Профили безопасности
Профиль безопасности — основной элемент сервиса Smart Web Security. Профиль состоит из набора правил для обработки HTTP-трафика. Правила содержат условия фильтрации и действия, которые применяются к трафику, поступающему к вашему веб-ресурсу. Также в профиле безопасности можно настроить CAPTCHA и лимит запросов по различным условиям.
Примечание
Чтобы сделать вашу защиту более эффективной, мы используем информацию об HTTP-запросах для развития моделей машинного обучения (ML). Вы можете отключить использование этой информации в консоли управления при создании профиля безопасности или позднее в его настройках.
Для создания профилей предусмотрены варианты:
-
По преднастроенному шаблону.
Преднастроенный профиль содержит:
- базовое правило по умолчанию, включенное для всего трафика с типом действия
Разрешить; - правило Smart Protection
sp-rule-1, включенное для всего трафика, с типом действияПолная защита.
- базовое правило по умолчанию, включенное для всего трафика с типом действия
-
С чистого листа. Профиль содержит только базовое правило по умолчанию, включенное для всего трафика.
{% include setting-by-expert %}
Чтобы включить защиту Smart Web Security, подключите профиль безопасности к своему ресурсу.
Профиль безопасности можно подключить к разным типам ресурсов:
- Виртуальный хост или Ingress-контроллер для защиты ресурсов, использующих Yandex Application Load Balancer.
- API-шлюз API Gateway для защиты API ваших приложений.
- Домен для защиты вашего сайта или веб-приложения, расположенного в Yandex Cloud, в вашей внутренней инфраструктуре или на других хостингах.
Анализ тела запроса
В профиле безопасности можно включить инспекцию тела запроса, чтобы повысить производительность и безопасность веб-приложения. Ограничение максимального размера тела запроса помогает предотвратить избыточное потребление ресурсов и смягчить последствия DoS/DDoS-атак, когда злоумышленники отправляют большие запросы для исчерпания ресурсов сервера.
При настройке профиля безопасности можно выбрать действие при превышении максимального размера тела запроса:
Не анализировать тело запроса— используется, когда легитимное приложение часто отправляет большие запросы.Блокировать запрос— универсальный и безопасный подход. Сервис блокирует запросы более 8 КБ, что уменьшает риск атак. При блокировке запроса сервис вернет ошибку403.
Схема профилей и правил
На схеме ниже показана взаимосвязь профилей и правил в Smart Web Security. Главный элемент сервиса — профиль безопасности, в котором можно настроить базовые правила и Smart Protection. Дополнительно можно подключить профиль WAF (через правило WAF), профиль ARL и SmartCaptcha.