Профили WAF
Для защиты ваших веб-приложений от внешних угроз в Yandex Smart Web Security реализован Web Application Firewall (WAF).
WAF анализирует входящие HTTP-запросы к веб-приложению по предварительно настроенным правилам. На основе результатов анализа к HTTP-запросам применяются определенные действия.
Вы можете управлять WAF с помощью профиля WAF, который подключается к профилю безопасности в виде отдельного правила.
Подробнее о подключении к профилю безопасности см. в разделе Создайте и подключите профиль WAF.
В профиле WAF доступны следующие настройки:
Набор базовых правил
В профиле WAF доступен набор базовых правил OWASP Core Rule Set. Набор разработан открытым проектом обеспечения безопасности веб-приложений OWASP для защиты от эксплуатации уязвимостей, входящих в рейтинг OWASP TOP‑10. OWASP Core Rule Set состоит из правил, которые предназначены для обнаружения вредоносных действий, включая загрузку вредоносных файлов, потенциальные атаки SQL injection, попытки отказа в обслуживании, попытки инъекции кода и многое другое. Подробности см. в репозитории OWASP Core Rule Set на GitHub.
Позднее будут доступны другие наборы базовых правил.
В настройках набора вы можете выбрать конкретные правила для проверки запросов. Для каждого правила установлены значение аномальности и уровень паранойи.
Аномальность
Каждому правилу из набора присвоено числовое значение аномальности — признака потенциальной атаки. Чем выше значение, тем более вероятно, что запрос, соответствующий правилу, является атакой.
Вы можете установить порог аномальности для всего набора правил — суммарную аномальность сработавших правил, при которой запрос будет заблокирован. Возможный диапазон значений для порога — от 2 до 10 000.
Рекомендуется начинать с порога аномальности 25 и постепенно снижать его до 5. Чтобы снизить порог аномальности, отработайте ложные срабатывания WAF на легитимные запросы. Для этого подберите правила из базового набора и настройте правила-исключения. Также для тестирования разных порогов аномальности используйте в профиле безопасности режим Только логирование (dry-run).
Любое правило из набора можно сделать блокирующим. Запрос, соответствующий таком правилу, будет заблокирован независимо от установленного порога аномальности. Если в профиле безопасности включен режим Только логирование (dry-run), запросы не будут заблокированы, даже если они соответствуют блокирующим правилам.
Уровень паранойи
Уровень паранойи классифицирует правила по степени агрессивности. Чем выше уровень паранойи, тем лучше уровень защиты, но и больше вероятность ложных срабатываний WAF.
В настройках набора базовых правил вы можете задать общий уровень паранойи, тем самым быстро задействовать список правил с соответствующим уровнем и ниже.
Правила-исключения
Правила-исключения предназначены для предотвращения ложных срабатываний WAF на легитимные запросы.
Вы можете настроить пропуск проверок по определенным правилам из набора или по всем правилам сразу.
Для каждого правила-исключения можно задать условия применения. Если используются несколько условий разных типов, то все они должны быть выполнены, чтобы правило-исключение сработало. Если условия не указаны, правило-исключение будет применено ко всему трафику.
Параметры анализа запроса
При настройке профиля WAF можно включить инспекцию тела запроса и указать параметры:
-
Максимальный размер тела запроса — от 8 КБ (позднее размер можно будет настроить).
Определение максимального размера тела запроса влияет на производительность и безопасность веб-приложения. Ограничение размера помогает предотвратить избыточное потребление ресурсов. А также смягчить последствия DoS/DDoS-атак, когда злоумышленники отправляют большие запросы с целью исчерпания ресурсов сервера.
-
Действия при превышении максимального размера тела запроса:
- Не анализировать (пропускать). Может использоваться в случаях, когда легитимное приложение часто отправляет большие запросы.
- Блокировать — более универсальный и безопасный подход. Любые запросы, превышающие установленный лимит, будут блокированы, что уменьшает риск атак.