CO JE TO WAF?

Firewall pro webové aplikace (WAF) je typ firewallu, která chrání webové aplikace a rozhraní API filtrováním, monitorováním a blokováním škodlivých webových transakcí a útoků na aplikační vrstvě – například DDoS, SQL injection, manipulace s cookies, cross-site scripting (XSS), cross-site forgery a zahrnutí souborů.

Jako obrana na 7. vrstvě se WAF zaměřují na provoz mezi webovými aplikacemi a internetem. Jejich schopnost detekovat a reagovat na škodlivé požadavky dříve, než webové aplikace a webové servery tyto požadavky přijmou, poskytuje firmám (a jejich zákazníkům) zásadní zabezpečení.

Vznik technologie WAF

V předcloudové éře jste mohli pomocí firewallů oddělit interní sítě od externích a chránit tak svá aktiva před škodlivými síťovými útoky. Tradiční přístup firewallů však není pro cloud ideální. Mnoho aplikací nelze izolovat v interních sítích, protože se potřebují připojit k internetu. Snaha o ochranu před rostoucím počtem útoků na webové aplikace vedla koncem 90. let k vývoji technologie WAF. První verze firewallů webových aplikací chránily aplikace před odesíláním nelegálních znaků. Od té doby se systém WAF vyvinul tak, že se nachází mezi aplikací a klientem – v pozici označované jako „inline“ – kde filtruje HTTP provoz do a z webové služby, aby zablokoval škodlivý požadavek.

Souběžně se vznikem technologie WAF se práce OASIS Web Application Security Technical Committee’s (WAS TC) rozšířila do seznamu Open Web Application Security Project’s (OWASP) Top 10 List. O deset let později zůstává seznam OWASP Top 10 průmyslovým standardem pro dodržování bezpečnosti webových aplikací. Tyto dvě novinky – WAF a OWASP Top 10 – nám společně poskytly obranu, která nám pomůže zastavit útočníky, kteří se snaží ohrozit naše systémy, spotřebovat naše zdroje a exfiltrovat naše data.

WAF: Kritická součást zabezpečení

Vzhledem k tomu, že útoky na webové aplikace jsou hlavní příčinou narušení bezpečnosti, ochrana aplikací a rozhraní API byla a je pro vývojáře zabezpečení aplikací, architekty zabezpečení a odborníky na informační bezpečnost prvořadým úkolem. Vzhledem k tomu, že aplikace jsou často vydávány se zranitelnostmi OWASP Top 10, musí být standardy zabezpečení webových aplikací integrovány do životního cyklu vývoje softwaru (SDLC).

Firewally pro webové aplikace hrají roli při ochraně zranitelných míst před zneužitím tím, že poskytují vrstvu zabezpečení, které nelze dosáhnout pomocí standardních firewallů. Běžné síťové firewally jednoduše nejsou vybaveny pro ochranu aplikací zaměřených na web, které musí přijímat požadavky na webový obsah z internetu a reagovat na ně.

WAF řeší tento problém tím, že poskytují prostředky pro filtrování síťového provozu a zároveň umožňují aplikacím přímé připojení k internetu. Namísto vytvoření zdi mezi interními a externími síťovými zdroji fungují WAF jako obrazovky, které propouštějí přátelskou komunikaci, ale blokují škodlivou komunikaci.

Tímto způsobem pomáhají WAF chránit před některými běžnými bezpečnostními riziky webových aplikací, jako jsou nesprávně navržené aplikace a útoky typu injection. Přestože systémy WAF neopravují základní zranitelnosti nebo chyby webových aplikací, mohou zabránit útokům, které se pokoušejí tyto chyby zneužít, aby se do aplikace vůbec dostaly. WAF ztěžují útočníkům práci tím, že zastavují počáteční pokusy, blokují běžné cesty k útoku a pokusy o DoS. Kromě toho mohou firewally webových aplikací zaznamenávat trajektorie webových aplikací, pokusy o útok a kroky podniknuté k zabezpečení webových aplikací.

Pochopení prostředí hrozeb

Než si povíme o důležitých součástech WAF, podívejme se na různé typy hrozeb, které mohou webovou aplikaci ohrozit. Již jsme se zmínili o XSS, SQL injection a local file inclusion. Cílem původních aplikačních firewallů bylo chránit před těmito typy útoků, ale bojiště se změnilo a stále se vyvíjí. Útoky typu Denial of Service neboli DoS a DDoS jsou s rostoucí popularitou cloud computingu na vyžádání stále častější.

Nejnovější seznam OWASP Top 10 nyní obsahuje více rizik spojených s řízením přístupu a konfigurací. Na prvních dvou místech seznamu pro rok 2021 se objevilo porušené řízení přístupu a selhání šifrování. Přibylo také souvisejících problémů od chybné konfigurace zabezpečení až po zastaralé komponenty. Kromě ochrany služeb před útoky je třeba zabránit náhodnému odhalení citlivých dat.

Funkce účinné WAF

WAF funguje prostřednictvím souboru pravidel nebo zásad určených k ochraně před zranitelnostmi webových aplikací sledováním a filtrováním síťového provozu, který využívá webové protokoly, zejména HTTP a HTTPS. Funkci WAF můžeme rozdělit na dvě odlišné části: ochranu příchozí a odchozí komunikace. Funkce ochrany příchozích aplikací WAF je zodpovědná za kontrolu provozu aplikací z vnějšího světa. V rámci ochrany webové aplikace před příchozím provozem musí WAF identifikovat nebezpečné vzory chování, podezřelé payloady a zranitelnosti.

Vzhledem k tomu, že hackeři jsou vytrvalí a inovují, mění se i povaha příchozích útoků. Systémy WAF musí fungovat na základě proaktivní sady bezpečnostních zásad, které chrání před známými zranitelnostmi webových aplikací. Aby bylo možné odfiltrovat různé typy škodlivého provozu, musí být každá bezpečnostní politika udržována v aktuálním stavu, v souladu s vyvíjejícími se vektory útoků. Webové aplikační firewally jsou obzvláště účinné, protože jsou navrženy pro úpravy bezpečnostních politik.

Ochrana odchozích dat spočívá v zabránění úniku podnikových a zákaznických dat. Přestože je přesné analyzování odchozích dat v reálném světě náročné, proxy systémy WAF založené na inline ochraně mohou odchozí data zachytit a zamaskovat nebo zablokovat únik citlivých dat, ať už náhodným, nebo škodlivým způsobem.

Různé typy webových aplikačních firewallů

Při použití WAF k ochraně webových aplikací definujete pravidla, která povolují, blokují nebo monitorují webové požadavky na základě určitých kritérií. WAF můžete například přizpůsobit tak, aby blokovat příchozí požadavky, které obsahují určitou hlavičku HTTP nebo pocházejí z určité IP adresy.

Blocklist vs. Allowlist WAF

Firewally pro webové aplikace lze kategoricky rozlišit podle způsobu jejich fungování. WAF s blokovým seznamem je založen na negativním bezpečnostním modelu, zatímco WAF s povoleným seznamem se řídí pozitivním bezpečnostním modelem:

• Blokové seznamy WAF jsou navrženy tak, aby blokovaly určité koncové body nebo typy provozu a povolovaly všechny ostatní.
• WAF Allowlist fungují poněkud opačně než WAF Blocklist, ve výchozím nastavení blokují veškerý provoz a propouštějí pouze explicitně schválený provoz.

Systémy WAF s povoleným seznamem jsou považovány za bezpečnější, protože minimalizují riziko, že se škodlivé útoky vyhnou obraně kvůli nesprávně nakonfigurovaným pravidlům firewallu. V situacích, kdy nelze předvídat všechny platné typy provozu nebo koncové body, však zařízení WAF se seznamem povoleným provozem nefungují dobře.

Vzhledem k výhodám a nevýhodám těchto dvou systémů WAF není překvapivé, že mnoho systémů WAF nyní pracuje s hybridním bezpečnostním modelem „seznam povolení a blokovací seznam“.

Síťové, hostitelské a cloudové zabezpečení WAF

WAF lze rozdělit do kategorií podle modelu nasazení – síťové, hostitelské a cloudové.

• Síťové: Síťový WAF – v podobě hardwarového zařízení, které je třeba licencovat a udržovat – funguje na síťové infrastruktuře (např. přepínači), která se nachází mezi aplikacemi a internetem.
• Hostitelské WAF: Hostitelské WAF jsou umístěny na serverech, kde se nacházejí webové aplikace. Protože jsou nasazeny jako součást operačního systému aplikace, používají k filtrování provozu procházejících do webových aplikací filtrování na úrovni operačního systému, které lze snadno škálovat.
• Cloudový WAF: Aplikace hostované v cloudu mohou využívat cloudový WAF, který se integruje s cloudovými virtuálními síťovými službami nebo vyrovnávači zátěže a filtruje webový provoz. Cloudové systémy WAF sice nevyžadují velký tým pro nasazení nebo údržbu, ale obvykle nenabízejí úplný kontext hrozeb.

Model nasazení WAF, který firma používá, částečně závisí na tom, kde se nacházejí její webové aplikace. Například cloudový WAF funguje pouze tehdy, když jsou aplikace nasazeny v cloudu. Pokud je při výběru modelu nasazení důležitá údržba, systémy WAF založené na síti a hostiteli obvykle vyžadují více nastavení a správy, zatímco systémy WAF založené na cloudu nepotřebují nic víc než změnu DNS nebo proxy serveru.

WAF vs. ostatní bezpečnostní nástroje

WAF nabízejí funkce, které je činí jedinečnými oproti jiným firewallům a bezpečnostním řešením, ale nejsou určeny k tomu, aby sloužily jako komplexní bezpečnostní nástroj. Ve skutečnosti nejsou WAF konstruovány tak, aby dokázaly zabránit všem typům útoků. Firewall pro webové aplikace je pouze jednou ze součástí zabezpečení a je navržena jako doplněk integrované sady nástrojů, které poskytují ucelenou obranu proti všem myslitelným vektorům útoku.

WAF vs. tradiční firewally

Tradiční firewally jsou navrženy tak, aby vymezily perimetr, který odděluje prostředky pracující ve vnitřní síti od prostředků, které přímo komunikují s internetem. Systémy WAF mají více nuancí, protože umožňují aplikacím komunikovat s internetem a zároveň poskytují vrstvu ochrany.

WAF vs. brány firewall nové generace

Firewall nové generace (NGFW) je typ aplikačního firewall, která kombinuje nejlepší vlastnosti tradiční síťového firewallu a WAF. Kromě blokování příchozích požadavků kontrolou paketů síťové vrstvy má NGFW inspekční funkce, které odemykají prostředky pro blokování nežádoucího provoz v privátní síti.

Přestože se funkce NGFW a WAF překrývají, klíčové rozdíly spočívají v jejich základních modelech odpovědnosti. Firewally nové generace zachycují více kontextu síťového provozu a prosazují zásady založené na uživatelích a přidávají základní funkce, jako je antivirus a antimalware. Díky přidání kontextu k bezpečnostním zásadám mohou NGFW také kombinovat nástroje pro analýzu hrozeb, které pomáhají při rozhodování.

Naproti tomu systémy WAF se omezují na aplikační vrstvu. Specializují se na prevenci běžných webových útoků, jako je například útok XSS nebo DDoS, a jsou tak nezbytné pro zabezpečení aplikací orientovaných na internet a cloudových aplikací.

Zásadní rozdíl mezi oběma technologiemi je však nejlépe pochopitelný z hlediska zástupců. WAF, který používají servery, je téměř vždy reverzní proxy server. NGFW jsou a jsou určeny k ochraně klientů, což z nich ve většině případů činí předávací proxy servery.

Systémy WAF vs. IPS

IPS je stejně jako WAF určen k identifikaci a blokování škodlivého síťového provozu. IPS jsou však navrženy tak, aby filtrovaly všechny typy provozu napříč všemi protokoly. Přesto je schopnost WAF odhalovat složité útoky, které probíhají prostřednictvím webových protokolů, obvykle propracovanější. Řešení IPS se obvykle spoléhají na generické signatury útoků (konkrétní typy paketů nebo vzorů provozu) a nevyužívají ve velké míře kontextová data (historické vzorce provozu nebo vzorce chování uživatelů) k určení, které provoz mohou být škodlivé.

Jak nasadit bránu firewall pro webové aplikace

WAF lze nasadit několika způsoby v závislosti na tom, kde jsou aplikace nasazeny, jaké služby potřebujete, jak je chcete spravovat a jaká je úroveň zabezpečení. architektonické flexibility a požadovaného výkonu.

Otázky ke zvážení:

• Chcete spravovat WAF sami, nebo chcete správu zadat externímu dodavateli?
• Je lepší volbou model založený na cloudu, nebo chcete mít WAF na místě?

Způsob nasazení pomůže určit, který WAF je pro vás vhodný. Poté se budete muset rozhodnout, jak integrovat WAF do síťového zásobníku webových aplikací. Na výběr máte ze tří přístupů:

• Transparent Bridge: V tomto režimu je WAF vázán na stejné porty jako webové aplikace, které chrání. Z pohledu webových aplikací i klientů, kteří se k nim připojují, se nezdá, že by existoval firewall, ale vazba portů funguje v zákulisí a umožňuje WAF zachytit provoz a rozhodnout, zda ji povolí.
• Transparentní reverzní proxy server: V případě transparentního reverzního proxy serveru jsou webové aplikace informovány o existenci firewallu, ale klienti nikoli. WAF přijímá transakce na portech a adresách, které se vnějším koncovým bodům jeví jako aplikace, ale samotné aplikace pracují na jiných, vnitřních portech a adresách. WAF kontroluje provoz a rozhoduje o jeho předání na tyto porty a adresy.
• Reverzní proxy: Reverzní proxy znamená, že klienti posílají požadavky na WAF, který pracuje na portech nebo adresách používaných pro provoz proxy služby, a poté předává požadavky aplikacím. Reverzní proxy server je podobný transparentnímu reverznímu proxy serveru, hlavní rozdíl spočívá v tom, že klienti vědí o existenci proxy serveru, pokud je v provozu jednoduchý reverzní proxy server.

Model Transparent Bridge je nejjednodušší na implementaci, protože vyžaduje nejméně síťových vazeb, adres a konfigurací portů. Neodděluje však webové aplikace od WAF na síťové úrovni. Transparentní reverzní proxy servery a reverzní proxy servery poskytují větší izolaci a možnost kontrolovat traic předtím, než se dostane k aplikacím.

Dalším krokem při nasazení systému WAF je výběr místa, kde bude hostován. Hlavní možnosti jsou:

• Cloudové řešení jako plně spravovaná služba: WAF běží v cloudu jako plně spravovaná služba. Uživatelé ji jednoduše zapnou a nakonfigurují, přičemž není nutná žádná správa kromě nastavení požadovaných síťových zásad.
• Cloudové a samosprávné: WAF je umístěn v cloudu, ale uživatelé jsou zodpovědní za jeho nasazení, konfiguraci a správu.
• Cloudové a automaticky poskytované služby: WAF je hostován v cloudu. Ačkoli jej uživatelé musí konfigurovat a spravovat, je automaticky naplněn síťovými pravidly navrženými tak, aby vyhovovaly cloudovému prostředí. Tento přístup nabízí střední cestu mezi plně spravovanými a samosprávnými možnostmi WAF.
• Místní pokročilý WAF: WAF je hostován v místní infrastruktuře. On-premise vyžaduje více úsilí při instalaci a podniky musí poskytnout hostitelskou infrastrukturu pro WAF. Kompromisem je větší kontrola nad tím, jak je WAF nakonfigurován.
• WAF založené na agentech nebo hostitelích bez agentů: WAF běží na hostitelských serverech nebo v aplikačních kontejnerech. Uživatelé mohou potřebovat nasadit agenty na každý server, aby hostili službu webové aplikační brány firewall, ale k dispozici jsou i přístupy bez agentů s vynucenými pravidly brány firewall.

Co je třeba zvážit při výběru řešení zabezpečení webových aplikací

Faktory, které je třeba zvážit při hodnocení možností brány firewall pro webové aplikace:

• Které modely nasazení jsou podporovány? Nejlepší systémy WAF podporují řadu možností nasazení, takže mohou fungovat lokálně nebo v cloudu, a to buď s plně spravovaným, nebo samosprávným přístupem, v závislosti na možnostech, které vyhovují danému podniku.
• Jak WAF filtruje provoz? Čím více souvislostí dokáže WAF při vyhodnocování provozu zohlednit, tím lépe dokáže odhalit sofistikované útoky, které obecným firewallům obvykle unikají.
• Jak výkonný musí být systém WAF? Všechny systémy WAF by měly pracovat efektivně, aby aplikace nepřicházely o infrastrukturní zdroje, které potřebují ke svému běhu.

Kromě výše uvedených aspektů je při výběru řešení zabezpečení webových aplikací vhodné zohlednit také škálovatelnost. Jak se bude muset WAF rozšířit v budoucnu? budoucnost? Bude muset podporovat aplikace, které fungují v hybridním a multicloudovém prostředí? architektury? Bude muset podporovat rozhraní API? Vzhledem k tomu, že rozhraní API jsou stále důležitější pro komunikaci mezi aplikacemi, bude schopnost chránit rozhraní API i webové aplikace klíčová.

Budoucnost zabezpečení webových aplikací a rozhraní API (WAAS)

Moderní webové aplikace postavené na architektuře cloud-native jsou složitější než kdykoli předtím. Agilní vývojové procesy, kontinuální integrace a nasazení a vyvíjející se prostředí vytvářejí nové výzvy pro tradiční WAF. Nová generace ochrany webových aplikací a rozhraní API se nazývá WAAS: zabezpečení webových aplikací a rozhraní API.

WAAS obsahuje tradiční funkce WAF, jako je automatické zjišťování webových aplikací. Jde také o krok dále a zjišťuje všechny koncové body API v prostředí. WAAS zjednodušuje konfiguraci bezpečnostních pravidel pro ochranu webových aplikací a rozhraní API nebo aktualizaci stávajících aplikací v prostředí.

Automatickou detekcí a ochranou webových aplikací a rozhraní API také snižujete riziko, že by aplikace mohla být špatně nakonfigurována nebo nasazena bez ochrany.

Efektivní řešení WAAS bude přijímat specifikace API z různých formátů, jako jsou Swagger a OpenAPI, a používat tyto definice k prověřování požadavků, aby se určil soulad se specifikací. Některé koncové body mohou vyžadovat menší ochranu a větší přístup, zatímco ty, které zpracovávají citlivá data, budou vyžadovat nejvyšší úroveň ochrany a kontroly. Řešení WAAS navíc obsahuje ochranu proti DoS již v základním vybavení.

Mezi další funkce, které byste měli při výběru řešení zabezpečení aplikací zvážit, patří možnost prověřování požadavků na základě místa původu. Chcete také mít možnost přizpůsobit úroveň obranných opatření používaných pro každou aplikaci nebo rozhraní API pomocí vlastních pravidel. Můžete také chtít nastavit úroveň upozornění a hlášení chyb. z každé aplikace na základě kombinace závažnosti a potenciálního rizika.

Zabezpečení aplikací pro budoucnost

S tím, jak cloud computing upevňuje své místo v průmyslu, se cloudové aplikace stále rozšiřují a jejich význam i složitost rostou. Zabezpečení se musí vyvíjet stejně rychle jako dynamické prostředí hrozeb.

Odborníci na informační bezpečnost – inženýři DevOps, bezpečnostní architekti a týmy pro zabezpečení aplikací – budou muset spolupracovat a využívat své zkušenosti, aby vytvořili komplexní bezpečnostní strategii schopnou bránit moderní podnik.