Веб-приложения и API все чаще подвергаются кибератакам, последствия которых могут быть фатальны для компании. Поэтому вопрос использования WAF и API Firewall становится еще актуальнее. Как сочетать эти решения, чем они отличаются и почему они эффективны именно в тандеме – разберем в данной статье.
- Введение
- Что умеет WAF
- Что умеет API Firewall
- Основные различия WAF и API Firewall
- Как выбрать эффективное решение для защиты
- 5.1. Негативная модель
- 5.2. Позитивная модель
- Выводы
Введение
Веб-приложения и API (Application Programming Interface) сегодня играют ключевую роль в цифровом бизнесе, обеспечивая взаимодействие с клиентами и партнерами, обмен данными внутри организации и выполнение критически важных бизнес-задач. И, естественно, они всё чаще становятся объектом внимания злоумышленников. Так, за последние 2 года количество атак на веб-приложения выросло на 50% (данные на основе анализа попыток веб-атак, зафиксированных платформой «Вебмониторэкс»).
Хакеры стремятся воспользоваться уязвимостями для проведения таких атак, как SQL-инъекции, межсайтовый скриптинг (XSS), DDoS и злоупотребление возможностями API (неправильное использование, чрезмерные запросы и внедрение вредоносных данных). Все это может привести к потере важных данных, нарушению работы корпоративных сервисов, санкциям со стороны регуляторов и в итоге серьезно ударить по репутации и выручке компании.
Для защиты веб-приложений принято использовать Web Application Firewall (WAF), являющийся комплексным решением. Но последние годы наглядно показали, что одним «комбайном» все риски бизнеса, особенно крупного, закрыть невозможно. Все чаще злоумышленники целятся именно в API, а значит, для полноценной защиты нужны специализированные решения, учитывающие различные уровни угроз. А именно – API Firewall. Если сравнивать его и классический WAF, то каждый из них решает свои специфические задачи.
Разберём, что представляют собой эти инструменты, какие функции они выполняют, чем различаются и почему применение обоих решений является важным элементом современной стратегии безопасности.
Что умеет WAF
WAF предназначен для фильтрации и мониторинга входящего трафика к веб-приложениям. Его основная задача — предотвращение атак, направленных на эксплуатацию веб-уязвимостей. WAF анализирует запросы на наличие вредоносных данных и блокирует подозрительные попытки доступа. Для усиления защиты применяются виртуальные патчи, которые позволяют мгновенно реагировать на угрозы, блокируя вредоносные запросы даже, если уязвимость еще не устранена в коде или отсутствуют актуальные обновления безопасности.
Основные функции WAF:
- Фильтрация HTTP-запросов на основе заранее настроенных правил.
- Обнаружение и блокировка атак на основе баз сигнатур или детектов.
- Противодействие массовым атакам и ботам.
- Ведение журнала событий для анализа активности и выявления аномалий.
Что умеет API Firewall
API Firewall — это специализированный инструмент для защиты интерфейсов прикладного программирования (API). Он обеспечивает безопасность взаимодействий между различными системами и приложениями через API. В зависимости от архитектуры, протоколов и области применения API бывают разных видов:
- REST (Representational State Transfer) — использует стандартные HTTP-методы и работает с ресурсами, представленными в формате JSON или XML;
- SOAP (Simple Object Access Protocol) — применяет XML для передачи данных и поддерживает строгую типизацию и сложные структуры данных;
- GraphQL — позволяет клиентам запрашивать только нужные данные, сокращая избыточность, и поддерживает единую конечную точку для всех запросов;
- gRPC (Google Remote Procedure Call) — высокопроизводительное решение, использующее бинарный протокол Protocol Buffers для сжатия и быстрой передачи данных;
- JSON-RPC — простой и легковесный протокол, использующий JSON для передачи данных и независимый от транспортного слоя (может работать поверх HTTP, WebSockets и т.д.).
API Firewall контролирует входящие запросы, проверяет их на соответствие установленным правилам и блокирует потенциально опасные действия.
Основные функции API Firewall:
- Аутентификация и авторизация всех запросов к API.
- Контроль частоты запросов для предотвращения злоупотреблений ресурсами сервера.
- Проверка входящих данных на наличие вредоносных инъекций и их фильтрация.
- Мониторинг и аудит активности API для обнаружения аномалий.
Основные различия WAF и API Firewall
|
Критерий сравнения |
WAF |
API Firewall |
|
Объект защиты |
Веб-приложения |
API |
|
Типы угроз |
Атаки уровня приложения (SQLi, XSS), |
Специфические угрозы API (неправильное использование, инъекции), |
|
Контекст использования |
HTTP/HTTPS трафик, WebSocket, gRPC и другие протоколы |
REST, GraphQL |
Помимо известных многим HTTP и HTTPS, современные веб-приложения и API используют и специализированные протоколы. Например, WebSocket, который позволяет устанавливать двунаправленное соединение между клиентом и сервером, обеспечивая передачу данных в реальном времени. Он используется в приложениях, где требуется быстрый обмен информацией (чаты, игровые приложения и финансовые сервисы).
Другой пример - gRPC, который идеально подходит для микросервисных архитектур благодаря своей производительности и поддержке двусторонней потоковой передачи данных. А GraphQL используется в сложных приложениях, которые передают большие объемы данных. При этом WebSocket, gRPC и GraphQL имеют свои уязвимости, которые могут быть использованы злоумышленниками. Защита этих протоколов становится важной задачей как для WAF, так и для API Firewall.
Почему важно использовать WAF и API Firewall вместе?
Важно понимать, что WAF и API Firewall — это не конкуренты, а дополняющие друг друга решения. Вместе они создают многоуровневую защиту, закрывающую различные типы уязвимостей. WAF оберегает веб-интерфейсы, в то время как API Firewall — API-сервисы от специфических угроз.
На практике это может выглядеть так: представьте себе сайт онлайн-магазина. WAF будет защищать клиентский интерфейс от SQL-инъекций и XSS-атак, а API Firewall обеспечит безопасность API, используемых для обработки заказов и обмена данными с платежными шлюзами.
Если ограничиться только WAF, API останутся уязвимыми, поскольку через них проходит значительная часть бизнес-операций. И наоборот, игнорирование защиты веб-приложений приведет к риску компрометации фронтенда, даже если API защищены.
Таким образом, комплексное применение WAF и API Firewall гарантирует всестороннюю защиту цифрового бизнеса от широкого спектра киберугроз и сохранность данных клиентов.
Как выбрать эффективное решение для защиты
Теоретическая составляющая необходимости как WAF, так и API Firewall сомнений не вызывает. Однако каждая инфраструктура, как и человек, уникальна, поэтому бизнесу важно правильно выбрать подходящий инструмент. И здесь одним из ключевых критериев является модель защиты: позитивная и негативная.
Негативная модель
Негативная модель основана на анализе всех входящих запросов и их сравнении с базой известных угрозах. То есть разрешено всё, кроме запрещенного. Этот метод широко используется в традиционных WAF-системах, для которых важно обеспечить защиту и при этом не допустить сбоев во взаимодействии пользователей с ресурсом.
У него есть свои преимущества:
- простота настройки и обслуживания – имея актуальную базу угроз, система сразу готова защищать любые ресурсы;
- эффективность при отражении распространенных угроз (например, SQL-инъекции, CSRF, XSS, DoS/DDoS, Bruteforce);
- возможность обнаружения поведенческих атак и атак на бизнес-логику приложения;
- противодействие новым угрозам (0-day), если данные о них оперативно добавлены в систему.
И недостатки:
- высокая нагрузка, вызванная проверкой всех входящих запросов, и, как следствие, неэффективное распределение ресурсов в случае поверхностной настройки;
- необходимость частого обновления базы угроз, чтобы не пропустить новые уязвимости и не допустить ложноположительных срабатываний.
Позитивная модель
Позитивная модель строится на анализе поведения легитимных пользователей и создании профиля нормального функционирования системы. Любое отклонение от заданных параметров считается подозрительным и блокируется. То есть запрещено всё, кроме разрешенного. Этот подход чаще встречается в API Firewall.
Преимущества:
- высокая точность определения угрозы за счет адаптации к особенностям конкретной системы;
- быстрая обработка запросов, и следовательно незначительные нагрузки на фильтрующие ноды и на время передачи запроса/ответа;
- отдельный настраиваемый профиль для каждого приложения.
Недостатки:
- риск блокировки легитимных пользователей или запросов в случае неправильной конфигурации или устаревших профилей;
- для защиты API по этой модели требуется актуальная спецификация OpenAPI (OAS — OpenAPI Specification), которая иногда может быть утеряна или неактуальна.
Выводы
Эффективная стратегия защиты сочетает WAF и API Firewall, учитывая особенности каждого инструмента. WAF отлично справляется с защитой внешнего интерфейса веб-приложений, а API Firewall специализируется на защите внутренних API, используемых для взаимодействия между сервисами.
Более того, по данным «Вебмониторэкс», 59% запросов к веб-приложениям приходят без авторизации, что говорит о высокой активности ботов, создающих шум вместо трафика с полезной нагрузкой. И большинство этого шума направлено на API. Если для защиты используется только WAF, его ресурсы будут расходоваться неэффективно. Но усиление защиты с помощью API Firewall, работающего в отличие от WAF по позитивной модели, позволит решить проблему перегрузки.
Используя оба решения, вы создаете многослойную систему безопасности, которая защищает ваши цифровые активы от большинства существующих угроз. А значит, сокращаете риски взломов, утечки ключевых данных, финансовых потерь и репутационных рисков для своей организации.
