Связаться с намиПодключиться

Как начать работать с Yandex Smart Web Security

Статья создана
Улучшена
Обновлена 9 сентября 2025 г.

Smart Web Security позволяет защитить инфраструктуру от информационных угроз на прикладном уровне L7 модели OSI. Например, DDoS-атак, ботов, SQL-инъекций. Дополнительно можно подключить защиту от DDoS-атак на уровнях L3 и L4 с помощью Yandex DDoS Protection.

Smart Web Security — это набор инструментов для защиты инфраструктуры разного уровня сложности и масштаба. Защита заключается в очистке входящего трафика от вредоносного. Трафик проверяется правилами и условиями фильтрации в профиле безопасности. Очищенный трафик можно дополнительно обработать правилами профиля ARL, чтобы снизить нагрузку на приложение.

Профиль безопасности может содержать:

  • Базовые правила — для простой фильтрации трафика по заданным условиям.
  • Правила Smart Protection — для автоматической защиты от DDoS-атак при помощи алгоритмов машинного обучения и поведенческого анализа.
  • Правила профиля WAF — для защиты от эксплуатации уязвимостей веб-приложения или сайта. Правила блокируют множество известных угроз, например SQL-инъекции и командные инъекции, межсайтовый скриптинг и другие. В профиль WAF можно добавить несколько наборов правил: OWASP Core Rule Set (CRS), Yandex Ruleset и ML WAF (Yandex Malicious Score).
  • Встроенную Yandex SmartCaptcha — для проверки типа CAPTCHA от ботов и спама.
  • Списки фильтрации IP-адресов — для разрешения или блокировки запросов от указанных IP-адресов.

Профиль ARL содержит правила для ограничения количества запросов к защищаемому ресурсу по различным условиям.

Профиль безопасности можно подключить к разным типам ресурсов:

  • Виртуальный хост или Ingress-контроллер для защиты ресурсов, использующих Yandex Application Load Balancer.
  • API-шлюз API Gateway для защиты API ваших приложений.
  • Домен для защиты вашего сайта или веб-приложения, расположенного в Yandex Cloud, в вашей внутренней инфраструктуре или на других хостингах.

Smart Web Security позволяет создать несколько профилей безопасности и комбинировать в них различные наборы инструментов защиты.

Порядок настройки

Smart Web Security — это набор инструментов защиты, которые рекомендуется настраивать последовательно. Включайте каждое новое изменение в режиме Только логирование и анализируйте логи. Это облегчит отслеживание и корректировку правил.

Подготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Создайте и настройте защищаемый ресурс

Application Load Balancer равномерно распределяет входящий трафик между узлами, что позволяет избежать перегрузки и повысить отказоустойчивость. Если у вас еще не настроен L7-балансировщик, вы можете развернуть тестовую инфраструктуру.

API-шлюз — единая точка входа для API различных сервисов, которая позволяет управлять запросами, маршрутизацией, аутентификацией и так далее. Если у вас еще не настроен API-шлюз, вы можете развернуть шлюз с тестовой спецификацией.

Домен — сервер, сайт, приложение, которое обрабатывает внешние запросы по веб-адресу. Для защиты домена Smart Web Security предоставляет прокси-сервер с балансировкой нагрузки, анализом и маршрутизацией запросов. А также базовой защитой от DDoS.

На прокси-сервере установлено ограничение MTU для всех пакетов — 1450 байт.

Примечание

Функциональность защиты доменов находится на стадии Preview.

Подготовьте данные о ресурсе

  • Адрес домена, на котором работает веб-приложение. У вас должен быть доступ к кабинету управления доменом, чтобы изменить А-запись.
  • IP-адрес сервера, порт и протокол, на котором работает веб-приложение.
  • Действительный приватный ключ и TLS-сертификат для этого домена в PEM-encoded формате. Поддерживаются сертификаты с ключами RSA-2048 и RSA-4096.

Создайте прокси-сервер

  1. В консоли управления выберите каталог.

  2. В списке сервисов выберите Smart Web Security.

  3. На панели слева выберите Защита доменов.

  4. Нажмите кнопку Создать прокси-сервер.

  5. Введите произвольное имя для прокси-сервера, например, test-proxy.

  6. Нажмите кнопку Создать сервер.

    Для работы с прокси-сервером будет создан сервисный аккаунт с ролями monitoring.editor, smart-web-security.admin, certificate-manager.admin, logging.writer.

    Создание прокси-сервера может занять несколько минут. Дождитесь, когда сервер перейдет в статус Active. После этого можно добавить домен.

Добавьте домен

  1. В меню слева перейдите на вкладку Домены и нажмите кнопку Добавить домен.

  2. Введите адрес домена, на котором находится ваше веб-приложение, например, example.com.

  3. Нажмите Продолжить.

  4. Выберите тип соединения, которое используется в вашем приложении. Рекомендуем выбрать защищенный протокол HTTPS.

  5. Если вы используете сервис Certificate Manager и добавляли в него сертификат вашего домена, выберите его из списка.

  6. Если вы не используете Certificate Manager, нажмите кнопку СоздатьПользовательский сертификат.

    1. Введите произвольное имя сертификата.
    2. Скопируйте или загрузите файлом приватный ключ, сертификат и цепочку промежуточных сертификатов в формате PEM.
    3. Нажмите кнопку Создать сертификат.

  7. Нажмите Продолжить.

  8. В блоке Целевые ресурсы задайте настройки целевых ресурсов:

    1. IP-адрес и порт, на котором работает ваше веб-приложение.
    2. (Опционально) Разверните блок Подключение к целевым ресурсам, чтобы выбрать протокол, на котором работает ваше веб-приложение.

  9. Нажмите кнопку Добавить домен.

После создания домена откроется страница обзора параметров домена. В разделе Как активировать защиту? скопируйте IP-адрес прокси-сервера, он потребуется на следующем шаге.

Настройте вашу инфраструктуру

  1. Добавьте ресурсную А-запись в публичную DNS-зону вашего домена, указав в ней значения:

    • Имя записи — адрес вашего домена, заканчивающийся на точку. Например: example.com. или my.first.example.com..
    • Значение — полученный на предыдущем шаге IPv4-адрес прокси-сервера.

    Эта запись перенаправляет запросы, которые поступают на ваш домен, на IP-адрес прокси-сервера.

    Примечание

    Если ваш домен делегирован Yandex Cloud DNS, создайте ресурсную запись по инструкции. В остальных случаях воспользуйтесь личным кабинетом вашего регистратора доменных имен. Если нужна помощь, обратитесь к документации регистратора или в его поддержку.

  2. В настройках вашего сервера запретите все соединения и разрешите только соединения для IP-адресов Yandex Cloud.

Проверьте статус вашего ресурса

  1. В разделе Защита доменов выберите созданный прокси-сервер.

  2. В меню слева перейдите на вкладку Домены и выберите созданный домен.

  3. В блоке Целевые ресурсы убедитесь, что ваш ресурс находится в статусе Доступен.

    Если это не так, прокси-сервер не может соединиться с вашим ресурсом. Проверьте адрес вашего веб-сервера и настройки сети. Убедитесь, что к веб-серверу разрешен доступ с IP-адресов Yandex Cloud.

  4. На панели слева убедитесь, что ваш домен находится в статусе Доступен.

    Если это не так, проверьте адрес домена и А-запись, а также валидность сертификата.

Создайте и проверьте профиль безопасности

Создайте профиль безопасности

Примечание

Чтобы сделать вашу защиту более эффективной, мы используем информацию об HTTP-запросах для развития моделей машинного обучения (ML). Вы можете отключить использование этой информации в консоли управления при создании профиля безопасности или позднее в его настройках.

  1. В консоли управления выберите каталог, в котором находятся защищаемые ресурсы.

  2. В списке сервисов выберите Smart Web Security.

  3. Нажмите Создать профиль и выберите По преднастроенному шаблону.

    Преднастроенный профиль содержит:

    Совет

    Создание преднастроенного профиля с полной защитой Smart Protection является предпочтительным. Рекомендуем использовать его, чтобы обеспечить наибольшую безопасность защищаемого ресурса.

  4. Введите имя профиля, например test-sp1.

  5. В поле Действие для базового правила по умолчанию выберите Запретить.

  6. (Опционально) Включите или отключите использование информации об HTTP-запросах для улучшения моделей машинного обучения в разделе Обучение ML-моделей.

  7. Нажмите Создать.

Рекомендации по настройке профиля безопасности см. в руководстве Базовая настройка защиты в Smart Web Security.

Проверьте настройки профиля безопасности

  1. Выберите профиль test-sp1, созданный ранее.

  2. Убедитесь, что на вкладке Правила безопасности есть правило со следующими параметрами:

    • ТипSmart Protection.
    • ДействиеПолная защита.
    • УсловияВесь трафик.

    Это правило отправляет весь трафик, приходящий к защищаемому ресурсу, на автоматическую оценку с помощью алгоритмов машинного обучения и поведенческого анализа. По результатам автоматической оценки:

    • Легитимные запросы направляются к защищаемому ресурсу.
    • Нелегитимные запросы и атаки блокируются.
    • Подозрительные запросы направляются в SmartCaptcha для дополнительной верификации.

Подключите профиль безопасности к ресурсу

Способ подключения зависит от типа ресурса.

  • Чтобы подключить домен:

    1. В разделе Защита доменов Домены выберите нужный домен.
    2. В меню сверху нажмите Подключить профиль безопасности и выберите существующий или создайте новый профиль безопасности.

  • Чтобы подключить виртуальный хост в сервисе Application Load Balancer:

    1. Если балансировщик управляется Ingress-контроллером Application Load Balancer, используйте аннотацию ресурса Ingress.

    2. Если балансировщик управляется вами, в разделе Профили безопасности выберите созданный профиль.

    3. Справа сверху нажмите Подключить к хосту.

    4. В открывшемся окне выберите:

      Чтобы подключить профиль к еще одному L7-балансировщику, нажмите Добавить балансировщик.

    5. Нажмите Подключить.

    На вкладке Подключенные хосты появится подключенный виртуальный хост.

  • Чтобы подключить API-шлюз:

    1. В разделе Профили безопасности скопируйте идентификатор нужного профиля.
    2. При создании API-шлюза или в спецификации уже созданного API-шлюза задайте расширение x-yc-apigateway:smartWebSecurity.
    3. Укажите в расширении скопированный идентификатор.

Посмотрите работу профиля безопасности

  1. На странице сервиса Smart Web Security на панели слева выберите раздел Мониторинг.
  2. Посмотрите графики разрешенных и заблокированных запросов.

Создайте и подключите профиль WAF

WAF позволяет использовать наборы правил для защиты веб-приложений от множества информационных атак. Рекомендуется настраивать профиль WAF после того, как будут настроены и протестированы базовые правила и Smart Protection в профиле безопасности.

Создайте профиль WAF

  1. В консоли управления выберите каталог, в котором вы хотите создать профиль WAF.
  2. В списке сервисов выберите Smart Web Security.
  3. Перейдите на вкладку Профили WAF и нажмите Создать профиль WAF.
  4. Введите имя профиля, например test-waf-profile-1.
  5. Включите набор правил, например OWASP Core Rule Set, и последнюю версию набора. Чтобы посмотреть правила в наборе, нажмите на строку с его описанием.
  6. Нажмите Создать.

Настройте набор правил

  1. На открывшейся обзорной странице профиля WAF напротив нужного набора нажмите кнопку Настроить.

  2. Установите Порог аномальности — суммарную аномальность сработавших правил, при которой запрос будет заблокирован, например Умеренный — 25 и выше.

    Рекомендуется начинать с порога аномальности 25 и постепенно снижать его до 5. Чтобы снизить порог аномальности, отработайте ложные срабатывания WAF на легитимные запросы. Для этого подберите правила из базового набора и настройте правила-исключения. Также для тестирования разных порогов аномальности используйте в профиле безопасности режим Только логирование (dry-run).

  3. Установите Уровень паранойи, например Только 1.

    Уровень паранойи классифицирует правила по степени агрессивности. Чем выше уровень паранойи, тем лучше уровень защиты, но и больше вероятность ложных срабатываний WAF.

  4. Проверьте включенные в набор правила, при необходимости включите дополнительные или уберите ненужные. При работе с правилами обращайте внимание на значение их аномальности и уровень паранойи.

Любое правило из набора можно сделать блокирующим. Запрос, соответствующий таком правилу, будет заблокирован независимо от установленного порога аномальности. Чтобы сделать правило блокирующим, нажмите справа от него. Если в профиле безопасности включен режим Только логирование (dry-run), запросы не будут заблокированы, даже если они соответствуют блокирующим правилам.

Создайте правило-исключение

  1. Перейдите на вкладку Правила-исключения и нажмите Создать правило-исключение.

  2. Введите имя правила-исключения, например exception-rule-1.

  3. В блоке Область применения укажите правила из базового набора, для которых будет срабатывать исключение. Вы можете выбрать Все правила или указать конкретные.

  4. В блоке Условия на трафик выберите условия для срабатывания правила-исключения.

    Если оставить поле Условия пустым, правило-исключение будет применено ко всему трафику.

  5. Нажмите Создать.

Подключите профиль WAF к профилю безопасности

  1. Перейдите на вкладку Профили безопасности.
  2. В списке выберите профиль безопасности, к которому вы хотите подключить профиль WAF, например test-sp1.
  3. Нажмите Добавить правило.
  4. Введите имя правила, например waf-rule-1.
  5. В поле Приоритет задайте значение выше, чем у правил Smart Protection, уже имеющихся в профиле безопасности, например 888800.
  6. (Опционально) Чтобы протестировать профиль WAF и отработать ложные срабатывания на легитимные запросы, используйте в профиле безопасности режим Только логирование (dry-run).
  7. В поле Тип правила выберите Web Application Firewall.
  8. В поле Профиль WAF выберите test-waf-profile-1, созданный ранее.
  9. В поле Действие выберите Полная защита.
  10. При необходимости задайте условия для сопоставления трафика.
  11. Нажмите Добавить.

Создайте и подключите профиль ARL

ARL позволяет устанавливать лимиты на количество запросов к защищаемому ресурсу, чтобы избежать чрезмерной нагрузки.

Создайте профиль ARL

  1. В консоли управления выберите каталог, в котором вы хотите создать профиль ARL.
  2. В списке сервисов выберите Smart Web Security.
  3. Перейдите на вкладку Профили ARL и нажмите Создать профиль ARL.
  4. Введите имя профиля, например test-arl-profile-1.
  5. При необходимости добавьте описание профиля и метки.
  6. Нажмите Создать.

Настройте правила

  1. На открывшейся обзорной странице профиля ARL нажмите Добавить правило.

  2. Введите имя правила, например arl-rule-1.

  3. В поле Приоритет задайте приоритет выполнения правила в рамках профиля ARL, например 1000.

  4. (Опционально) Чтобы протестировать правило ARL, включите режим Только логирование (Dry run). В этом режиме запросы блокироваться не будут.

  5. В блоке Условия на трафик выберите Весь трафик или При условии.

  6. Чтобы задать условия на трафик, в списке Условия выберите один или несколько пунктов:

    • IP — IP-адрес, диапазон адресов, регион IP-адресов или список адресов;
    • HTTP header — строка в заголовке HTTP;
    • Host — домен, на который пришел запрос;
    • HTTP method — метод запроса;
    • Cookie — строка в заголовке cookie.

  7. В блоке Подсчет запросов выберите, как считать запросы для применения лимита:

    • Без группировки — подсчет каждого запроса в отдельности;
    • По характеристикам — подсчет количества групп запросов, объединенных одной или несколькими характеристиками.

    1. Выберите характеристику для группировки:

      • Request path — путь запроса;
      • HTTP method — метод запроса;
      • IP адрес — IP-адрес, с которого пришел запрос;
      • Регион — регион, которому принадлежат IP-адреса запросов;
      • Host — домен, на который пришел запрос;
      • HTTP cookie — строка в заголовке cookie;
      • HTTP header — строка в заголовке HTTP;
      • Query params — строка в параметрах запроса.

    2. (Опционально) Включите опцию Учитывать регистр, чтобы характеристики с одинаковыми значениями, но в разном регистре попадали в разные группы.

  8. Укажите лимит запросов и выберите промежуток времени, например 1000 запросов за 1 минуту.

  9. Нажмите Сохранить правило.

Подключите профиль ARL к профилю безопасности

  1. Перейдите на вкладку Профили безопасности.
  2. В списке выберите профиль безопасности, к которому вы хотите подключить профиль ARL, например test-sp1.
  3. Нажмите Редактировать.
  4. В списке Профиль ARL выберите test-arl-profile-1, созданный ранее.
  5. Нажмите Сохранить.

См. также

Следующая
Все инструкции