История изменений в Yandex Smart Web Security

III квартал 2025III квартал 2025

• В профиль WAF добавлены новые наборы правил: ML WAF, Yandex Ruleset и OWASP CRS 4.8.0.

  • ML WAF (Yandex Malicious Score) разработан с использованием алгоритмов машинного обучения и позволяет выявлять и блокировать атаки, которые не покрываются сигнатурным методом. При этом правила автоматически адаптируются к новым тактикам атак. Набор рекомендуется использовать в качестве дополнения к набору OWASP или Yandex Ruleset.

  • Yandex Ruleset разработан с учетом реального опыта защиты сервисов Яндекса. Набор содержит правила для обнаружения известных шаблонов атак (сигнатур), таких как инъекции кода (SQLi, XSS), уязвимостей из базы CVE, удаленного выполнения кода. Набор постоянно обновляется для защиты от новых угроз.

  Наборы правил от Яндекса находятся на стадии Preview.

• Реализовано расширенное логирование через Smart Web Security с более гибкими настройками сбора логов. Ранее логи записывались через Application Load Balancer и содержали меньше информации о правилах и запросах, на которых они сработали.

  Логирование через SWS находится на стадии Preview. Просмотр логов в интерфейсе SWS предоставляется по запросу в службу поддержки.

• Реализована возможность отключить проверку трафика профилем безопасности Smart Web Security на конкретном маршруте виртуального хоста. Это полезно, когда запросы по некоторым маршрутам поступают от доверенных источников и анализировать их не требуется.

  Параметр для отключения проверки disable-security-profile добавлен в команды управления маршрутами Application Load Balancer.

  Функциональность доступна через интерфейсы Yandex Cloud CLI, Terraform и API.

II квартал 2025II квартал 2025

• Добавлена новая функциональность — домены для защиты сайтов и веб-приложений, которые находятся в Yandex Cloud или на других платформах, но не используют L7-балансировщик Application Load Balancer.

  Дополнительно к защите предоставляется прокси-сервер с балансировкой нагрузки, анализом и маршрутизацией запросов, а также базовой защитой от DDoS.

  Функциональность защиты доменов находится на стадии Preview.

• Добавлена тарификация по подписке, которая позволяет спрогнозировать затраты на услуги по информационной безопасности и экономить на оплате ресурсов.

Январь 2025Январь 2025

Получены сертификаты соответствия сервиса Smart Web Security 152-ФЗ, ГОСТ Р 57580, PCI DSS.

IV квартал 2024IV квартал 2024

• Добавлена функциональность черных и белых списков адресов. Они позволяют управлять трафиком и создавать правила безопасности с использованием репутационного анализа IP-адресов. Вы можете воспользоваться предустановленными списками Yandex Cloud или создать собственные черные и белые списки.
• Добавлен калькулятор для более быстрого расчета стоимости сервиса.
• Улучшены алгоритмы для анализа и блокировки низкоинтенсивных атак (low-rate-DoS).
• Оптимизирован размер страниц с кодами ошибок.
• Пройден внешний аудит для сертификации сервиса Smart Web Security на соответствие 152-ФЗ, ГОСТ Р 57580, PCI DSS.

III квартал 2024III квартал 2024

• Web Application Firewall (WAF) и Advanced Rate Limiter (ARL) перешли на стадию General Availability.
• Изменения в тарификации:
  • Плата взимается только за легитимные запросы.
  • Профили и правила не тарифицируются.
• Для базовых правил добавлена возможность отправки запросов на Yandex SmartCaptcha.
• Реализована отправка в Yandex Audit Trails событий уровня сервиса: ArlMatchedRequest, WafMatchedExclusionRule и WafMatchedRule.
• Добавлена поддержка API, CLI и Terraform.
• Для условий на трафик, в которых используются регулярные выражения, добавлена возможность задать поиск строки с учетом регистра. Подробнее см. в разделе Формат регулярных выражений.

II квартал 2024II квартал 2024

• Реализован Web Application Firewall (WAF) для защиты веб-приложений от внешних угроз, таких как SQL-инъекции, межсайтовый скриптинг и другие уязвимости. WAF анализирует и фильтрует HTTP-запросы, блокируя потенциально вредоносные данные.

  Функциональность доступна на стадии Preview.

• Реализован Advanced Rate Limiter (ARL) для управления нагрузкой на веб-приложения. ARL позволяет устанавливать лимиты на количество запросов, поступающих за определенный промежуток времени. Это предотвращает перегрузку и обеспечивает стабильную работу приложения.

  Функциональность доступна на стадии Preview.

I квартал 2024I квартал 2024

• Сервис перешел на стадию General Availability.
• Добавлена возможность выбора пользовательской капчи Yandex SmartCaptcha.
• Добавлен лимит на максимальное количество запросов в секунду (RPS) суммарно на все виртуальные хосты балансировщика, подключенные к одному профилю безопасности.
• В перечень логов Yandex Application Load Balancer добавлены логи работы профиля безопасности, подключенного к виртуальному хосту.
• Реализована отправка аудитных логов событий уровня конфигурации сервиса в Yandex Audit Trails.

IV квартал 2023IV квартал 2023

• Добавлена возможность создавать профили безопасности по преднастроенному шаблону.
• Поддержана отправка метрик в сервис Yandex Monitoring.
• Исправлена ошибка сопоставления строки в условии Host при создании правила безопасности.
• Улучшена стабильность работы сервиса за счет новой схемы взаимодействия между Application Load Balancer и Smart Web Security.

III квартал 2023III квартал 2023

• Сервис доступен на стадии Preview.