WAF: обзор, провайдеры, тарификация, подключение

Продукт Cloud WAF — это интеграция WAF-решений нескольких провайдеров в нашем облаке. Вы просто подключаетесь к любому из них как сервису и получаете защиту от прикладных атак, а мы отвечаем за инфраструктуру.

В нашем контуре установлены кластеры трёх WAF:

Выберите любой — мы развернём его инсталляцию и направим трафик так, чтобы он очищался WAF перед попаданием на ваши серверы.

WAF подключается только в связке с одним из продуктов: Web DDoS & Bot Protection или Web DDoS Protection.
Что такое WAF?

WAF (web application firewall) — это межсетевой экран для защиты вашего сайта/приложения от атак на уровне приложений (L7).

Проще говоря, это «фильтр от хакеров», который стоит между интернетом и вашим ресурсом. Весь трафик проходит через WAF — он распознаёт среди входящих запросов атаки (SQL-инъекции, XSS-атаки и другие) и блокирует их. Запросы, которые не вредят ресурсу, пропускает.

Этапы фильтрации

Подключив WAF, вы получаете дополнительный эшелон защиты. В результате ваш ресурс становится защищён сразу от DDoS-атак, ботов и прикладных атак хакеров.

Трафик к вашему сайту/приложению будет проходить следующий путь:

  1. Клиенты отправляют запросы.

  2. Трафик попадает в наше облако, где расположены инстансы Web DDoS Protection / Web DDoS & Bot Protection и WAF.

  3. Наша система защиты расшифровывает трафик (SSL/TLS-терминация).

  4. Web DDoS Protection или Web DDoS & Bot Protection (в зависимости от того, каким продуктом вы пользуетесь) проводит фильтрацию — блокирует DDoS-атаки/нелегитимных ботов.

  5. Трафик, пропущенный Web DDoS Protection / Web DDoS & Bot Protection, попадает на ноду выбранного вами WAF: PT Application Firewall, SolidWall либо ПроWAF.

  6. WAF проводит фильтрацию — блокирует прикладные атаки.

  7. Трафик, пропущенный WAF, поступает на ваш ресурс.

Схема работы защиты с WAF

Плюсы покупки WAF у нас

  • Мультивендорность
    Не ограничиваем вас одним провайдером. В нашем облаке развернуты три WAF-решения — выберите то, которое лучше всего подходит по функционалу и требованиям к защите.

  • Настройка WAF от экспертов в кибербезопасности
    Мы в Servicepipe больше 10 лет защищаем клиентов от кибератак и накопили огромный опыт. Покупая WAF у нас, вы покупаете нашу экспертизу — в рамках услуги Managed WAF настройку политик, мониторинг и реагирование на инциденты возьмут на себя специалисты, которые постоянно работают с реальными атаками.

  • Не нужно платить за обработку «мусорного» трафика
    Обычно WAF тарифицируется по числу обработанных запросов. В нашем контуре WAF работает после Web DDoS Protection и Web DDoS & Bot Protection — то есть к нему поступает трафик, уже очищенный от DDoS-атак и ботов. Вам не приходится платить за обработку автоматизированных запросов.

  • Снижение CapEx и OpEx
    Используя WAF в облаке вместо установки инсталляций он-прем, вы освобождаете себя от нужды покупать серверы и лицензии, держать запас ресурсов под атаки и содержать команду для поддержки WAF. Мы всё берём на себя.

  • Многие атаки блокируются ещё до попадания на WAF
    В основном атаки на веб-приложения выполняются с помощью ботов и скриптов. Такой трафик отсеивается Web DDoS & Bot Protection ещё до того, как попадает в WAF. В результате до WAF доходят в основном ручные атаки, которых существенно меньше — то есть ниже риск пропустить вредоносный запрос и меньше объём событий, которые аналитикам приходится разбирать вручную.

  • Вся защита в одном контуре
    Защита от DDoS-атак и ботов находится в одной инфраструктуре с WAF. Это проще и надёжнее, чем собирать защиту из решений разных провайдеров: меньше сетевых переходов — меньше точек отказа и проще диагностика.

Стоимость

Модель тарификации зависит от того, какого провайдера вы выбрали. Итоговая стоимость определяется индивидуально. Отправьте заявку — мы сделаем коммерческое предложение.

Схема интеграции

WAF доступен тем, кто пользуется нашей облачной защитой — то есть схемой интеграции «проксирование». В ней трафик проксируется через облако, где происходит фильтрация, и на ваш ресурс передаются только легитимные запросы.

Остальные схемы не предполагают раскрытия SSL/TLS-сертификата. К сожалению, это делает работу WAF невозможной: трафик остаётся зашифрованным, и WAF не может его анализировать.

Управление WAF

После подключения создадим для вас личный кабинет у выбранного провайдера WAF. Там вы сможете:

  • Управлять политиками фильтрации

  • Смотреть логи атак

  • Отслеживать события безопасности

  • Пользоваться дополнительным функционалом

Полный набор возможностей зависит от выбранного провайдера WAF.

Сопровождение

Предоставляем два уровня сопровождения: базовую поддержку и платную услугу Managed WAF.

Базовая поддержка — это подключение и запуск WAF с дефолтными политиками защиты. Мы разворачиваем WAF, подключаем ваши ресурсы и следим за тем, чтобы сервис работал без сбоев.

Managed WAF — это услуга «WAF под ключ» в дополнение к базовой поддержке. Берём всю работу с WAF на себя: настраиваем и дорабатываем индивидуальные политики защиты, решаем возможные проблемы, при необходимости общаемся с вендором. От вас нужны только пожелания по защите, остальное сделаем мы.

Базовая поддержка Managed WAF

  • Подключаем ваши ресурсы к нужному WAF

  • Обеспечиваем работоспособность инфраструктуры WAF со своей стороны

  • Передаём вам доступы для самостоятельного управления WAF

  • Применяем стандартные политики безопасности, предустановленные вендором

В дополнение к базовой поддержке:

  • Настраиваем политики WAF, заточенные под особенности вашего приложения

  • Следим за срабатываниями WAF и корректируем политики при выявлении false positive

  • Дорабатываем политики по вашим пожеланиям

  • Добавляем кастомные правила по вашему запросу

  • Закрываем обнаруженные уязвимости с помощью правил WAF

  • Взаимодействуем с вендором WAF, когда возникает сложная или нестандартная проблема

  • Консультируем по принципам работы WAF

Подключить WAF

Отправьте заявку — мы подробно расскажем про WAF от каждого провайдера, подберём подходящего под ваши задачи и подключим WAF, а также в рамках Managed WAF возьмём на себя настройку и оперирование.