Aplikacje internetowe są już w powszechnym użyciu, więc firmy muszą skupić się na ich ochronie. Dotychczas bezpieczeństwo aplikacji internetowych zapewniało zazwyczaj połączenie zapory firmowej, uwierzytelniania LDAP oraz bardziej odpornego na ataki serwera www, umieszczonego w sieci ograniczonego zaufania. W nowoczesnej infrastrukturze i w warunkach, gdy ataki są bardziej wyrafinowane, a zasoby w chmurze powszechne wykorzystywane, te środki bezpieczeństwa mogą być niewystarczające. Dlatego warto rozważyć dodatkowe wdrożenie zapory typu Web Application Firewall.

WAF używa kombinacji logiki opartej na regułach, przetwarzaniu danych i sygnaturach w celu wykrywania i zapobiegania atakom.

Zapora nie stanowi kompletnego rozwiązania w zakresie bezpieczeństwa, lecz raczej powinna być stosowana w połączeniu z innymi rozwiązaniami zapewniającymi bezpieczeństwo obwodowe sieci, takimi jak zapory sieciowe i systemy zapobiegania włamaniom, aby zapewnić całościową strategię obrony.

Czym jest zapora WAF

Zapory aplikacji internetowych zapewniają ochronę danych „między” użytkownikami końcowymi a aplikacją sieciową, potencjalnie w wielu warstwach modelu ISO/OSI. Większość rozwiązań WAF oferuje opartą na regułach ochronę przed atakami na poziomie aplikacji, takimi jak SQL injection lub cross-site scripting, ale kilka z nich oferuje również funkcje do poziomu protokołu internetowego, takie jak ochrona DDoS i równoważenie obciążenia.

Zapora aplikacji webowych izoluje aplikacje od internetu i analizuje dwukierunkowy ruch http. Potrafi wykrywać i blokować wszelkie złośliwe programy. Organizacja OWASP definiuje zaporę sieciową jako rozwiązanie bezpieczeństwa na poziomie aplikacji sieciowej, które – z technicznego punktu widzenia – nie zależy od samej aplikacji. Suplement Informacyjny PCI DSS 6.6 definiuje WAF jako punkt wymuszenia polityki bezpieczeństwa umieszczony między aplikacją internetową a punktem końcowym klienta. Ta funkcja może zostać wdrożona w oprogramowaniu lub sprzęcie, uruchamiana w urządzeniu sprzętowym lub na typowym serwerze ze zwykłym systemem operacyjnym. Może to być samodzielne urządzenie lub zintegrowane z innymi komponentami sieci.

Innymi słowy, WAF może być wirtualnym lub fizycznym urządzeniem, które zapobiega wykorzystywaniu luk w aplikacjach internetowych. Luki te mogą wynikać z tego, że sama aplikacja jest przestarzała lub nie została odpowiednio zakodowana w momencie tworzenia. WAF rozwiązuje te niedociągnięcia w kodzie, stosując specjalne konfiguracje zestawów reguł, znanych również jako polityki bezpieczeństwa.

Wcześniej nieznane luki można wykryć podczas testów penetracyjnych lub za pomocą skanera. Skaner podatności aplikacji internetowych, znany również jako skaner bezpieczeństwa aplikacji internetowych, to zautomatyzowany program analizujący aplikacje internetowe pod kątem potencjalnych luk w zabezpieczeniach. Oprócz szukania luk w aplikacjach internetowych, narzędzia te szukają również błędów w kodowaniu oprogramowania. Korygowanie luk jest zwykle określane jako naprawa. W aplikacji można wprowadzić poprawki do kodu, ale zazwyczaj wymagana jest szybsza reakcja. W takich sytuacjach może być konieczne zastosowanie niestandardowych zasad dla unikatowych luk w zabezpieczeniach aplikacji internetowej w celu wykonania tymczasowej, ale natychmiastowej naprawy (nazywanej poprawką wirtualną).

Zapory aplikacji internetowych – przykładowe rozwiązania

Wszystkie komercyjne produkty WAF potrafią chronić przed najczęstszymi atakami i błędami w aplikacjach internetowych (patrz: ramka). Istnieją również niekomercyjne niekomercyjne – jedną z nich jest silnik WAF ModSecurity o otwartym kodzie źródłowym. Sam silnik WAF jest niewystarczający, aby zapewnić odpowiednią ochronę. Dlatego OWASP, we współpracy z Trustwave, opracowała i rozwija zestaw podstawowych reguł, które są dostępne w serwisie GitHub. Można ich używać wraz z silnikiem ModSecurity.

Akamai Kona Site Defender to wszechstronna zapora zapewniająca solidną ochronę na wielu poziomach, którą można dostosować pod kątem specyfikacji różnych aplikacji. Kona Site Defender oferuje wsparcie dla środowisk DevOps, umożliwia programistyczne zarządzanie regułami bezpieczeństwa oraz instalowanie modyfikacji, które dostosowują działanie zapory do wymagań aplikacji.

Wydajność jest kolejną zaletą Akamai Kona Site Defender. Infrastruktura oparta na chmurze Akamai obejmuje ponad 200 tys. serwerów na całym świecie, dzięki czemu ruch kierowany do aplikacji internetowej użytkownika może być przepuszczany przez rozbudowany system filtrów, niezależnie od tego, czy znajduje się ona w centrum danych firmy czy w chmurze. Akamai zapewnia także poprawę wydajności i wysoką dostępność, oraz chroni sieć użytkownika przed atakami DDoS i atakami na poziomie aplikacji.

Cena zakupu zapory Kona Site Defender zależy od ilości ruchu objętego ochroną.

AWS WAF to rozwiązanie proponowane przez dostawcę usług w chmurze, Amazon Web Services. WAF AWS sam w sobie oferuje skromniejszy zestaw funkcji, niż pozostałe firewalle opisywane w tym zestawieniu, ale w połączeniu z innymi rozwiązaniami AWS (takimi jak Amazon CloudFront, AWS Shield czy Amazon CloudWatch itp.) staje się równie rozbudowany i elastyczny.

Klienci AWS powinni wybrać WAF AWS ponieważ jego architektura jest zoptymalizowana pod kątem usług chmurowych Amazona. Jednak wymaga to posiadania wiedzy z zakresu zarządzania AWS oraz interfejsów API. Mniejsze firmy, które szukają łatwego sposobu na zabezpieczenie swoich aplikacji internetowych, będą musiały skorzystać z pomocy konsultanta albo znaleźć inne rozwiązanie, gdyż nauka korzystania z WAF AWS może sprawiać trudności początkującym użytkowników.

Cena użytkowania AWS WAF to 5 dol. za listę kontroli dostępu do sieci (ACL) i 1 dol. za sieć ACL miesięcznie. Powiązane usługi, takie jak Amazon CloudFront lub Application Load Balancer, są dodatkowo płatne.

Barracuda Web Application Firewall oferuje pełny zestaw funkcji WAF i można go wykorzystywać do ochrony urządzeń fizycznych i wirtualnych, a także aplikacji działających w chmurze (AWS, Azure i Google Cloud) oraz usług zarządzanych i SaaS. W zależności od chronionych zasobów, umożliwia korzystanie z różnych, dostosowanych zestawów funkcji. Najprostszy zestaw zabezpieczeń jest dostępny w przypadku ochrony SaaS, natomiast w przypadku ochrony urządzeń użytkownik mam możliwość szczegółowej konfiguracji.

Różne modele Barracudy oferują bardzo podobną funkcjonalność. Warto zwrócić uwagę na funkcję ukrywania serwerów, która ogranicza ilość informacji, jaką potencjalny haker może uzyskać na temat konfiguracji aplikacji. Blokuje ona, np. komunikaty o błędach, nagłówki http czy informacje pochodzące z debugowania. Ukrywanie serwerów jest dostępne we wszystkich wersjach zapory, podobnie jak ochrona DDoS. Szyfrowanie adresów URL jest jednak ograniczone do niektórych modeli. Uwierzytelnianie aplikacji przy użyciu SAML, certyfikatów klienta, usług Active Directory Federation Services (ADFS) są również dostępne we wszystkich urządzeniach.

Ceny sprzętu zaczynają się od 5249 dolarów, a urządzeń wirtualnych – od 2579. Usługa WAF-as-a-service jest rozliczana w oparciu o przepustowość i liczbę aplikacji i kosztuje od 400 dolarów miesięcznie za przepustowość 25 Mb/s plus 23,90 dol. za aplikację.

Citrix Web App Firewall (wcześniej znany pod nazwą NetScaler AppFirewall) jest opartą na chmurze zaporą aplikacji, która obejmuje podstawy ochrony aplikacji internetowych, ale sama w sobie nie ma takich samych zabezpieczeń przed atakami DDoS, jak inne rozwiązania. Citrix uważany jest jednak za najbardziej wydajną zaporę aplikacji internetowych.

Produkt jest dostępny jako samodzielne urządzenie lub w ramach rodziny produktów Citrix ADC (Application Delivery Controller), które oferują narzędzia do równoważenia obciążenia na poziomie warstwy 4-7 oraz narzędzia do wydajności sieciowej.

Citrix Web App Firewall jest licencjonowany na podstawie przepustowości, ceny rozpoczynają się od 30 000 dol. za 1 Gb/s, chociaż większość klientów wybiera bardziej wszechstronny ADC Citrix.

F5 Advanced Web Application Firewall oferuje mi.in. ochronę przed atakami DoS i Zawiera funkcję szyfrowania warstwy aplikacji DataSafe, mającą zapobiegać atakom opartym na tożsamości. DataSafe wprowadza narzędzia oparte na języku JavaScript, aby zaszyfrować i ukryć dane formularzy HTML, wypełniane przez użytkowników, chroniąc je przed złośliwymi wtyczkami przeglądarki oraz atakami typu man in the middle.

F5 Advanced WAF jest dostępny jako urządzenie fizyczne lub wirtualne, jako usługa typu pay-as-you-go („płatności na bieżąco”) na platformach AWS lub Azure Marketplaces lub jako część platformy usług aplikacji Silverline opartej na chmurze, która oferuje również ochronę DDoS przed warstwą sieciową aż do aplikacji.

F5 Advanced WAF kosztuje od 1,33 dolara za godzinę za licencję pay-as-you-go (płatności na bieżąco) na AWS lub 7495 dol. za bezterminową licencję wieczystą wersji wirtualnej.

Fortinet FortiWeb jest dostępny jako urządzenie fizyczne, maszyna wirtualna, w publicznych usługach chmurowych (AWS, Azure, Google Cloud i Oracle Cloud), a nawet jako aplikacja kontenerowa Docker. Co więcej, urządzenia Fortinetu są dostępne w wielu wariantach, aby sprostać wymaganiom dużych i małych aplikacji internetowych.

Fortinet utrzymuje pakiet usług uzupełniających, które zwiększają możliwości FortiWeb na wiele sposobów, w tym: reputację IP i listę botnetów, identyfikując próby wykorzystania skradzionych danych oraz opartą na chmurze usługę FortiSandbox, odpowiedzialną za zaawansowane wykrywanie zagrożeń, automatyzując proces uodparniania FortiWeb przeciwko atakom typu zero-day.

Urządzenia fizyczne kosztują w sprzedaży hurtowej od 5000 dol., a podstawowe urządzenie wirtualne, z pojedynczym rdzeniem procesora, to koszt prawie 3,7 tys. dolarów. Hosting FortiWeb w AWS z licencją pay-as-you-go to roczny koszt w wysokości 5374 dol. przy użyciu zalecanej przez Fortinet C3 Large VM.