Недавно мы включили в свое портфолио PT Cloud Application Firewall – облачный межсетевой экран для защиты веб-приложений. Расскажем о возможностях сервиса и продемонстрируем, как он работает, на вебинаре 11 марта в 11:00. Приходите!

Зачем нужен Cloud WAF?

Число инцидентов ИБ в российских компаниях в 2024 году выросло в 2,5 раза. При этом, по данным Positive Technologies, в 44% случаев точкой входа в корпоративную инфраструктуру становятся веб-приложения. Чаще всего — сайты под управлением CMS «1С-Битрикс» (в 33% инцидентах).

PT Cloud Application Firewall обнаруживает и блокирует нежелательный трафик, включая наиболее распространенные виды атак, эксплуатирующие уязвимости из OWASP Top 10 и WASC Threat Classification v2.0, а также атаки нулевого дня.

Как и другие облачные сервисы, его можно быстро развернуть, не создавая нагрузку на собственную инфраструктуру и подобрав оптимальный тарифный план в соответствии с реальным трафиком компании, легко масштабировать в обе стороны, а настройка и техническая поддержка полностью обеспечиваются командой специалистов провайдера. Достаточно установить агент – программный модуль, который взаимодействует с сервером PT Cloud AF, получая от него параметры для обработки трафика.

Агент может продолжать обработку трафика даже при потере связи с сервером, применяя последнюю загруженную базу политик безопасности. Все инциденты, возникающие в процессе обработки трафика, фиксируются и отображаются в реальном времени на дашборде интерфейса PT Cloud AF.

Как выглядит интерфейс:

Настройка и запуск

Настройка начинается в главном меню PT Cloud Application Firewall, во вкладке «Схема конфигурации». Она содержит следующие разделы:

  • Подключение веб-приложения.

  • Шаблоны политик безопасности.

  • Выбор способа реагирования.

  • Белый и черный списки.

Пройдемся по каждому из разделов.

Подключение веб-приложения

Раздел «Веб-приложение»

В разделе «Подключение веб-приложения» нужно:

  • указать название (как будет отображаться в Cloud WAF),

  • выбрать шаблон политики безопасности, которая будет применяться,

  • указать адрес (доменное имя).

Также можно применить защиту для части веб-приложения, указав его расположение.

Политики безопасности

Набор политик безопасности

В списке преднастроенных политик безопасности можно выбрать подходящую с учетом особенностей веб-приложения, а также скопировать шаблон для последующей кастомизации. Можно написать и свою политику с нуля. Здесь же выбираются наборы системных правил.

Набор системных правил

Наборы системных правил – это преднастроенные шаблоны правил фильтрации трафика с учетом используемых веб-приложением компонентов. Каждый набор содержит комбинацию правил фильтрации, которые можно выключить при необходимости.

Правила фильтрации

При клике на каждое правило можно увидеть краткую справку: в каком наборе системных компонентов содержится, какие действия происходят при срабатывании правила, а также информацию о тегах, классификации, типе атаки и уровне критичности.

Пример справки по правилу

Сценарии реагирования

Вкладка «Сценарии реагирования»

Действия – это способы реагирования на атаку. Есть четыре преднастроенных варианта, но можно добавлять и сценарий реагирования.

Кастомизация сценариев

В зависимости от выбранного действия будут представлены различные настройки. На скрине ниже, в качестве примера, изменение ответа при обращении к веб-приложению.

Пример изменений

Глобальные списки (black-, white-list)

Последний элемент меню – это глобальные списки. Возможно добавление, редактирование и скачивание списка адресов. Можно создавать несколько списков для удобства их применения в различных политиках.

Меню создания списков

На вебинаре 11 марта в 11:00 продемонстрируем, как работает Cloud WAF с уязвимым приложением: ЗАРЕГИСТРИРОВАТЬСЯ

Григорий Филатов, руководитель отдела информационной безопасности Linx Cloud