Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Smart Web Security
  • Начало работы
    • Обзор
    • Профили безопасности
    • WAF
    • ARL (лимит на запросы)
    • Правила
    • Условия
    • Списки
    • Защита доменов
    • Квоты и лимиты
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений

В этой статье:

  • Порядок настройки
  • Подготовьте облако к работе
  • Создайте и настройте защищаемый ресурс
  • Подготовьте данные о ресурсе
  • Создайте прокси-сервер
  • Добавьте домен
  • Настройте вашу инфраструктуру
  • Проверьте статус вашего ресурса
  • Создайте и проверьте профиль безопасности
  • Создайте профиль безопасности
  • Проверьте настройки профиля безопасности
  • Подключите профиль безопасности к ресурсу
  • Посмотрите работу профиля безопасности
  • Создайте и подключите профиль WAF
  • Создайте профиль WAF
  • Настройте набор базовых правил
  • Создайте правило-исключение
  • Подключите профиль WAF к профилю безопасности
  • Создайте и подключите профиль ARL
  • Создайте профиль ARL
  • Настройте правила
  • Подключите профиль ARL к профилю безопасности

Как начать работать с Yandex Smart Web Security

Статья создана
Yandex Cloud
Улучшена
Ivan G.
Обновлена 22 мая 2025 г.
  • Порядок настройки
  • Подготовьте облако к работе
  • Создайте и настройте защищаемый ресурс
    • Подготовьте данные о ресурсе
    • Создайте прокси-сервер
    • Добавьте домен
    • Настройте вашу инфраструктуру
    • Проверьте статус вашего ресурса
  • Создайте и проверьте профиль безопасности
    • Создайте профиль безопасности
    • Проверьте настройки профиля безопасности
  • Подключите профиль безопасности к ресурсу
  • Посмотрите работу профиля безопасности
  • Создайте и подключите профиль WAF
    • Создайте профиль WAF
    • Настройте набор базовых правил
    • Создайте правило-исключение
    • Подключите профиль WAF к профилю безопасности
  • Создайте и подключите профиль ARL
    • Создайте профиль ARL
    • Настройте правила
    • Подключите профиль ARL к профилю безопасности

Smart Web Security позволяет защитить инфраструктуру от информационных угроз на прикладном уровне L7 модели OSI. Например, DDoS-атак, ботов, SQL-инъекций. Дополнительно можно подключить защиту от DDoS-атак на уровнях L3 и L4 с помощью Yandex DDoS Protection.

Smart Web Security — это набор инструментов для защиты инфраструктуры разного уровня сложности и масштаба. Защита заключается в очистке входящего трафика от вредоносного. Трафик проверяется правилами и условиями фильтрации в профиле безопасности. Очищенный трафик можно дополнительно обработать правилами профиля ARL, чтобы снизить нагрузку на приложение.

Профиль безопасности может содержать:

  • Базовые правила — для простой фильтрации трафика по заданным условиям.
  • Правила Smart Protection — для автоматической защиты от DDoS-атак при помощи алгоритмов машинного обучения и поведенческого анализа.
  • Правила профиля WAF — для защиты от эксплуатации уязвимостей приложения. Сейчас можно подключить набор OWASP Core Rule Set (CRS), который блокирует множество известных угроз, например SQL-инъекции и командные инъекции, межсайтовый скриптинг и другие.
  • Встроенную Yandex SmartCaptcha — для проверки типа CAPTCHA от ботов и спама.
  • Списки фильтрации IP-адресов — для разрешения или блокировки запросов от указанных IP-адресов.

Профиль ARL содержит правила для ограничения количества запросов к защищаемому ресурсу по различным условиям.

Профиль безопасности можно подключить к разным типам ресурсов:

  • Виртуальный хост или Ingress-контроллер для защиты ресурсов, использующих Yandex Application Load Balancer.
  • API-шлюз API Gateway для защиты API ваших приложений.
  • Домен для защиты вашего сайта или веб-приложения, расположенного в Yandex Cloud или на других платформах.

Порядок настройкиПорядок настройки

  • Подготовьте облако к работе
  • Создайте и настройте защищаемый ресурс
  • Создайте и проверьте профиль безопасности
  • Подключите профиль безопасности к защищаемому ресурсу
  • Посмотрите работу профиля безопасности
  • (Опционально) Создайте и подключите профиль WAF
  • (Опционально) Создайте и подключите профиль ARL

Подготовьте облако к работеПодготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Создайте и настройте защищаемый ресурсСоздайте и настройте защищаемый ресурс

L7-балансировщик
API-шлюз
Домен

Application Load Balancer равномерно распределяет входящий трафик между узлами, что позволяет избежать перегрузки и повысить отказоустойчивость. Если у вас еще не настроен L7-балансировщик, вы можете развернуть тестовую инфраструктуру.

API-шлюз — единая точка входа для API различных сервисов, которая позволяет управлять запросами, маршрутизацией, аутентификацией и так далее. Если у вас еще не настроен API-шлюз, вы можете развернуть шлюз с тестовой спецификацией.

Домен — сервер, сайт, приложение, которое обрабатывает внешние запросы по веб-адресу. Для защиты домена Smart Web Security предоставляет прокси-сервер с балансировкой нагрузки, анализом и маршрутизацией запросов. А также базовой защитой от DDoS.

На прокси-сервере установлено ограничение MTU для всех пакетов — 1450 байт.

Примечание

Функциональность защиты внешних доменов находится на стадии Preview.

Подготовьте данные о ресурсеПодготовьте данные о ресурсе

  • Адрес домена, на котором работает веб-приложение. У вас должен быть доступ к кабинету управления доменом, чтобы изменить А-запись.
  • IP-адрес сервера, порт и протокол, на котором работает веб-приложение.
  • Действительный приватный ключ и TLS-сертификат для этого домена в PEM-encoded формате. Поддерживаются сертификаты с ключами RSA-2048 и RSA-4096.

Создайте прокси-серверСоздайте прокси-сервер

Консоль управления
  1. В консоли управления выберите каталог.

  2. В списке сервисов выберите Smart Web Security.

  3. На панели слева выберите раздел Защита доменов.

  4. Нажмите кнопку Создать прокси-сервер.

  5. Введите произвольное имя для прокси-сервера, например, test-proxy.

  6. Нажмите кнопку Создать.

    Для работы с прокси-сервером будет создан сервисный аккаунт с ролями monitoring.editor, smart-web-security.admin, certificate-manager.admin, logging.writer.

    Создание прокси-сервера может занять несколько минут. Дождитесь, когда сервер перейдет в статус Active. После этого можно добавить домен.

Добавьте доменДобавьте домен

Консоль управления
  1. В разделе Домены нажмите кнопку Добавить домен.

  2. Введите адрес домена, на котором находится ваше веб-приложение, например, example.com.

  3. Нажмите Продолжить.

  4. Выберите тип соединения, которое используется в вашем приложении. Рекомендуем выбрать защищенный протокол HTTPS.

  5. Если вы используете сервис Certificate Manager и добавляли в него сертификат вашего домена, выберите его из списка.

  6. Если вы не используете Certificate Manager, нажмите кнопку Создать → Пользовательский сертификат.

    1. Введите произвольное имя сертификата.
    2. Скопируйте или загрузите файлом приватный ключ, сертификат и цепочку промежуточных сертификатов в формате PEM.
    3. Нажмите кнопку Создать сертификат.
  7. Нажмите Продолжить.

  8. Укажите настройки Целевых ресурсов:

    1. IP-адрес и порт, на котором работает ваше веб-приложение.
    2. Протокол, на котором работает ваше веб-приложение.
  9. Нажмите кнопку Сохранить.

После создания домена откроется страница обзора параметров домена. В разделе Как активировать защиту скопируйте IP-адрес прокси-сервера и доверенные адреса Yandex Cloud. Эти данные потребуются на следующем шаге.

Настройте вашу инфраструктуруНастройте вашу инфраструктуру

  • Зайдите в панель управления DNS на сайте вашего хостинг-провайдера или регистратора доменов.

  • Добавьте А-запись с параметрами:

    • Имя хоста — адрес вашего домена (example.com),
    • Значение — IP-адрес прокси-сервера.

    Эта запись перенаправляет запросы, которые приходят на ваш домен, на IP-адрес прокси-сервера.

  • В настройках вашего сервера запретите все соединения и разрешите только соединения для IP-адресов Yandex Cloud.

Проверьте статус вашего ресурсаПроверьте статус вашего ресурса

Консоль управления
  1. В разделе Прокси-сервер выберите созданный прокси-сервер.

  2. Перейдите в раздел Домены и выберите созданный домен.

  3. В разделе Целевые ресурсы проверьте, что ваш ресурс находится в статусе Healthy.

    Если это не так, прокси-сервер не может соединиться с вашим ресурсом. Проверьте адрес вашего веб-сервера и настройки сети. Убедитесь, что к веб-серверу разрешен доступ с IP-адресов Yandex Cloud.

  4. На панели слева проверьте, что ваш домен находится в статусе Healthy.

    Если это не так, проверьте адрес домена и А-запись, а также валидность сертификата.

Создайте и проверьте профиль безопасностиСоздайте и проверьте профиль безопасности

Создайте профиль безопасностиСоздайте профиль безопасности

Примечание

Чтобы сделать вашу защиту более эффективной, мы используем информацию об HTTP-запросах для развития моделей машинного обучения (ML). Вы можете отключить использование этой информации в консоли управления при создании профиля безопасности или позднее в его настройках.

Консоль управления
  1. В консоли управления выберите каталог, в котором находятся защищаемые ресурсы.

  2. В списке сервисов выберите Smart Web Security.

  3. Нажмите Создать профиль и выберите По преднастроенному шаблону.

    Преднастроенный профиль содержит:

    • базовое правило по умолчанию, включенное для всего трафика с типом действия Запретить;
    • правило Smart Protection, включенное для всего трафика, с типом действия Полная защита.

    Совет

    Создание преднастроенного профиля с полной защитой Smart Protection является предпочтительным. Рекомендуем использовать его, чтобы обеспечить наибольшую безопасность защищаемого ресурса.

  4. Введите имя профиля, например test-sp1.

  5. В поле Действие для базового правила по умолчанию выберите Запретить.

  6. (Опционально) Включите или отключите использование информации об HTTP-запросах для улучшения моделей машинного обучения в разделе Обучение ML-моделей.

  7. Нажмите Создать.

Проверьте настройки профиля безопасностиПроверьте настройки профиля безопасности

Консоль управления
  1. Выберите профиль test-sp1, созданный ранее.

  2. Убедитесь, что на вкладке Правила безопасности есть правило со следующими параметрами:

    • Тип — Smart Protection.
    • Действие — Полная защита.
    • Условия — Весь трафик.

    Это правило отправляет весь трафик, приходящий к защищаемому ресурсу, на автоматическую оценку с помощью алгоритмов машинного обучения и поведенческого анализа. По результатам автоматической оценки:

    • Легитимные запросы направляются к защищаемому ресурсу.
    • Нелегитимные запросы и атаки блокируются.
    • Подозрительные запросы направляются в SmartCaptcha для дополнительной верификации.

Подключите профиль безопасности к ресурсуПодключите профиль безопасности к ресурсу

Консоль управления

Способ подключения зависит от типа ресурса.

  • Чтобы подключить домен:

    1. В разделе Защита доменов → Домены выберите нужный домен.
    2. Нажмите Подключить профиль безопасности и выберите профиль.
  • Чтобы подключить виртуальный хост в сервисе Application Load Balancer:

    1. Если балансировщик управляется Ingress-контроллером Application Load Balancer, используйте аннотацию ресурса Ingress.

    2. Если балансировщик управляется вами, в разделе Профили безопасности выберите созданный профиль.

    3. Справа сверху нажмите Подключить к хосту.

    4. В открывшемся окне выберите:

      • Балансировщик.
      • HTTP-роутер.
      • Виртуальный хост. Вы можете подключить профиль безопасности сразу к нескольким хостам.

      Чтобы подключить профиль к еще одному L7-балансировщику, нажмите Добавить балансировщик.

    5. Нажмите Подключить.

    На вкладке Подключенные хосты появится подключенный виртуальный хост.

  • Чтобы подключить API-шлюз:

    1. В разделе Профили безопасности скопируйте идентификатор нужного профиля.
    2. При создании API-шлюза или в спецификации уже созданного API-шлюза задайте расширение x-yc-apigateway:smartWebSecurity.
    3. Укажите в расширении скопированный идентификатор.

Посмотрите работу профиля безопасностиПосмотрите работу профиля безопасности

Консоль управления
  1. На странице сервиса Smart Web Security на панели слева выберите раздел Мониторинг.
  2. Посмотрите графики разрешенных и заблокированных запросов.

Создайте и подключите профиль WAFСоздайте и подключите профиль WAF

WAF позволяет использовать наборы правил для защиты веб-приложений от множества информационных атак.

Создайте профиль WAFСоздайте профиль WAF

Консоль управления
  1. В консоли управления выберите каталог, в котором вы хотите создать профиль WAF.
  2. В списке сервисов выберите Smart Web Security.
  3. Перейдите на вкладку Профили WAF и нажмите Создать профиль WAF.
  4. Введите имя профиля, например test-waf-profile-1.
  5. По умолчанию в профиле WAF включен набор базовых правил OWASP Core Rule Set. Чтобы посмотреть правила в наборе, нажмите на строку с его описанием.
  6. Нажмите Создать.

Настройте набор базовых правилНастройте набор базовых правил

Консоль управления
  1. На открывшейся обзорной странице профиля WAF нажмите Настроить набор базовых правил.

  2. Установите необходимый Порог аномальности — суммарную аномальность сработавших правил, при которой запрос будет заблокирован, например Умеренный — 25 и выше.

    Рекомендуется начинать с порога аномальности 25 и постепенно снижать его до 5. Чтобы снизить порог аномальности, отработайте ложные срабатывания WAF на легитимные запросы. Для этого подберите правила из базового набора и настройте правила-исключения. Также для тестирования разных порогов аномальности используйте в профиле безопасности режим Только логирование (dry-run).

  3. Установите необходимый Уровень паранойи, например 2 и ниже.

    Уровень паранойи классифицирует правила по степени агрессивности. Чем выше уровень паранойи, тем лучше уровень защиты, но и больше вероятность ложных срабатываний WAF.

  4. Проверьте включенные в набор правила, при необходимости включите дополнительные или уберите ненужные. При работе с правилами обращайте внимание на значение их аномальности и уровень паранойи.

Любое правило из набора можно сделать блокирующим. Запрос, соответствующий таком правилу, будет заблокирован независимо от установленного порога аномальности. Чтобы сделать правило блокирующим, нажмите справа от него. Если в профиле безопасности включен режим Только логирование (dry-run), запросы не будут заблокированы, даже если они соответствуют блокирующим правилам.

Создайте правило-исключениеСоздайте правило-исключение

Консоль управления
  1. Перейдите на вкладку Правила-исключения и нажмите Создать правило-исключение.

  2. Введите имя правила-исключения, например exception-rule-1.

  3. В блоке Область применения укажите правила из базового набора, для которых будет срабатывать исключение. Вы можете выбрать Все правила или указать конкретные.

  4. В блоке Условия на трафик выберите условия для срабатывания правила-исключения.

    Если оставить поле Условия пустым, правило-исключение будет применено ко всему трафику.

  5. Нажмите Создать.

Подключите профиль WAF к профилю безопасностиПодключите профиль WAF к профилю безопасности

Консоль управления
  1. Перейдите на вкладку Профили безопасности.
  2. В списке выберите профиль безопасности, к которому вы хотите подключить профиль WAF, например test-sp1.
  3. Нажмите Добавить правило.
  4. Введите имя правила, например waf-rule-1.
  5. В поле Приоритет задайте значение выше, чем у правил Smart Protection, уже имеющихся в профиле безопасности, например 888800.
  6. (Опционально) Чтобы протестировать профиль WAF и отработать ложные срабатывания на легитимные запросы, используйте в профиле безопасности режим Только логирование (dry-run).
  7. В поле Тип правила выберите Web Application Firewall.
  8. В поле Профиль WAF выберите test-waf-profile-1, созданный ранее.
  9. В поле Действие выберите Полная защита.
  10. При необходимости задайте условия для сопоставления трафика.
  11. Нажмите Добавить.

Создайте и подключите профиль ARLСоздайте и подключите профиль ARL

ARL позволяет устанавливать лимиты на количество запросов к защищаемому ресурсу, чтобы избежать чрезмерной нагрузки.

Создайте профиль ARLСоздайте профиль ARL

Консоль управления
  1. В консоли управления выберите каталог, в котором вы хотите создать профиль ARL.
  2. В списке сервисов выберите Smart Web Security.
  3. Перейдите на вкладку Профили ARL и нажмите Создать профиль ARL.
  4. Введите имя профиля, например test-arl-profile-1.
  5. При необходимости добавьте описание профиля и метки.
  6. Нажмите Создать.

Настройте правилаНастройте правила

Консоль управления
  1. На открывшейся обзорной странице профиля ARL нажмите Добавить правило.

  2. Введите имя правила, например arl-rule-1.

  3. В поле Приоритет задайте приоритет выполнения правила в рамках профиля ARL, например 1000.

  4. (Опционально) Чтобы протестировать правило ARL, включите режим Только логирование (Dry run). В этом режиме запросы блокироваться не будут.

  5. В блоке Условия на трафик выберите Весь трафик или При условии.

  6. Чтобы задать условия на трафик, в списке Условия выберите один или несколько пунктов:

    • IP — IP-адрес, диапазон адресов, регион IP-адресов или список адресов;
    • HTTP header — строка в заголовке HTTP;
    • Host — домен, на который пришел запрос;
    • HTTP method — метод запроса;
    • Cookie — строка в заголовке cookie.
  7. В блоке Подсчет запросов выберите, как считать запросы для применения лимита:

    • Без группировки — подсчет каждого запроса в отдельности;
    • По характеристикам — подсчет количества групп запросов, объединенных одной или несколькими характеристиками.
    1. Выберите характеристику для группировки:

      • Request path — путь запроса;
      • HTTP method — метод запроса;
      • IP адрес — IP-адрес, с которого пришел запрос;
      • Регион — регион, которому принадлежат IP-адреса запросов;
      • Host — домен, на который пришел запрос;
      • HTTP cookie — строка в заголовке cookie;
      • HTTP header — строка в заголовке HTTP;
      • Query params — строка в параметрах запроса.
    2. (Опционально) Включите опцию Учитывать регистр, чтобы характеристики с одинаковыми значениями, но в разном регистре попадали в разные группы.

  8. Укажите лимит запросов и выберите промежуток времени, например 1000 запросов за 1 минуту.

  9. Нажмите Сохранить правило.

Подключите профиль ARL к профилю безопасностиПодключите профиль ARL к профилю безопасности

Консоль управления
  1. Перейдите на вкладку Профили безопасности.
  2. В списке выберите профиль безопасности, к которому вы хотите подключить профиль ARL, например test-sp1.
  3. Нажмите Редактировать.
  4. В списке Профиль ARL выберите test-arl-profile-1, созданный ранее.
  5. Нажмите Сохранить.

См. такжеСм. также

  • Создать профиль безопасности

Была ли статья полезна?

Следующая
Все инструкции
Проект Яндекса
© 2025 ООО «Яндекс.Облако»