Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Истории успеха
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • ML Services
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Истории успеха
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Smart Web Security
  • Начало работы
    • Обзор
    • Профили безопасности
    • WAF
    • ARL (лимит на запросы)
    • Правила
    • Условия
    • Списки
    • Защита доменов
    • Логирование
    • Квоты и лимиты
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений

В этой статье:

  • Порядок настройки
  • Подготовьте облако к работе
  • Создайте и настройте защищаемый ресурс
  • Подготовьте данные о ресурсе
  • Создайте прокси-сервер
  • Добавьте домен
  • Настройте вашу инфраструктуру
  • Проверьте статус вашего ресурса
  • Создайте и проверьте профиль безопасности
  • Создайте профиль безопасности
  • Проверьте настройки профиля безопасности
  • Подключите профиль безопасности к ресурсу
  • Посмотрите работу профиля безопасности
  • Создайте и подключите профиль WAF
  • Создайте профиль WAF
  • Настройте набор правил
  • Создайте правило-исключение
  • Подключите профиль WAF к профилю безопасности
  • Создайте и подключите профиль ARL
  • Создайте профиль ARL
  • Настройте правила
  • Подключите профиль ARL к профилю безопасности

Как начать работать с Yandex Smart Web Security

Статья создана
Yandex Cloud
Улучшена
Ivan G.
Обновлена 9 сентября 2025 г.
  • Порядок настройки
  • Подготовьте облако к работе
  • Создайте и настройте защищаемый ресурс
    • Подготовьте данные о ресурсе
    • Создайте прокси-сервер
    • Добавьте домен
    • Настройте вашу инфраструктуру
    • Проверьте статус вашего ресурса
  • Создайте и проверьте профиль безопасности
    • Создайте профиль безопасности
    • Проверьте настройки профиля безопасности
  • Подключите профиль безопасности к ресурсу
  • Посмотрите работу профиля безопасности
  • Создайте и подключите профиль WAF
    • Создайте профиль WAF
    • Настройте набор правил
    • Создайте правило-исключение
    • Подключите профиль WAF к профилю безопасности
  • Создайте и подключите профиль ARL
    • Создайте профиль ARL
    • Настройте правила
    • Подключите профиль ARL к профилю безопасности

Smart Web Security позволяет защитить инфраструктуру от информационных угроз на прикладном уровне L7 модели OSI. Например, DDoS-атак, ботов, SQL-инъекций. Дополнительно можно подключить защиту от DDoS-атак на уровнях L3 и L4 с помощью Yandex DDoS Protection.

Smart Web Security — это набор инструментов для защиты инфраструктуры разного уровня сложности и масштаба. Защита заключается в очистке входящего трафика от вредоносного. Трафик проверяется правилами и условиями фильтрации в профиле безопасности. Очищенный трафик можно дополнительно обработать правилами профиля ARL, чтобы снизить нагрузку на приложение.

Профиль безопасности может содержать:

  • Базовые правила — для простой фильтрации трафика по заданным условиям.
  • Правила Smart Protection — для автоматической защиты от DDoS-атак при помощи алгоритмов машинного обучения и поведенческого анализа.
  • Правила профиля WAF — для защиты от эксплуатации уязвимостей веб-приложения или сайта. Правила блокируют множество известных угроз, например SQL-инъекции и командные инъекции, межсайтовый скриптинг и другие. В профиль WAF можно добавить несколько наборов правил: OWASP Core Rule Set (CRS), Yandex Ruleset и ML WAF (Yandex Malicious Score).
  • Встроенную Yandex SmartCaptcha — для проверки типа CAPTCHA от ботов и спама.
  • Списки фильтрации IP-адресов — для разрешения или блокировки запросов от указанных IP-адресов.

Профиль ARL содержит правила для ограничения количества запросов к защищаемому ресурсу по различным условиям.

Профиль безопасности можно подключить к разным типам ресурсов:

  • Виртуальный хост или Ingress-контроллер для защиты ресурсов, использующих Yandex Application Load Balancer.
  • API-шлюз API Gateway для защиты API ваших приложений.
  • Домен для защиты вашего сайта или веб-приложения, расположенного в Yandex Cloud, в вашей внутренней инфраструктуре или на других хостингах.

Smart Web Security позволяет создать несколько профилей безопасности и комбинировать в них различные наборы инструментов защиты.

Порядок настройкиПорядок настройки

  • Подготовьте облако к работе
  • Создайте и настройте защищаемый ресурс
  • Создайте и проверьте профиль безопасности
  • Подключите профиль безопасности к защищаемому ресурсу
  • Посмотрите работу профиля безопасности
  • (Опционально) Создайте и подключите профиль WAF
  • (Опционально) Создайте и подключите профиль ARL

Smart Web Security — это набор инструментов защиты, которые рекомендуется настраивать последовательно. Включайте каждое новое изменение в режиме Только логирование и анализируйте логи. Это облегчит отслеживание и корректировку правил.

Подготовьте облако к работеПодготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Создайте и настройте защищаемый ресурсСоздайте и настройте защищаемый ресурс

L7-балансировщик
API-шлюз
Домен

Application Load Balancer равномерно распределяет входящий трафик между узлами, что позволяет избежать перегрузки и повысить отказоустойчивость. Если у вас еще не настроен L7-балансировщик, вы можете развернуть тестовую инфраструктуру.

API-шлюз — единая точка входа для API различных сервисов, которая позволяет управлять запросами, маршрутизацией, аутентификацией и так далее. Если у вас еще не настроен API-шлюз, вы можете развернуть шлюз с тестовой спецификацией.

Домен — сервер, сайт, приложение, которое обрабатывает внешние запросы по веб-адресу. Для защиты домена Smart Web Security предоставляет прокси-сервер с балансировкой нагрузки, анализом и маршрутизацией запросов. А также базовой защитой от DDoS.

На прокси-сервере установлено ограничение MTU для всех пакетов — 1450 байт.

Примечание

Функциональность защиты доменов находится на стадии Preview.

Подготовьте данные о ресурсеПодготовьте данные о ресурсе

  • Адрес домена, на котором работает веб-приложение. У вас должен быть доступ к кабинету управления доменом, чтобы изменить А-запись.
  • IP-адрес сервера, порт и протокол, на котором работает веб-приложение.
  • Действительный приватный ключ и TLS-сертификат для этого домена в PEM-encoded формате. Поддерживаются сертификаты с ключами RSA-2048 и RSA-4096.

Создайте прокси-серверСоздайте прокси-сервер

Консоль управления
  1. В консоли управления выберите каталог.

  2. В списке сервисов выберите Smart Web Security.

  3. На панели слева выберите Защита доменов.

  4. Нажмите кнопку Создать прокси-сервер.

  5. Введите произвольное имя для прокси-сервера, например, test-proxy.

  6. Нажмите кнопку Создать сервер.

    Для работы с прокси-сервером будет создан сервисный аккаунт с ролями monitoring.editor, smart-web-security.admin, certificate-manager.admin, logging.writer.

    Создание прокси-сервера может занять несколько минут. Дождитесь, когда сервер перейдет в статус Active. После этого можно добавить домен.

Добавьте доменДобавьте домен

Консоль управления
  1. В меню слева перейдите на вкладку Домены и нажмите кнопку Добавить домен.

  2. Введите адрес домена, на котором находится ваше веб-приложение, например, example.com.

  3. Нажмите Продолжить.

  4. Выберите тип соединения, которое используется в вашем приложении. Рекомендуем выбрать защищенный протокол HTTPS.

  5. Если вы используете сервис Certificate Manager и добавляли в него сертификат вашего домена, выберите его из списка.

  6. Если вы не используете Certificate Manager, нажмите кнопку Создать → Пользовательский сертификат.

    1. Введите произвольное имя сертификата.
    2. Скопируйте или загрузите файлом приватный ключ, сертификат и цепочку промежуточных сертификатов в формате PEM.
    3. Нажмите кнопку Создать сертификат.
  7. Нажмите Продолжить.

  8. В блоке Целевые ресурсы задайте настройки целевых ресурсов:

    1. IP-адрес и порт, на котором работает ваше веб-приложение.
    2. (Опционально) Разверните блок Подключение к целевым ресурсам, чтобы выбрать протокол, на котором работает ваше веб-приложение.
  9. Нажмите кнопку Добавить домен.

После создания домена откроется страница обзора параметров домена. В разделе Как активировать защиту? скопируйте IP-адрес прокси-сервера, он потребуется на следующем шаге.

Настройте вашу инфраструктуруНастройте вашу инфраструктуру

  1. Добавьте ресурсную А-запись в публичную DNS-зону вашего домена, указав в ней значения:

    • Имя записи — адрес вашего домена, заканчивающийся на точку. Например: example.com. или my.first.example.com..
    • Значение — полученный на предыдущем шаге IPv4-адрес прокси-сервера.

    Эта запись перенаправляет запросы, которые поступают на ваш домен, на IP-адрес прокси-сервера.

    Примечание

    Если ваш домен делегирован Yandex Cloud DNS, создайте ресурсную запись по инструкции. В остальных случаях воспользуйтесь личным кабинетом вашего регистратора доменных имен. Если нужна помощь, обратитесь к документации регистратора или в его поддержку.

  2. В настройках вашего сервера запретите все соединения и разрешите только соединения для IP-адресов Yandex Cloud.

Проверьте статус вашего ресурсаПроверьте статус вашего ресурса

Консоль управления
  1. В разделе Защита доменов выберите созданный прокси-сервер.

  2. В меню слева перейдите на вкладку Домены и выберите созданный домен.

  3. В блоке Целевые ресурсы убедитесь, что ваш ресурс находится в статусе Доступен.

    Если это не так, прокси-сервер не может соединиться с вашим ресурсом. Проверьте адрес вашего веб-сервера и настройки сети. Убедитесь, что к веб-серверу разрешен доступ с IP-адресов Yandex Cloud.

  4. На панели слева убедитесь, что ваш домен находится в статусе Доступен.

    Если это не так, проверьте адрес домена и А-запись, а также валидность сертификата.

Создайте и проверьте профиль безопасностиСоздайте и проверьте профиль безопасности

Создайте профиль безопасностиСоздайте профиль безопасности

Примечание

Чтобы сделать вашу защиту более эффективной, мы используем информацию об HTTP-запросах для развития моделей машинного обучения (ML). Вы можете отключить использование этой информации в консоли управления при создании профиля безопасности или позднее в его настройках.

Консоль управления
  1. В консоли управления выберите каталог, в котором находятся защищаемые ресурсы.

  2. В списке сервисов выберите Smart Web Security.

  3. Нажмите Создать профиль и выберите По преднастроенному шаблону.

    Преднастроенный профиль содержит:

    • базовое правило по умолчанию, включенное для всего трафика с типом действия Запретить;
    • правило Smart Protection, включенное для всего трафика, с типом действия Полная защита.

    Совет

    Создание преднастроенного профиля с полной защитой Smart Protection является предпочтительным. Рекомендуем использовать его, чтобы обеспечить наибольшую безопасность защищаемого ресурса.

  4. Введите имя профиля, например test-sp1.

  5. В поле Действие для базового правила по умолчанию выберите Запретить.

  6. (Опционально) Включите или отключите использование информации об HTTP-запросах для улучшения моделей машинного обучения в разделе Обучение ML-моделей.

  7. Нажмите Создать.

Рекомендации по настройке профиля безопасности см. в руководстве Базовая настройка защиты в Smart Web Security.

Проверьте настройки профиля безопасностиПроверьте настройки профиля безопасности

Консоль управления
  1. Выберите профиль test-sp1, созданный ранее.

  2. Убедитесь, что на вкладке Правила безопасности есть правило со следующими параметрами:

    • Тип — Smart Protection.
    • Действие — Полная защита.
    • Условия — Весь трафик.

    Это правило отправляет весь трафик, приходящий к защищаемому ресурсу, на автоматическую оценку с помощью алгоритмов машинного обучения и поведенческого анализа. По результатам автоматической оценки:

    • Легитимные запросы направляются к защищаемому ресурсу.
    • Нелегитимные запросы и атаки блокируются.
    • Подозрительные запросы направляются в SmartCaptcha для дополнительной верификации.

Подключите профиль безопасности к ресурсуПодключите профиль безопасности к ресурсу

Консоль управления

Способ подключения зависит от типа ресурса.

  • Чтобы подключить домен:

    1. В разделе Защита доменов → Домены выберите нужный домен.
    2. В меню сверху нажмите Подключить профиль безопасности и выберите существующий или создайте новый профиль безопасности.
  • Чтобы подключить виртуальный хост в сервисе Application Load Balancer:

    1. Если балансировщик управляется Ingress-контроллером Application Load Balancer, используйте аннотацию ресурса Ingress.

    2. Если балансировщик управляется вами, в разделе Профили безопасности выберите созданный профиль.

    3. Справа сверху нажмите Подключить к хосту.

    4. В открывшемся окне выберите:

      • Балансировщик.
      • HTTP-роутер.
      • Виртуальный хост. Вы можете подключить профиль безопасности сразу к нескольким хостам.

      Чтобы подключить профиль к еще одному L7-балансировщику, нажмите Добавить балансировщик.

    5. Нажмите Подключить.

    На вкладке Подключенные хосты появится подключенный виртуальный хост.

  • Чтобы подключить API-шлюз:

    1. В разделе Профили безопасности скопируйте идентификатор нужного профиля.
    2. При создании API-шлюза или в спецификации уже созданного API-шлюза задайте расширение x-yc-apigateway:smartWebSecurity.
    3. Укажите в расширении скопированный идентификатор.

Посмотрите работу профиля безопасностиПосмотрите работу профиля безопасности

Консоль управления
  1. На странице сервиса Smart Web Security на панели слева выберите раздел Мониторинг.
  2. Посмотрите графики разрешенных и заблокированных запросов.

Создайте и подключите профиль WAFСоздайте и подключите профиль WAF

WAF позволяет использовать наборы правил для защиты веб-приложений от множества информационных атак. Рекомендуется настраивать профиль WAF после того, как будут настроены и протестированы базовые правила и Smart Protection в профиле безопасности.

Создайте профиль WAFСоздайте профиль WAF

Консоль управления
  1. В консоли управления выберите каталог, в котором вы хотите создать профиль WAF.
  2. В списке сервисов выберите Smart Web Security.
  3. Перейдите на вкладку Профили WAF и нажмите Создать профиль WAF.
  4. Введите имя профиля, например test-waf-profile-1.
  5. Включите набор правил, например OWASP Core Rule Set, и последнюю версию набора. Чтобы посмотреть правила в наборе, нажмите на строку с его описанием.
  6. Нажмите Создать.

Настройте набор правилНастройте набор правил

Консоль управления
  1. На открывшейся обзорной странице профиля WAF напротив нужного набора нажмите кнопку Настроить.

  2. Установите Порог аномальности — суммарную аномальность сработавших правил, при которой запрос будет заблокирован, например Умеренный — 25 и выше.

    Рекомендуется начинать с порога аномальности 25 и постепенно снижать его до 5. Чтобы снизить порог аномальности, отработайте ложные срабатывания WAF на легитимные запросы. Для этого подберите правила из базового набора и настройте правила-исключения. Также для тестирования разных порогов аномальности используйте в профиле безопасности режим Только логирование (dry-run).

  3. Установите Уровень паранойи, например Только 1.

    Уровень паранойи классифицирует правила по степени агрессивности. Чем выше уровень паранойи, тем лучше уровень защиты, но и больше вероятность ложных срабатываний WAF.

  4. Проверьте включенные в набор правила, при необходимости включите дополнительные или уберите ненужные. При работе с правилами обращайте внимание на значение их аномальности и уровень паранойи.

Любое правило из набора можно сделать блокирующим. Запрос, соответствующий таком правилу, будет заблокирован независимо от установленного порога аномальности. Чтобы сделать правило блокирующим, нажмите справа от него. Если в профиле безопасности включен режим Только логирование (dry-run), запросы не будут заблокированы, даже если они соответствуют блокирующим правилам.

Создайте правило-исключениеСоздайте правило-исключение

Консоль управления
  1. Перейдите на вкладку Правила-исключения и нажмите Создать правило-исключение.

  2. Введите имя правила-исключения, например exception-rule-1.

  3. В блоке Область применения укажите правила из базового набора, для которых будет срабатывать исключение. Вы можете выбрать Все правила или указать конкретные.

  4. В блоке Условия на трафик выберите условия для срабатывания правила-исключения.

    Если оставить поле Условия пустым, правило-исключение будет применено ко всему трафику.

  5. Нажмите Создать.

Подключите профиль WAF к профилю безопасностиПодключите профиль WAF к профилю безопасности

Консоль управления
  1. Перейдите на вкладку Профили безопасности.
  2. В списке выберите профиль безопасности, к которому вы хотите подключить профиль WAF, например test-sp1.
  3. Нажмите Добавить правило.
  4. Введите имя правила, например waf-rule-1.
  5. В поле Приоритет задайте значение выше, чем у правил Smart Protection, уже имеющихся в профиле безопасности, например 888800.
  6. (Опционально) Чтобы протестировать профиль WAF и отработать ложные срабатывания на легитимные запросы, используйте в профиле безопасности режим Только логирование (dry-run).
  7. В поле Тип правила выберите Web Application Firewall.
  8. В поле Профиль WAF выберите test-waf-profile-1, созданный ранее.
  9. В поле Действие выберите Полная защита.
  10. При необходимости задайте условия для сопоставления трафика.
  11. Нажмите Добавить.

Создайте и подключите профиль ARLСоздайте и подключите профиль ARL

ARL позволяет устанавливать лимиты на количество запросов к защищаемому ресурсу, чтобы избежать чрезмерной нагрузки.

Создайте профиль ARLСоздайте профиль ARL

Консоль управления
  1. В консоли управления выберите каталог, в котором вы хотите создать профиль ARL.
  2. В списке сервисов выберите Smart Web Security.
  3. Перейдите на вкладку Профили ARL и нажмите Создать профиль ARL.
  4. Введите имя профиля, например test-arl-profile-1.
  5. При необходимости добавьте описание профиля и метки.
  6. Нажмите Создать.

Настройте правилаНастройте правила

Консоль управления
  1. На открывшейся обзорной странице профиля ARL нажмите Добавить правило.

  2. Введите имя правила, например arl-rule-1.

  3. В поле Приоритет задайте приоритет выполнения правила в рамках профиля ARL, например 1000.

  4. (Опционально) Чтобы протестировать правило ARL, включите режим Только логирование (Dry run). В этом режиме запросы блокироваться не будут.

  5. В блоке Условия на трафик выберите Весь трафик или При условии.

  6. Чтобы задать условия на трафик, в списке Условия выберите один или несколько пунктов:

    • IP — IP-адрес, диапазон адресов, регион IP-адресов или список адресов;
    • HTTP header — строка в заголовке HTTP;
    • Host — домен, на который пришел запрос;
    • HTTP method — метод запроса;
    • Cookie — строка в заголовке cookie.
  7. В блоке Подсчет запросов выберите, как считать запросы для применения лимита:

    • Без группировки — подсчет каждого запроса в отдельности;
    • По характеристикам — подсчет количества групп запросов, объединенных одной или несколькими характеристиками.
    1. Выберите характеристику для группировки:

      • Request path — путь запроса;
      • HTTP method — метод запроса;
      • IP адрес — IP-адрес, с которого пришел запрос;
      • Регион — регион, которому принадлежат IP-адреса запросов;
      • Host — домен, на который пришел запрос;
      • HTTP cookie — строка в заголовке cookie;
      • HTTP header — строка в заголовке HTTP;
      • Query params — строка в параметрах запроса.
    2. (Опционально) Включите опцию Учитывать регистр, чтобы характеристики с одинаковыми значениями, но в разном регистре попадали в разные группы.

  8. Укажите лимит запросов и выберите промежуток времени, например 1000 запросов за 1 минуту.

  9. Нажмите Сохранить правило.

Подключите профиль ARL к профилю безопасностиПодключите профиль ARL к профилю безопасности

Консоль управления
  1. Перейдите на вкладку Профили безопасности.
  2. В списке выберите профиль безопасности, к которому вы хотите подключить профиль ARL, например test-sp1.
  3. Нажмите Редактировать.
  4. В списке Профиль ARL выберите test-arl-profile-1, созданный ранее.
  5. Нажмите Сохранить.

См. такжеСм. также

  • Создать профиль безопасности
  • Базовая настройка защиты в Smart Web Security

Была ли статья полезна?

Следующая
Все инструкции
Проект Яндекса
© 2025 ООО «Яндекс.Облако»