ولا يكفي WAF بأكمله: كيف قمنا بترقية خدمة حماية الموقع 

مرحبا! اسمي كيريل ، وفي مركز داتالاين للأمن السيبراني ، أقوم بتطوير خدمة حماية تطبيقات الويب (WAF) : أتواصل مع متخصصي أمن المعلومات وتكنولوجيا المعلومات من العميل ، وأكتشف مهامهم ، وأنا مسؤول عن التشغيل الصحيح للخدمة. في أقل من عام من إنشاء WAF ، كنت مقتنعًا أنه إذا كان لديك موقع ، فسيتم مهاجمته. وليس دائما كما تعتقد.



قمنا بتحسين الحل عدة مرات: درسنا موجهات الهجوم وسلوك المهاجمين بشكل أفضل ، وأضفنا وضبطنا دفاعات جديدة ، وحسّننا إجراءات التفاعل مع العميل. سأخبرك كيف تطورت خدمتنا على أساس FortiWeb وما تحتاج إلى العناية به لحماية تطبيق الويب الخاص بك.    







خلفية الخدمة



بالنسبة لمواقعنا الخاصة ، اخترنا مرة واحدة FortiWeb من Fortinet ، لقد عرفنا بالفعل تعقيدات العمل معها. أمام عيني كانت تجربة WAF-as-a-service في السحابة في Fortinet. 



في الغرب ، نموذج الخدمة الذاتية منتشر على نطاق واسع في WAF. يُمنح العميل نسخة مخصصة للتكوين الذاتي في السحابة المرغوبة (AWS و Azure و GCP) ، بالطبع ، ليس في الاتحاد الروسي. هذا النموذج له صعوباته الخاصة: 



  • يجب أن يفهم أخصائي أمن المعلومات من جانب العميل بعمق ميزات الأمان لتطبيقات الويب. 

  • يحتاج أخصائي العميل إلى معرفة إمكانيات وإعدادات WAF معين من أجل إنشاء ملفات تعريف الحماية. بطريقة ودية ، يتطلب العمل مع WAF مهندسًا منفصلاً لإجراء تغييرات مستمرة على الإعدادات.  

  • يحتاج إلى التفاعل باستمرار مع مطوري الموقع وتحديد نقاط الضعف التي يجب إغلاقها على WAF ، والتي يجب إصلاحها في الكود نفسه. ومع ذلك ، فإن WAF هو إجراء تعويضي ، ومن الأفضل معالجة بعض المشاكل على مستوى التنمية



يمكن للشركات الكبيرة التي لديها عدد كبير من الموظفين التعامل مع هذه النقاط الثلاث. أردنا أن نأخذ في الاعتبار طلبات الشركات الصغيرة. تم تقديم خدمة تسليم المفتاح لهؤلاء العملاء بواسطة مهندسينا. بدأوا في جمعها من قضايا العمارة. 



تم وضع الخدمة في سحابة متوافقة مع PCI DSS. هذه الشهادة مهمة للمواقع التي تعمل مع بيانات الدفع: تجار التجزئة ومقدمي الخدمات وشركات المعالجة. 





دخلت خدمة WAF أيضًا في نطاق PCI DSS.



تم النظر في التسامح مع خطأ الخدمة بشكل منفصل. بالنسبة إلى FortiWeb ، قدم البائع عدة خيارات للعنقود. اختبرنا طرقًا مختلفة لمزامنة الجلسة واستقرنا على وضع النسخ الاحتياطي النشط: يظل أحد الأجهزة الظاهرية FortiWeb هو الجهاز الرئيسي ويسقط جزءًا من حركة المرور في الثانية. في هذه الحالة ، عند تعطل العقدة ، لا تتوفر الخدمة لأكثر من 10 ثوانٍ. تكوين موقع الأجهزة بحيث تظهر دائمًا على مضيفين مختلفين. 



ثم قمنا بحل مشكلة فصل العملاء في السحابة. لا يدعم FortiWeb تعدد الإيجارات: لا يمكننا تقسيم WAF إلى مجالات ، كما فعلنامع NGFW كخدمة مدعوم من FortiGate. ما تبقى هو سياسة الفصل. إذا تركنا مثل هذه السياسات تحت رحمة العملاء ، فهناك خطر التأثير على جيراننا. لذلك ، يقوم مهندسو نظم المعلومات لدينا المسؤولون عن الخدمة بإنشاء مواقع عملاء لـ WAF أنفسهم ومراقبة إعدادات الخدمة. وبالنسبة للعملاء نقدم أداة منفصلة مع التقارير والإحصاءات.



لذلك لم تقتصر الخدمة نفسها على WAF فقط ، بل أضفنا إليها: 



  • الماسح الضوئي Qualys الضعف ،

  • حماية DDoS من Qrator ،

  • ELK لجمع الإحصاءات والتصور وتحليل البيانات.



سأخبرك بالمزيد عن كل مكون.



نحن نفحص المواقع بحثًا عن نقاط الضعف 



للبحث عن نقاط الضعف في كود المواقع ، أضفنا Qualys ، وهو حل لفحص وتحليل أمان تطبيقات الويب. لقد تم بالفعل نشر خدمة منفصلة لفحص الثغرات الأمنية ، ولم يتبق سوى تكوينها للعمل مع WAF. 



في المرة الأولى التي نطلق فيها الماسح الضوئي قبل إعداد موقع WAF وإرسال التقرير إلى مطوري التطبيق. بعد ذلك فقط نقوم بإغلاق الثغرات الأمنية في WAF والتي لا يمكن القضاء عليها على مستوى الكود.



بعد ذلك ، نقوم بإعداد فحص شهري وإرسال تقرير إلى العميل. وفي المستقبل ، نقوم باختبار مخطط حيث سيتم تحميل التقرير على الفور مباشرة إلى FortiWeb. 



فهم تنظيف حركة المرور



يحمي FortiWeb جيدًا ضد هجمات طبقة التطبيقات ، على سبيل المثال: إذا تمت مهاجمة تطبيق ويب بعدد كبير من طلبات GET ، فإن DoS-Protection on WAF ستساعدك. ولكن بالإضافة إلى ذلك ، فأنت بحاجة إلى حل منفصل لهجمات DDoS دون المستوى ، على سبيل المثال ، SYN-Flood. لدى بعض العملاء نظام مكافحة DDoS الخاص بهم ، والذي ندمجه مع خدمة WAF الخاصة بنا. لكن هذه حالة خاصة بالأحرى.



بالنسبة للحالات الأخرى ، تحتوي الخدمة على Qrator.Ingress - وهو حل لحماية البنية التحتية من هجمات DDoS. إنه يحمي الارتباط من L2 إلى L4 ، ويحلل وينظف حركة المرور. 



أنشأنا 10 واجهات جيجابت مع Qrator لإرسال حركة مرور نظيفة بالفعل إلى WAF عبر قناة آمنة. يبدو مخطط الخدمة الآن كما يلي:







يمكن للبنية التحتية للعميل أن تعيش في أي مكان وعلى أي استضافة. بعد إنشاء موقع لـ WAF ، يتم إرسال حركة المرور التي تم فحصها بواسطة الخدمة فقط إلى هذا الاستضافة. فيما يلي رسم تخطيطي مبسط لكيفية عمله:



  1. لدينا شبكة فرعية "بيضاء" نعلن عنها على القناة باستخدام Qrator.  

  2. نخصص عنوان IP جديدًا واحدًا للعميل من هذه الشبكة الفرعية. 

  3. على WAF ، نقوم بإنشاء سياسة الخادم وسياسات توجيه محتوى HTTP للموقع ، وإضافة أسماء المجال هناك والإشارة إلى مكان إرسالها. 

  4. تنهي FortiWEB اتصالات TLS على نفسها ، لذلك نقوم بتحميل سلسلة من الشهادات عليها. 

  5. ثم نطلب من العميل تغيير سجل DNS للموقع وتحديد عنوان IP من شبكة Qrator لأسماء المجالات المطلوبة. 



ما هو بيت القصيد؟ عندما يقوم المستخدم بتشغيل مستعرض والوصول إلى مورد محمي بواسطة WAF ، يتم توجيه حركة مرور DNS الخاصة به أولاً إلى مراكز التنظيف في Qrator. ثم تذهب حركة المرور إلى WAF عبر القناة الآمنة. وفقط بعد التحقق ، يحصل المستخدم على حق الوصول إلى خادم الويب الخاص بالعميل. إليك الطريق بالكامل: 







ولكن حتى إذا تم بدء تشغيل الموقع لـ WAF ، فإن هذا لا يعني أنه محمي. تحتاج إلى تكوين ملف تعريف حماية الويب - مجموعة من القواعد وإعدادات الحماية للموقع. يتم ذلك بشكل منفصل لكل عميل. 



إن الموقف مع الهجمات لا يمكنك إنشاء ملف تعريف مرة واحدة ولا يمكنك نسيانه. لذلك ، نقوم بتحليل الوضع على كل موقع وتحسين الحماية: نضيف آليات أمان جديدة ، ونعدل ملف التعريف بحيث لا توجد إيجابيات خاطئة. للتكوين الأولي ، نستخدم المعلومات التي تلقيناها من ماسح نقاط الضعف Qualys. 



العمل في فريق: دراسة الهجمات مع العميل



تتضمن إدارة الخدمة من قبل مهندسينا وضع السياسات ، وإذا لزم الأمر ، حظر الهجمات يدويًا. هذه مسؤولية متخصصي FortiWeb الذين يفهمون الفروق الدقيقة في حماية مواقع الويب. لكن في الوقت نفسه ، لا يستطيع مهندسونا معرفة كل منطق تطبيق العميل. إذا حظرنا على الفور أي نشاط مشبوه ، فقد نحظر مستخدمًا شرعيًا عن طريق الخطأ. لذلك نحن نعمل بالاشتراك مع متخصصي العميل ونطور استراتيجية مشتركة لصد الهجمات. 



من بين العملاء هناك شركات ليس لديها أقسام كبيرة لتكنولوجيا المعلومات وأمن المعلومات. غالبًا ما يتم تنفيذ تطوير التطبيقات الخاصة بهم بواسطة جهات خارجية ، لذلك يستغرق الأمر بعض الوقت لإصلاح نقاط الضعف في الكود. على WAF ، يمكنك تقديم حلول بديلة وتحييد الهجمات التي نشأت بسرعة. في هذه الحالة ، قمنا بتطوير اللوائح وتحديد متى يجب اعتبار الموقف حرجًا واتخاذ الإجراءات فورًا ، ومتى يتم الاتفاق على الأقفال مع العميل. 



تساعدنا المراقبة بالاشتراك مع ELK على تتبع المواقف الحرجة. آخر مرة تحدثنا فيها بالفعل عن كيفية عملها تقنيًا. تتيح لنا ELK إدارة معلومات الأمان دون إضافة نظام SIEM (معلومات الأمان وإدارة الأحداث) باهظ الثمن إلى الخدمة. 



عند المراقبة ، قمنا بإعداد تنبيهات للاستجابة الفورية. يعمل خط الدعم الأول على مدار الساعة ، بعد الإخطار فورًا بتقييم الموقف وفقًا للوائح ويعمل على مستواه الخاص ، أو ينقل الحادث إلى مهندسي الأمن. 



إذا كان العميل نفسه مستعدًا لمراقبة عمل WAF ، فنحن نوفر له إمكانية الوصول إلى نظام التحليل القائم على ELK. في هذا الحل ، قمنا بإعداد أذونات لفهارس معينة. سيدير ​​العميل التحليلات والتقارير دون التأثير على WAF نفسه.



ما هي المحصلة النهائية ، وكيف ستتطور أكثر 



نتيجة لذلك ، لدينا حل شامل لحماية تطبيقات الويب. بالإضافة إلى الحماية باستخدام WAF ، يمكننا تكوين موازنة خوادم الويب والتخزين المؤقت وإعادة التوجيه وبالتالي إلغاء تحميل الموقع الرئيسي.



بالنسبة للمستقبل ، قدمنا ​​هامشًا للتوسع. لتحقيق التوازن ، دعنا نربط FortiADC ، وحدة تحكم لتسليم التطبيقات وموازنة الحمل في الأنظمة عالية الأداء. وهو يدعم إلغاء تحميل SSL للخوادم ويزيد من أداء تطبيقات الويب.



يتم تحصيل رسوم الخدمة بناءً على النطاق الترددي وهي مناسبة للمواقع غير الثقيلة جدًا. إذا كان لدى العميل جيجابت من حركة المرور ، فإننا لا نقدم خدمة سحابية ، بل نقدم حلًا خاصًا. لجعل الخدمة شفافة للعملاء ، نخطط لعرض بيانات WAF في حساباتهم الشخصية.



إذا كنت مهتمًا بمعرفة التفاصيل ، فسأكون سعيدًا بالإجابة على أسئلتك في التعليقات. أو قم بالتسجيل في ندوة WAF في 26 نوفمبر - ستكون هناك فرصة لطرح الأسئلة ليس فقط علينا ، ولكن أيضًا على المتخصصين الفنيين في Qualys و Fortinet و Qrator.



All Articles