Web Application Firewall: работа на опережение

[PAHLAVA]

Хоть бы кейсы описали. Пока совсем не понятно, чем ваш сервис лучше других таких же на рынке. Столько акцентировать на автоматизации, что всё за вас сделает система. Допустим есть 3 веб-приложения Заказчика, на которых обновления выкатываются каждый месяц. Каждый месяц ваша «автоматизированная» система будет блокировать поступающий трафик по функционалу, который пришел в рамках обновления. А будет она это делать так как предыдущая автоматизация «строится» на легитимной модели, а тут оп и трафик, который в легитимную модель не попал, так как она его раньше вообще не видела. В итоге каждый месяц придется корректировать всё ручками. И тут возвращаемся к стандартной работе с ВАФ.

[apkotelnikov]

Во избежание ненужных расследований, скажу сразу — я сотрудник компании, упомянутой в тексте выше.
Большой акцент автоматизации уделен как раз в силу того, что это услуга, а не решение приобретаемое заказчиком самому себе и эксплуатируемое самостоятельно. Ваш пример с обновлениями очень характерен для услуг — получить обратную связь от клиента довольно трудно, а зачастую невозможно. Так же не выйдет развертывание услуги с предпродакшен сегментом.
В статье не углублялись в описание "автоматизации". Я попробую чуть более подробно рассказать об этом. В данной услуге правила WAF строятся от принятой модели у заказчика модели угроз. А "попадание" в эту самую модель угроз обеспечивает реализованный вендором механизм классификации контента. Это позволяет абстрагироваться как от конкретной структуры сайта, так и перестать зависеть от контента. Не так важно по какому пути в приложении заказчика находится, к примеру, форма для ввода учетных данных и совсем не важно какая ошибка в приложении (какой именно URL, параметры были переданы серверной части) вызвала утечку чувствительной информации (ну например в системе, принимающей онлайн платежи, номер кредитки ни при каких условиях не может передаваться от серверной части в сторону клиента), важно что есть некая форма, отдаваемая в сторону клиента и данные передаваемые от клиента для этой формы.
Кроме того есть разные варианты поведения False-Negative ( блокируем все подозрительное), False Positive ( обнаружив потенциально вредоносные действия трафик не блокируем, но заводим тикет). Вариант с блокировкой может быть дополнен Security Page, позволяющей получить обратную связь от пользователя приложения и полную диагностику.
Что касается вопроса "чем лучше". Во первых решения компании Radware эксплуатируется не только в Билайне. Если посмотреть на рынок то тот же Амазон предлагает это же решение, Cisco и ChekPoint являются ОЕМ партнерами компании Radware (не буду спорить — это красивые и громкие слова, но факт остается фактом). Во вторых данное решение может быть развернуто как в облаке, так и в варианте in house на площадке клиента и даже в этом случае оно не перестает быть услугой. Решение развернуто с применением линейки Alteon D line Secure. Это означает что, при необходимости, оно может быть моментально дополнено балансировкой траффика ( включая GSLB), SSL offloading, компрессий контента, кешированием, собственным решением вендора Fastview по оптимизации контента "на лету" и так далее.
Я понимаю ваши опасения, но попробовать решение в облачном исполнении не такая тяжелая задача и услуга в тест предоставляется бесплатно. Обратитесь в Билайн, вам организуют тестирование и вы сможете посмотреть не только на услугу, но и ее "потроха" ( в режиме "только чтение" — это все таки услуга :-) )

[shuron]

Пока это все очень похоже на очень дорогие сервисы сомнительной полезности, за цену вложенного доллара.
Но тема WAF и NGFW хайпит ведь большие концерны обожают купить сервис что-бы закрыть какой-то "технический" вопрос, даже если закрыт он только на бумаги для аудита...

[apkotelnikov]

Это другая история. Если говорить про бумаги для аудита, то список решений очень узкий и все они объединены тем, что необходим сертификат ФСТЭК на межсетевой экран тип «Г». При отсутствии данного сертификата WAF перестает быть СЗИ и становится просто узлом передачи данных ( с точки зрения законодательства). С учетом введения «уровней доверия» список подсократился и вряд ли в нем появятся не российские решения. К сожалению, российские решения пока не доросли до уровня «предоставлять как услугу», а с учетом того, что российский рынок им теперь не сложно монополизировать, то вряд ли дорастут. Да и цена этих решений не пятикопеечная и оснований ей падать в отсутствии конкуренции нет. А дальше, все как обычно — есть деньги, купим два решения, одно за ради сертификата, второе чтоб работало. Нет денег, но нужен сертификат или нужно чтоб работало, купим одно. Либо ради сертификата, либо чтоб работало. Все тоже самое касается и NGFW.
Что касается полезности, приведу одну историю — есть у Вымпелкома клиент и сайт у него визитка о трех страницах. И однажды этот клиент участвовал в тендере ( со слов клиента общая стоимость превышал 1,5 миллиарда рублей), а в тендере было требование о раскрытии информации. Тот тендер клиент проиграл, потому что тендерная комиссия не не смогла подтвердить факт раскрытия информации. Выиграл остальные или нет, не знаю, но услугой пользуется.

[shuron]

Я слабое представление имею о Российском рынке, я скорее о европейском/мировом.

[apkotelnikov]

Да в России все тоже самое что и в мире ( ну может Barracuda не очень распространена). Но есть несколько условно (в основе лежат Open Source проекты в том или иной степени, к которым «страна происхождения» не применимо) российских разработок.