Связаться с намиПодключиться

Создать профиль безопасности

Статья создана
Обновлена 17 октября 2024 г.

  1. В консоли управления выберите каталог, в котором вы хотите создать профиль безопасности.

  2. В списке сервисов выберите Smart Web Security.

  3. Нажмите кнопку Создать.

  4. Выберите один из вариантов создания:

    • По преднастроенному шаблону (рекомендуется). Преднастроенный профиль содержит:

    • С чистого листа. Профиль содержит только базовое правило по умолчанию, включенное для всего трафика.

  5. Введите имя профиля.

  6. (опционально) Введите описание.

  7. (опционально) Добавьте профилю метки.

  8. В поле Действие для базового правила по умолчанию выберите, что делать с трафиком, который не попал под условия других правил: Запретить или Разрешить.

  9. Выберите или создайте профиль ARL, чтобы установить лимиты на количество запросов.

  10. Выберите или создайте капчу Yandex SmartCaptcha для проверки подозрительных запросов:

    • По умолчанию — контролируется на стороне Yandex Cloud, параметры капчи:

      Плата за использование капчи По умолчанию включена в стоимость Smart Web Security.

    • Собственная капча — вы можете настроить сложность, типы основного и дополнительного заданий, а также внешний вид капчи.

      Примечание

      Чтобы использовать собственную капчу, выберите в ее настройках опцию Отключить проверку домена.

      Плата за использование собственной капчи взимается в соответствии с тарификацией SmartCaptcha.

  11. Нажмите кнопку Добавить правило.

  12. В окне создания правила:

    1. Введите имя правила.

    2. (опционально) Введите описание.

    3. Задайте приоритет правила. Добавляемое правило будет иметь более высокий приоритет, чем преднастроенные правила.

      Примечание

      Чем меньше значение параметра, тем больший приоритет у правила. Приоритеты преднастроенных правил:

      • базовое правило по умолчанию — 1000000;
      • правило Smart Protection с полной защитой — 999900.

    4. (опционально) Включите опцию Только логирование (dry run), если вы хотите только фиксировать информацию о трафике, который соответствует заданным условиям, но не применять к нему никаких действий.

    5. Выберите тип правила:

      • Базовое — правило, которое по заданным условиям разрешает, запрещает или отправляет трафик в Yandex SmartCaptcha.

      • Smart Protection — правило, которое отправляет трафик на автоматический анализ с помощью алгоритмов машинного обучения и поведенческого анализа. Подозрительные запросы отправляются в Yandex SmartCaptcha для дополнительной верификации.

      • Web Application Firewall — правило, которое подключает набор правил из профиля WAF. Подозрительные запросы отправляются в Yandex SmartCaptcha.

        Для правила WAF выберите или создайте профиль WAF.

    6. Выберите действие:

      • Для базового правила:

        • Запретить;
        • Разрешить;
        • Показать капчу — будет показана капча, выбранная в профиле безопасности.

      • Для правила Smart Protection или WAF:

        • Полная защита — после проверки подозрительные запросы отправляются в SmartCaptcha.
        • Защита API — после проверки подозрительные запросы блокируются.

    7. В блоке Условия на трафик определите трафик, для анализа которого будет использоваться правило:

      • Весь трафик — правило будет использоваться для анализа всего трафика.

      • При условии — правило будет использоваться для анализа трафика, заданного в поле Условия:

        • IP — IP-адрес, диапазон адресов или регион IP-адресов;
        • HTTP header — строка в заголовке HTTP;
        • Request URI — путь запроса;
        • Host — домен, на который пришел запрос.
        • HTTP method — метод запроса;
        • Cookie — строка в заголовке cookie.

        Вы можете задать несколько условий. Для этого в поле Условия выберите все необходимые типы условий.

        Вы также можете задать несколько условий одного типа. Для этого в секции с нужным условием нажмите кнопку и или или.

        Чтобы удалить условие, нажмите .

    8. Нажмите кнопку Добавить.

  13. Последовательно добавьте все правила, которые вы хотите задействовать в профиле.

    В блоке Правила безопасности в таблице появятся созданные вами правила.

  14. Нажмите кнопку Создать.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для создания профиля безопасности:

    yc smartwebsecurity security-profile create --help

  2. Чтобы создать профиль безопасности, выполните команду:

    yc smartwebsecurity security-profile create \
   --name <имя_профиля_безопасности> \
   --description "<описание_профиля>" \
   --labels <ключ_метки_1>=<значение_метки_1>,<ключ_метки_2>=<значение_метки_2>,...,<ключ_метки_n>=<значение_метки_n> \
   --default-action <действие> \
   --captcha-id <идентификатор_капчи> \
   --security-rules-file <путь_к_файлу_с_правилами>

    Где:

    • --name — имя профиля безопасности. Обязательный параметр. Если задать только имя профиля без дополнительных параметров, в профиле безопасности будет создано одно базовое правило.

    • --description — текстовое описание профиля безопасности. Необязательный параметр.

    • --labels — список меток для добавления в профиль в формате КЛЮЧ=ЗНАЧЕНИЕ. Необязательный параметр. Например: --labels foo=baz,bar=baz'.

    • --default-action — действие, которое следует выполнить для трафика, который не попал под условия других правил. Необязательный параметр. По умолчанию установлено значение allow, разрешающее все запросы к сервису. Чтобы запретить запросы, установите значение deny.

    • --captcha-id — идентификатор капчи Yandex SmartCaptcha для проверки подозрительных запросов. Необязательный параметр.

    • --security-rules-file — путь к файлу с описанием правил безопасности в формате YAML. Необязательный параметр. Например:

      security-rules.yaml
      - name: rule-condition-deny
  description: My first security rule. This rule it's just example to show possibilities of configuration.
  priority: "11111"
  dry_run: true
  rule_condition:
    action: DENY
    condition:
      authority:
        authorities:
          - exact_match: example.com
          - exact_match: example.net
      http_method:
        http_methods:
          - exact_match: GET
          - exact_match: POST
      request_uri:
        path:
          prefix_match: /search
        queries:
          - key: firstname
            value:
              pire_regex_match: .ivan.
          - key: lastname
            value:
              pire_regex_not_match: .petr.
      headers:
        - name: User-Agent
          value:
            pire_regex_match: .curl.
        - name: Referer
          value:
            pire_regex_not_match: .bot.
      source_ip:
        ip_ranges_match:
          ip_ranges:
            - 1.2.33.44
            - 2.3.4.56
        ip_ranges_not_match:
          ip_ranges:
            - 8.8.0.0/16
            - 10::1234:1abc:1/64
        geo_ip_match:
          locations:
            - ru
            - es
        geo_ip_not_match:
          locations:
            - us
            - fm
            - gb
- name: rule-condition-allow
  description: Let's show how to whitelist IP.
  priority: "2"
  rule_condition:
    action: ALLOW
    condition:
      source_ip:
        ip_ranges_match:
          ip_ranges:
            - 44.44.44.44-44.44.44.45
            - 44.44.44.77
- name: smart-protection-full
  description: Enable smart protection. Allow to show captcha on /search prefix.
  priority: "11"
  smart_protection:
    mode: FULL
    condition:
      request_uri:
        path:
          prefix_match: /search
- name: smart-protection-api
  description: Enable smart protection with mode API. We are not expect to see captcha on /api prefix.
  priority: "10"
  smart_protection:
    mode: API
    condition:
      request_uri:
        path:
          prefix_match: /api

    Результат:

    id: fev6q4qqnn2q********
folder_id: b1g07hj5r6i********
cloud_id: b1gia87mbaom********
name: my-sample-profile
description: "my description"
labels: label1=value1,label2=value2
default_action: DENY
created_at: "2024-07-25T19:21:05.039610Z"

Подробнее о команде yc smartwebsecurity security-profile create читайте в справочнике CLI.

Воспользуйтесь методом REST API create для ресурса SecurityProfile или вызовом gRPC API SecurityProfileService/Create.

См. также

Предыдущая
Все инструкции
Следующая
Изменить основные параметры профиля