Kami menyempurnakan solusi beberapa kali: kami mempelajari vektor serangan dan perilaku penyerang dengan lebih baik, menambahkan dan mengonfigurasi pertahanan baru, meningkatkan aturan interaksi klien. Saya akan memberi tahu Anda bagaimana layanan kami dikembangkan berdasarkan FortiWeb dan apa yang perlu Anda jaga untuk melindungi aplikasi web Anda.
Latar belakang layanan
Untuk situs kami sendiri, kami pernah memilih FortiWeb dari Fortinet, kami sudah tahu seluk-beluk bekerja dengannya. Di depan mata saya adalah pengalaman WAF-as-a-service di cloud di Fortinet.
Di Barat, model swalayan tersebar luas untuk WAF. Klien diberi instance khusus untuk konfigurasi mandiri di cloud yang diinginkan (AWS, Azure, dan GCP), tentu saja, bukan di Federasi Rusia. Model ini memiliki kesulitan tersendiri:
- Seorang spesialis keamanan informasi sisi klien harus sangat memahami fitur keamanan aplikasi web.
- Spesialis klien perlu mengetahui kapabilitas dan pengaturan WAF tertentu untuk membuat profil perlindungan. Dengan cara yang bersahabat, bekerja dengan WAF membutuhkan insinyur terpisah untuk terus-menerus membuat perubahan pada pengaturan.
- Dia perlu terus-menerus berinteraksi dengan pengembang situs dan memutuskan kerentanan mana yang akan ditutup di WAF, yang akan diperbaiki dalam kode itu sendiri. Namun, WAF masih merupakan tindakan penyeimbang, dan beberapa masalah sebaiknya ditangani di tingkat pengembangan .
Perusahaan besar dengan staf besar dapat mengatasi ketiga poin ini. Kami ingin mempertimbangkan permintaan bisnis yang lebih kecil. Klien ini ditawari layanan siap pakai yang dikelola oleh teknisi kami. Mereka mulai mengumpulkannya dari isu-isu arsitektur.
Layanan ditempatkan di cloud yang sesuai dengan PCI DSS. Sertifikat ini penting untuk situs yang bekerja dengan data pembayaran: pengecer, penyedia layanan, perusahaan pemrosesan.
Layanan WAF juga masuk ke dalam cakupan PCI DSS.
Toleransi kesalahan layanan telah dipertimbangkan secara terpisah. Untuk FortiWeb, vendor telah menyediakan beberapa opsi cluster. Kami menguji berbagai metode sinkronisasi sesi dan menetapkan mode Cadangan Aktif: satu mesin virtual FortiWeb tetap menjadi yang utama dan menurunkan sebagian lalu lintas ke yang kedua. Dalam kasus ini, ketika node jatuh, layanan tidak tersedia selama lebih dari 10 detik. Mengonfigurasi lokasi mesin agar selalu aktif di host yang berbeda.
Kemudian kami menyelesaikan masalah dengan pemisahan klien di cloud. FortiWeb tidak mendukung multi-tenancy: kami tidak dapat membagi WAF ke dalam domain, seperti yang kami lakukandengan NGFW-as-a-Service kami didukung oleh FortiGate. Yang tersisa adalah pemisahan kebijakan. Jika kita meninggalkan kebijakan seperti itu pada belas kasihan pelanggan, ada risiko mempengaruhi tetangga kita. Oleh karena itu, teknisi IS kami yang bertanggung jawab untuk layanan membuat situs klien untuk WAF sendiri dan memantau pengaturan layanan. Dan untuk klien kami menyediakan alat terpisah dengan pelaporan dan statistik.
Oleh karena itu, layanan itu sendiri tidak terbatas hanya pada WAF, kami menambahkannya:
- Pemindai kerentanan Qualys,
- Perlindungan DDoS dari Qrator,
- ELK untuk pengumpulan statistik, visualisasi dan analisis data.
Saya akan memberi tahu Anda lebih banyak tentang setiap komponen.
Kami memindai situs untuk mencari kerentanan
Untuk mencari kerentanan dalam kode situs, kami menambahkan Qualys, solusi untuk memindai dan menganalisis keamanan aplikasi web. Kami telah menerapkan layanan pemindaian kerentanan terpisah, tetap mengkonfigurasinya untuk bekerja sama dengan WAF.
Untuk pertama kalinya, kami meluncurkan pemindai sebelum menyiapkan situs untuk WAF dan mengirimkan laporannya ke pengembang aplikasi. Hanya setelah itu kami menutup kerentanan di WAF yang tidak dapat dihilangkan di level kode.
Selanjutnya, kami menyiapkan pemindaian bulanan dan mengirim laporan ke klien. Dan untuk kedepannya kami sedang menguji skema dimana laporan tersebut akan langsung diupload langsung ke FortiWeb.
Memahami pembersihan lalu lintas
FortiWeb melindungi dengan baik terhadap serangan lapisan aplikasi, misalnya: jika aplikasi web akan diserang dengan permintaan GET dalam jumlah besar, DoS-Protection di WAF akan membantu. Tetapi selain itu, Anda memerlukan solusi terpisah untuk serangan DDoS di bawah level tersebut, misalnya, SYN-flood. Beberapa klien memiliki anti-DDoS sendiri, yang kami integrasikan dengan layanan WAF kami. Tapi ini kasus yang agak khusus.
Untuk kasus lain, layanan memiliki Qrator.Ingress - solusi untuk melindungi infrastruktur dari serangan DDoS. Ini melindungi tautan L2 ke L4, menganalisis dan membersihkan lalu lintas.
Kami membuat koneksi 10 Gigabit dengan Qrator untuk mengirim lalu lintas yang sudah dibersihkan ke WAF melalui saluran aman. Skema layanan sekarang terlihat seperti ini:
Infrastruktur klien dapat hidup di mana saja, di hosting apa pun. Setelah menyiapkan situs untuk WAF, hanya lalu lintas yang diperiksa oleh layanan yang dikirim ke hosting ini. Berikut diagram yang disederhanakan tentang cara kerjanya:
- Kami memiliki subnet "putih" yang kami iklankan ke saluran dengan Qrator.
- Kami mengalokasikan 1 alamat IP baru ke klien dari subnet ini.
- Di WAF, kami membuat Kebijakan Server dan kebijakan perutean Konten HTTP untuk situs tersebut, menambahkan nama domain di sana dan menunjukkan ke mana harus mengirimnya.
- FortiWEB menghentikan koneksi TLS dengan sendirinya, jadi kami memuat rantai sertifikat di atasnya.
- Kemudian kami meminta klien untuk mengubah data DNS situs dan menentukan alamat IP dari jaringan Qrator untuk nama domain yang diperlukan.
Apa intinya? Saat pengguna meluncurkan browser dan mengakses sumber daya yang dilindungi WAF, lalu lintas DNS mereka pertama-tama dirutekan ke pusat pembersihan di Qrator. Lalu lalu lintas menuju WAF melalui saluran aman. Dan hanya setelah verifikasi, pengguna mendapatkan akses ke server web klien. Begini keseluruhan caranya:
Tetapi bahkan jika situs tersebut dimulai untuk WAF, itu tidak berarti bahwa situs itu dilindungi. Anda perlu mengkonfigurasi Profil Perlindungan Web - seperangkat aturan dan pengaturan perlindungan untuk situs. Ini dilakukan secara terpisah untuk setiap klien.
Situasi dengan serangan sedemikian rupa sehingga Anda tidak dapat membuat profil sekali dan Anda tidak dapat melupakannya. Oleh karena itu, kami menganalisis situasi di setiap situs dan meningkatkan perlindungan: kami menambahkan mekanisme keamanan baru, menyesuaikan profil sehingga tidak ada kesalahan palsu. Untuk konfigurasi awal, kami menggunakan informasi yang kami terima dari pemindai kerentanan Qualys.
Bekerja dalam tim: mempelajari serangan dengan klien
Administrasi layanan oleh teknisi kami mencakup pengaturan kebijakan dan, jika perlu, memblokir serangan secara manual. Ini adalah tanggung jawab spesialis FortiWeb yang memahami nuansa melindungi situs web. Tetapi pada saat yang sama, teknisi kami tidak dapat mengetahui semua logika aplikasi klien. Jika kami segera memblokir aktivitas yang mencurigakan, kami mungkin secara tidak sengaja memblokir pengguna yang sah. Jadi kami bekerja sama dengan spesialis klien dan mengembangkan strategi bersama untuk mengusir serangan.
Di antara klien ada perusahaan tanpa TI besar dan departemen keamanan informasi. Pengembangan aplikasi untuk mereka sering dilakukan oleh agen outsourcing, sehingga membutuhkan waktu untuk memperbaiki kerentanan dalam kode. Di WAF, Anda dapat menawarkan solusi dan dengan cepat menetralkan serangan yang muncul. Dalam hal ini, kami telah mengembangkan peraturan dan menentukan kapan harus mempertimbangkan situasi kritis dan segera mengambil tindakan, dan kapan harus menyepakati kunci dengan klien.
Pemantauan dalam hubungannya dengan ELK membantu kami melacak situasi kritis. Terakhir kali kami sudah berbicara tentang cara kerjanya secara teknis. ELK memungkinkan kami mengelola informasi keamanan tanpa menambahkan sistem SIEM (Informasi keamanan dan manajemen acara) yang mahal ke layanan.
Saat memantau, kami menyiapkan peringatan untuk tanggapan segera. Dukungan baris pertama bekerja sepanjang waktu, setelah pemberitahuan segera mengevaluasi situasi sesuai dengan peraturan dan bertindak pada levelnya sendiri, atau mentransfer insiden tersebut ke teknisi keamanan.
Jika klien sendiri siap untuk memantau pekerjaan WAF, kami memberinya akses ke sistem analisis berdasarkan ELK. Dalam solusi ini, kami menyiapkan izin untuk indeks tertentu. Klien akan mengelola analitik dan laporan tanpa memengaruhi WAF itu sendiri.
Apa intinya, dan bagaimana itu akan berkembang lebih jauh
Hasilnya, kami memiliki solusi komprehensif untuk melindungi aplikasi web. Selain perlindungan menggunakan WAF, kami dapat mengonfigurasi balancing server web, caching, pengalihan dan, dengan demikian, membongkar situs utama.
Untuk masa depan, kami telah memberikan margin untuk penskalaan. Untuk penyeimbangan, mari hubungkan FortiADC - pengontrol untuk pengiriman aplikasi dan penyeimbangan beban dalam sistem berperforma tinggi. Ini mendukung pembongkaran SSL server dan meningkatkan kinerja aplikasi web.
Layanan ini dibebankan berdasarkan bandwidth dan cocok untuk situs yang tidak terlalu berat. Jika klien memiliki lalu lintas gigabit, kami tidak menawarkan layanan cloud, tetapi solusi pribadi. Untuk membuat layanan transparan bagi pelanggan, kami berencana untuk menampilkan data WAF di akun pribadi mereka.
Jika Anda tertarik untuk mengetahui detailnya, saya akan dengan senang hati menjawab pertanyaan Anda di kolom komentar. Atau daftar ke seminar WAF pada 26 November - akan ada kesempatan untuk mengajukan pertanyaan tidak hanya kepada kami, tetapi juga kepada spesialis teknis dari Qualys, Fortinet, dan Qrator.