфиденциальных данных, фильтрует и блокирует при необходимости передаваемую информацию.

Citrix NetScaler AppFirewall на сайте вендора

Citrix NetScaler AppFirewall характеристики и сравнение с продуктами других вендоров

Хакеры страшнее, чем их малюют как защитить веб-приложения

F5 Networks Silverline Web Application Firewall

F5 WAF в основном используется как программная опция, Application Security Manager (ASM), которая интегрирована в платформу F5 Big-IP. F5 (Сиэтл, штат Вашингтон, 4300 сотрудников) известна своими линиями продуктов ADC (Big-IP и Viprion). Аппаратная линейка аппаратных устройств Big-IP F5 также может использовать версию полного программного обеспечения с ограниченной (но обновляемой) версией, которая будет действовать как автономное решение для обеспечения безопасности (например, автономный WAF).

Под брендом Silverline F5 обеспечивает облачную защиту от WAF и DDoS. Доступны два варианта сервиса: Silverline Managed WAF и самообслуживание WAF Express с надстройкой для анализа угроз (Silverline Threat Intelligence). Все сервисы Silverline полагаются на технологию Big-IP.

Silverline WAF защищает приложения от атак, основанных на внедрении SQL-кода, атак типа zero-day, вложения JSON, OWASP Top Ten и др. Важное преимущество Silverline WAF —функция самообучения в автоматизированном режиме, применяющая технологии iRules и iApps для оперативного переконфигурирования в соответствии со спецификой новых угроз.

F5 поддерживает AWS, Azure, Google Cloud, OpenStack и VMware Cloud. Поддержка multicloud с унифицированным управлением обращается к организациям, строящим гибридную архитектуру.

Silverline WAF предлагает поддержку в режиме 24×7 от экспертов в области безопасности. Продукт дает возможность снизить операционные затраты за счет применения специальных ресурсов Центра обеспечения безопасности F5 Networks при управлении политиками WAF. Встроенная функция проактивного мониторинга от F5 Networks задействует внешние специализированные решения для защиты приложений от новых атак. Решение генерирует отчеты о доступе через портал заказчика.

F5 Networks Silverline Web Application Firewall на сайте вендора

Silverline WAF характеристики и сравнение с продуктами других вендоров

Хакеры страшнее, чем их малюют как защитить веб-приложения

Fortinet FortiWeb

Fortinet FortiWeb — брандмауэр для веб-приложений от Fortinet (Саннивейл, штат Калифорния, 5000 сотрудников, около 1000 человек в сфере НИОКР) ориентирован на средний и крупный бизнес, а также интернет-сервис-провайдеров. Продукт поставляется в виде аппаратного или виртуального устройства, а также в виде облачного сервиса (начиная с 2017 года). Благодаря сопровождению службы безопасности от FortiGuard Labs, FortiWeb обеспечивает надежный анализ угроз и защиту от новейших уязвимостей приложений, ботов и подозрительных URL-адресов. Кроме того, за счет двух механизмов обнаружения угроз, построенных на технологии машинного обучения на основе AI и статистических вероятностей для обнаружения аномалий и отдельных угроз, веб-приложения защищены от сложных кибер рисков: SQL-инъекция, кросс-сайт-скриптинг, переполнение буфера, вредоносное изменение файлов cookie, источники угроз и атак DoS.

FortiWeb доступен как физическое или виртуальное (FortiWeb-VM) устройство (восемь моделей, от 25 Мбит/с до 20 Гбит/с), а также FortiWeb Cloud — на платформах AWS и Azure IaaS, что сделало продукт доступным для предприятий среднего бизнеса. Подписки FortiWeb включают репутацию IP-адресов, антивирус, обновления безопасности (сигнатуры и модели машинного обучения), защиту от заполнения учетных данных и облачную изолированную программную среду (FortiSandbox). FortiWeb — хороший выбор для защиты сервисов обмена файлами, поскольку он предлагает широкие возможности и интеграцию для обнаружения вредоносных программ, а также может интегрироваться с решениями песочницы Fortinet.

Полная совместимость всех продуктов Fortinet между собой дает возможность быстро и просто масштабировать систему. Высокая степень автоматизации операций и простота их сопровождения сокращает число ошибок, вызванных человеческим фактором. Кроме того, такая характеристика позволяет сократить число сотрудников отдела ИБ.

Fortinet FortiWeb на сайте вендора

Fortinet FortiWeb характеристики и сравнение с продуктами других вендоров

Хакеры страшнее, чем их малюют как защитить веб-приложения

Imperva SecureSphere Web Application Firewall

Imperva WAF решения предназначены для применения в государственном секторе, а также в крупном и среднем бизнесе. SecureSphere может поставляться как физические, так и виртуальные устройства. Он также доступен как облачный сервис и облачный сервис — WAF Incapsula на AWS и Microsoft Azure. Imperva (Редвуд-Шорс, Калифорния) также предлагает управляемые наборы правил для AWS WAF.

Максимальная поддерживаемая пропускная способность старшей модели достигает 10 Гбит/с. Помимо HTTP/HTTPS, здесь есть поддержка веб-стандартов WebSockets, XMS и JSON. Продукты интересны синхронным применением сразу нескольких технологий киберзащиты: контролем протоколов на аномальное поведение, динамическим профилированием, анализом через сигнатуры, отслеживанием сессий. Для всех продуктов Imperva предоставляется качественная поддержка, оцененная клиентами.

Брандмауэр для веб-приложений от компании Imperva состоит из двух основных модулей:

  • SecureSphere Web Application Firewall — защита веб-приложений от кибератак;

  • ThreatRadar — репутационная база данных (ThreatRadar позволяет оперативно блокировать трафик, идущий от подозрительных источников, еще до момента осуществления какого-либо вредного воздействия).

Imperva предлагает гибкое лицензирование для организаций, использующих как локальные, так и облачные приложения. Это позволяет производителю ориентироваться на более широкий круг вариантов использования и организаций, а также лучше управлять переходом от устройства WAF к облачной службе WAF.

Клиенты SecureSphere сообщают, что консоль управления остается сложной при использовании более продвинутых возможностей, для развертывания часто требуются профессиональные услуги для эффективного внедрения.

Для эффективной защиты применяются механизмы на основе сигнатур бесплатной open-source системы предотвращения вторжений Snort, а также собственных SQL-сигнатур, генерируемых исследовательским центром ADC (Application Defense Center). С точки зрения отказоустойчивости, здесь имеется поддержка кластеризации Active-Active и Active-Passive.

SecureSphere WAF оснащен невстраиваемым снифером, прозрачным прокси-сервером и обратным прокси-сервером, обладает отличной поддержкой SSL. Так продукт обеспечивает пассивную расшифровку SSL, поддержку сессий, установленных на клиентских сертификатах, терминацию и детерминацию (то есть, анализ трафика SSL без терминации). Немаловажно, что разработка содержит аппаратные модули, ускоряющие обработку SSL.

Для формирования эталонной модели безопасности здесь применен метод классификации правил и применения детальных сигнатур (с использованием правил межсетевого экранирования, создания сигнатур и обработки нарушений протоколов). Для адаптации WAF к изменяемому приложению реализована возможность изменения профиля веб-приложений, созданного в режиме машинного обучения. Вместе с тем, есть настройка профиля веб-приложений в ручном режиме.

Реализованный в SecureSphere WAF генератор отчетов, предоставляет системным администраторам отчеты в соответствии с требованиями стандартов по ИБ. Также здесь есть возможность генерировать собственные кастомизированные отчеты (в том числе, и по расписанию) и экспортировать в различные форматы.

Imperva SecureSphere Web Application Firewall на сайте вендора

Imperva Incapsula на сайте вендора

Imperva WAF характеристики и сравнение с продуктами других вендоров

Рассчитать цену Imperva SecureSphere Web Application Firewall

Рассчитать цену Imperva Incapsula

Хакеры страшнее, чем их малюют как защитить веб-приложения

Сколько стоит безопасность веб-приложений

Итак, в выборе WAF программного обеспечения, устройства или облачных служб можно руководствоваться характеристиками продукта, легкостью развертывания, рейтингами производителя, качеством технической поддержки, примерами внедрений в других компаниях, сходных с вашей, и отзывами клиентов, использующих WAF на практике. Ведь только реальный опыт выявляет подводные камни и особенности использования, которых сначала и не заметишь. Но также немаловажным фактором при выборе продукта информационной безопасности, конечно, является цена.

Бюджет на информационную безопасность, с одной стороны, должен соответствовать нуждам и возможностям вашей организации, а с другой — учитывать реальную картину рыночного предложения. Чтобы задать направление поиска, мы создали калькулятор цены, который поможет выбрать нужную модель продукта в соответствии с параметрами вашей компании. Во всех необходимых деталях нам была известна конфигурация продукта Barracuda Web Application Firewall. Поэтому на его примере мы расскажем поподробнее о функциях и параметрах, от которых зависит цена продукта.

Прежде чем рассчитывать конфигурацию, вам необходимо выбрать модель развертывания. Это может быть аппаратное или виртуальное устройство, виртуальное устройство для конкретного сервиса (Amazon Web Services, Microsoft Azure или Google Cloud Platform) или облачный SaaS (например, Barracuda WAF-as-a-Service). Все зависит от потребностей организации.

Аппаратные и виртуальные устройства

Как правило, аппаратные устройства отличаются более высокой мощностью. В случае Barracuda аппаратные устройства способны защитить до 600 серверов, тогда как виртуальные устройства — только 300.

Хакеры страшнее, чем их малюют как защитить веб-приложения

Хакеры страшнее, чем их малюют как защитить веб-приложения

В каждый пакет аппаратного устройства обязательно включена техподдержка. Barracuda предлагает также сервис Instant Replacement — замена испорченного оборудования на следующий рабочий день.

Виртуальные устройства для сервисов зависят от уровня сервиса, которым вы пользуетесь:

Хакеры страшнее, чем их малюют как защитить веб-приложения

Ко всем виртуальным и аппаратным устройствам можно заказать сервис защиты от DDoS-атак. Поскольку WAF отслеживает нарушения доступа к веб-приложениям, а защита от DDoS — нарушения конфиденциальности, их объединение обеспечивает более надежную защиту.

Для примера, так выглядит спецификация аппаратного устройства Barracuda WAF для 5-10 серверов на 1 год с сервисом предотвращения DDoS:

Хакеры страшнее, чем их малюют как защитить веб-приложения

Самостоятельно рассчитать стоимость устройств для вашей компании вы можете здесь.

WAF-as-a-Service

Преимущество решения WAF-as-a-service в том, что оно более гибкое: вы можете выбрать точное количество веб-приложений, которые хотите защитить, и купить помесячную подписку, тогда как в устройствах есть возможность выбрать только 1, 3 или 5 лет. Также цена будет зависеть от пропускной способности для ваших приложений:

Хакеры страшнее, чем их малюют как защитить веб-приложения

Ниже представлен расчет цены продукта Barracuda WAF-as-a-Service для защиты 25 приложений с трафиком 50 Мб/с сроком на 1 год использования сервиса.

Хакеры страшнее, чем их малюют как защитить веб-приложения

Создать спецификацию для вашей компании можно здесь.

Выводы

Существует мнение, что в будущем статистика киберпреступлений будет превышать статистику преступлений вне сети. И уже сейчас пренебрегать защитой от атак не стоит, эти инвестиции окупаются целиком и полностью. Решение WAF — маленький, но важный кирпич в вашей линии обороны от злоумышленников.

У разных вендоров — разные предложения и набор функций продукта. Чтобы выбрать максимально подходящий для вас вариант, стоит сперва изучить предложение на рынке. В этой статье мы постарались объяснить, на что нужно обратить внимание на примере продукта Barracuda WAF.

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT