Профили безопасности
Профиль безопасности — основной элемент сервиса Smart Web Security. Профиль состоит из набора правил для обработки HTTP-трафика. Правила содержат условия фильтрации и действия, которые применяются к трафику, поступающему к вашему веб-ресурсу. Также в профиле безопасности можно настроить CAPTCHA и лимит запросов по различным условиям.
Примечание
Чтобы сделать вашу защиту более эффективной, мы используем информацию об HTTP-запросах для развития моделей машинного обучения (ML). Вы можете отключить использование этой информации в консоли управления при создании профиля безопасности или позднее в его настройках.
Для создания профилей предусмотрены варианты:
- По преднастроенному шаблону. Преднастроенный профиль содержит:
- базовое правило по умолчанию, включенное для всего трафика;
- правило Smart Protection, включенное для всего трафика, с типом действия — Полная защита.
- С чистого листа. Профиль содержит только базовое правило по умолчанию, включенное для всего трафика.
Профиль безопасности настраивается в соответствии с моделью угроз — описанием возможных рисков, атакующих сторон и уязвимостей с учетом особенностей вашего сервиса. Если вы настраиваете защиту без участия специалистов по информационной безопасности, рекомендуется использовать готовый шаблон профиля, настроенный экспертами Yandex Cloud. Это обеспечит базовый уровень защиты и поможет сократить вероятность ошибок при настройке.
Чтобы включить защиту Smart Web Security, подключите профиль безопасности к своему ресурсу.
Профиль безопасности можно подключить к разным типам ресурсов:
- Виртуальный хост или Ingress-контроллер для защиты ресурсов, использующих Yandex Application Load Balancer.
- API-шлюз API Gateway для защиты API ваших приложений.
- Домен для защиты вашего сайта или веб-приложения, расположенного в Yandex Cloud, в вашей внутренней инфраструктуре или на других хостингах.
Анализ тела запроса
В профиле безопасности можно включить инспекцию тела запроса, чтобы повысить производительность и безопасность веб-приложения. Ограничение максимального размера тела запроса помогает предотвратить избыточное потребление ресурсов и смягчить последствия DoS/DDoS-атак, когда злоумышленники отправляют большие запросы для исчерпания ресурсов сервера.
При настройке профиля безопасности можно выбрать действие при превышении максимального размера тела запроса:
Не анализировать тело запроса— используется, когда легитимное приложение часто отправляет большие запросы.Блокировать запрос— универсальный и безопасный подход. Сервис блокирует запросы более 8 КБ, что уменьшает риск атак. При блокировке запроса сервис вернет ошибку403.
Схема профилей и правил
На схеме ниже показана взаимосвязь профилей и правил в Smart Web Security. Главный элемент сервиса — профиль безопасности, в котором можно настроить базовые правила и Smart Protection. Дополнительно можно подключить профиль WAF (через правило WAF), профиль ARL и SmartCaptcha.