Журнал "Information Security/ Информационная безопасность" #1, 2025

Большинство современ- ных приложений не просто создаются с использовани- ем API, а проектируются в парадигме "API First". Современные веб-прило- жения и API находятся в состоянии постоянного изменения. В таких усло- виях традиционные WAF, требующие ручной настрой- ки и разработки правил, не могут за ними угнаться. API, то есть интер- фейсы прикладного про г раммирования , являются наиболее рас- пространенным спосо- бом взаимодействия приложений и служб друг с другом в современной ИТ- среде. Большинство современ- ных приложений не просто соз- даются с использованием API, а проектируются в парадигме "API First". То есть API разра- батываются в первую очередь, а затем и внутренняя бизнес- логика, и внешние интеграции реализуются с использованием API. Такой подход обеспечи- вает высокую степень модуль- ности, удобство интеграции с внешними сервисами и воз- можность многократного использования кода. Кроме того, он способствует ускорен- ной разработке, так как над клиентскими приложениями и серверными API могут парал- лельно работать различные команды. Поскольку API становятся все более распространенными и очень активно используются в микросервисных архитекту- рах, требуется дополнительная инфраструктура для обеспече- ния масштабируемости и без- опасности. В отличие от классических межсетевых экранов, WAAP – это узкоспециализированный инструмент безопасности, спе- циально разработанный для защиты веб-приложений и API, а также защиты от DDoS L7 и ботов. WAAP находится на внешней границе сети перед публичной стороной веб-прило- жения и анализирует входящий трафик, фокусируясь только на прикладном уровне модели OSI. Веб-приложения и API откры- ты со стороны сети Интернет. Решения WAAP защищают при- ложения от рисков, связанных с уязвимостями, зловредными ботами, автоматизированными атаками, отказом в обслужива- нии, мошенничеством и зло- употреблениями, а также небез- опасными интеграциями сто- ронних API. Вспомним про WAF Решения класса WAF являют- ся историческими предшествен- никами WAAP. WAF защищает веб-прило- жения, фильтруя, отслеживая и блокируя любой вредонос- ный трафик HTTP(S), посту- пающий в веб-приложение, и предотвращает выдачу несанкционированных дан- ных. WAF, как и обычный меж- сетевой экран, работает на основе набора политик, кото- рые позволяют определить, какой трафик является вре- доносным, а какой – безопас- ным. Как прокси-сервер дей- ствует в роли посредника для защиты пользователя, так и WAF работает аналогичным образом, но наоборот (назы- вается обратным прокси-сер- вером), выступая в качестве посредника, который защи- щает сервер веб-приложений от потенциально вредоносно- го клиента. WAF могут поставляться в виде программного обеспече- ния, устройства или предостав- ляться как услуга, что сейчас становится наиболее перспек- тивным решением. Политики можно настраивать в соответ- ствии с уникальными потреб- ностями веб-приложения или их набора. WAF требуют регу- лярного обновления политик для устранения новых уязвимо- стей. Однако подход, основанный только на правилах и сигнату- рах не всегда обеспечивает без- опасность приложений: веб-при- ложения постоянно подвергают- ся атакам, и эти угрозы очень часто меняются. Попытка защи- титься от них с помощью тра- диционных решений по обнару- жению на основе правил и сиг- натур – "прошлый век". К тому же, развитие гибких методоло- гий разработки и DevOps озна- чает, что современные веб-при- ложения и API находятся в состоянии постоянного изме- нения. В таких условиях тради- ционные WAF, требующие руч- ной настройки и разработки правил, не могут за ними угнаться. Отдельно стоит заметить, что WAF – это не NGFW и не IPS. Хотя все эти решения направ- лены на обеспечение безопас- ности, они выполняют разные функции. WAF фокусируются на защите веб-приложений и API на уровне L7. Он анали- зирует и фильтрует HTTP/S- запросы и обеспечивает более глубокую защиту именно для веб-приложений, чего не могут обеспечить NGFW и IPS. WAAP в облаках Решение WAAP представляет собой эволюцию рынка WAF в смежные области, в частности управление ботами, безопас- ность API и смягчение послед- ствий DDoS-атак. Если немного изучить рынок с учетом сложности настройки многих средств защиты, разме- щенных "на земле", найм высо- коклассных специалистов и т. п., 48 • СПЕЦПРОЕКТ Современные подходы к безопасности API и веб-приложений ббревиатура WAAP не нова на мировом рынке средств киберзащиты, но в России с ней только знакомятся, хотя достаточно быстро и успешно. Защита веб-приложений и API относится к интегрированному набору служб безопасности, которые работают вместе для снижения рисков безопасности в API и веб-приложениях, являясь развитием служб межсетевых экранов облачных веб-приложений. А Дмитрий Костров, заместитель генерального директора по информационной безопасности ДКБ IEK GROUP