Обзор сервиса Yandex Smart Web Security
Smart Web Security позволяет защитить инфраструктуру от информационных угроз на прикладном уровне L7 модели OSI. Например, DDoS-атак, ботов, SQL-инъекций. Дополнительно можно подключить защиту от DDoS-атак на уровнях L3 и L4 с помощью Yandex DDoS Protection.
Smart Web Security — это набор инструментов для защиты инфраструктуры разного уровня сложности и масштаба. Защита заключается в очистке входящего трафика от вредоносного. Трафик проверяется правилами и условиями фильтрации в профиле безопасности. Очищенный трафик можно дополнительно обработать правилами профиля ARL, чтобы снизить нагрузку на приложение.
Профиль безопасности может содержать:
- Базовые правила — для простой фильтрации трафика по заданным условиям.
- Правила Smart Protection — для автоматической защиты от DDoS-атак при помощи алгоритмов машинного обучения и поведенческого анализа.
- Правила профиля WAF — для защиты от эксплуатации уязвимостей приложения. Сейчас можно подключить набор OWASP Core Rule Set (CRS), который блокирует множество известных угроз, например SQL-инъекции и командные инъекции, межсайтовый скриптинг и другие.
- Встроенную Yandex SmartCaptcha — для проверки типа CAPTCHA от ботов и спама.
- Списки фильтрации IP-адресов — для разрешения или блокировки запросов от указанных IP-адресов.
Профиль ARL содержит правила для ограничения количества запросов к защищаемому ресурсу по различным условиям.
Профиль безопасности можно подключить к разным типам ресурсов:
- Виртуальный хост или Ingress-контроллер для защиты ресурсов, использующих Yandex Application Load Balancer.
- API-шлюз API Gateway для защиты API ваших приложений.
- Домен для защиты вашего сайта или веб-приложения, расположенного в Yandex Cloud или на других платформах.
Принцип работы
Smart Web Security проверяет HTTP-запросы к защищаемому ресурсу через виртуальный хост L7-балансировщика на соответствие правилам, заданным в профиле безопасности. В зависимости от результатов проверки запросы направляются к виртуальному хосту, блокируются или отправляются в сервис Yandex SmartCaptcha для дополнительной верификации.
Для защиты ваших веб-приложений от внешних угроз в Smart Web Security также реализован Web Application Firewall (WAF).
Для контроля и ограничения нагрузки на веб-приложения используется Advanced Rate Limiter (ARL).
Мониторинг и аудит
Логи Smart Web Security передаются в сервис Yandex Cloud Logging.
Метрики Smart Web Security передаются в сервис Yandex Monitoring.
Аудитные логи Smart Web Security передаются в сервис Yandex Audit Trails.
Примечание
Чтобы сделать вашу защиту более эффективной, мы используем информацию об HTTP-запросах для развития моделей машинного обучения (ML). Вы можете отключить использование этой информации в консоли управления при создании профиля безопасности или позднее в его настройках.
Рекомендации по настройке Application Load Balancer
Для улучшения защиты ваших приложений от DDoS-атак следуйте дополнительным рекомендациям:
- Настройте автомасштабирование — это позволяет динамически адаптироваться к увеличенной нагрузке и перераспределять трафик оптимальным образом.
- Разместите ресурсные единицы в нескольких зонах доступности.
- Используйте защищенный протокол HTTPS — настройте обработчик для автоматического перенаправления запросов с HTTP на HTTPS.
- Обеспечьте защиту на более низком уровне модели OSI — включите базовую защиту от DDoS-атак на уровнях L3-L4, что поможет предотвратить часть атак на более ранней стадии.
Эти меры в дополнение к настройке Smart Web Security помогут повысить устойчивость ваших сервисов к потенциальным угрозам и обеспечат безопасную работу приложений.