Журнал "Information Security/ Информационная безопасность" #1, 2025

Решения WAAP должны самостоятельно обучаться, чтобы адаптироваться к изменениям в приложе- ниях, которые они защи- щают, и угрозам, с которы- ми они сталкиваются. Нет никаких сомнений, что будущее ИТ-инфра- структуры неразрывно свя- зано с облачными реше- ниями. Использование API- шлюза вместе с решением WAAP может обеспечить дополнительные уровни без- опасности, эти решения дополняют друг друга. все большее число заказчиков склоняются к применению облачной платформы WAAP как услуги. При выборе приходится смот- реть, как решение WAAP защи- щает веб-приложения от широ- кого спектра атак, не требуя при этом большого ухода и практического управления. Важные возможности, кото- рые требуются решению WAAP для достижения необходимой и достаточной защиты, вклю- чают следующий неисчерпы- вающий список: 1. Решения WAAP должны самостоятельно обучаться, чтобы адаптироваться к изме- нениям в приложениях, которые они защищают, и угрозам, с которыми они сталкиваются. Для этого требуется встроенная автоматизация. 2. Защита API и микросерви- сов: многие решения веб-без- опасности фокусируются на защите веб-приложений, но API и микросервисы становятся все более частой целью атак. Реше- ние WAAP должно обеспечивать комплексную защиту всего веб- присутствия организации. 3. Межсетевой экран веб-при- ложений следующего поколения (NGWAF): традиционные WAF на основе сигнатур невоспри- имчивы к атакам нулевого дня. NGWAF объединяет дополни- тельные возможности безопас- ности для защиты от более широкого спектра угроз. 4. Самозащита приложений во время выполнения (RASP), которая обеспечивает персо- нализированную защиту при- ложений, отслеживая их входы, выходы и поведение на пред- мет аномалий. Все это позво- ляет решениям RASP обнару- живать даже атаки нулевого дня на веб-приложения или API. 5. Защита от вредоносных ботов. Вредоносные боты выполняют автоматизирован- ные атаки на веб-приложения: например разведку, подстанов- ку учетных сведений и сбор данных. Возможность каче- ственно, с минимальным уров- нем ложноположительных сра- батываний различать вредонос- ных ботов и пользователей- людей имеет важное значение для баланса между удобством использования приложения и безопасностью. 6. Защита от атак отказ в обслуживании (DDoS): DDoS- атаки представляют собой воз- росшую угрозу, поскольку рост Интернета вещей (IoT) и облач- ных вычислений предоставляет киберпреступникам доступ к дешевой вычислительной мощности. Защита от DDoS необходима в решении WAAP для обеспечения доступности веб-приложений и API органи- зации. 7. Ограничение скорости: оно необходимо для того, чтобы злоумышленники не потребля- ли ценные вычислительные ресурсы. Нет никаких сомнений, что будущее ИТ-инфраструктуры неразрывно связано с облач- ными решениями. Конечно, если у вас есть возможность содержать команду высоко- классных специалистов и вы располагаете практически неограниченным бюджетом, можно развернуть всю необхо- димую инфраструктуру на собственных серверах. Но для большинства организаций облачные технологии становят- ся не просто удобной альтерна- тивой, а стратегическим выбо- ром, позволяющим сосредото- читься на развитии бизнеса, а не на обслуживании ИТ- инфраструктуры. API в микросервисной архитектуре В приложениях на основе микросервисов предумотрен специальный шлюз API, он дей- ствует как единая точка входа в систему и отвечает за марш- рутизацию запросов, их состав- ление и применение политик. Он принимает API-запросы извне и диспетчеризирует их в соответствующую внутрен- нюю службу или несколько внутренних служб, объединяя результаты. API-шлюзы также имеют встроенные функции безопасности для защиты от распространенных угроз, вклю- чая управление контролем доступа, аутентификацией и авторизацией для API. В микросервисной архитек- туре API-шлюз может быть развернут перед кластером Kubernetes в качестве балан- сировщика нагрузки (уровень нескольких кластеров), на его границе в качестве контрол- лера Ingress (уровень класте- ра) или внутри него в качестве сервисной сети (уровень обслуживания). Для разверты- ваний API-шлюзов на границе и внутри кластера лучше всего использовать собственный инструмент Kubernetes в каче- стве API-шлюза. Такие инстру- менты тесно интегрированы с API Kubernetes, поддерживают YAML и могут быть настроены через стандартный CLI. Использование API-шлюза вместе с решением WAAP может обеспечить дополнитель- ные уровни безопасности, эти решения дополняют друг друга. Например, шлюз API фокуси- руется в первую очередь на управлении и обеспечении доступа к API, в то время как решение WAAP защищает веб- приложения и API от широкого спектра угроз безопасности, включая уязвимости OWASP Top 10, L7 DDoS-атаки и трафик ботов, а также предлагает ана- лиз угроз и обнаружение ано- малий на основе шаблонов поведения. Западные компании, такие как Imperva, Check Point Soft- ware, F5, Wallarm, Akamai уже предоставляют интересные решения под названием WAAP, учитывая возможности API- шлюзов. Заключение Решения WAAP представляют собой не просто эволюцию тра- диционных средств защиты, но и новый стандарт для обеспече- ния безопасности веб-приложе- ний и API в условиях быстро меняющихся технологий и угроз. В мире, где микросервисы, API и облачные архитектуры стано- вятся неотъемлемой частью ИТ- инфраструктуры, защита на уровне приложений выходит на первый план. WAAP не только защищает от классических угроз, таких как SQL-инъекции или XSS, но и справляется с новыми вызовами, включая атаки ботов, DDoS на уровне прило- жений и сложные угрозы, свя- занные с API. В отличие от устаревших решений, WAAP предлагает гибкость, автома- тизацию и масштабируемость, что делает его полезным инструментом для современ- ных организаций. Важно пом- нить, что безопасное прило- жение – это не просто резуль- тат внедрения технологии, а часть стратегии, направлен- ной на минимизацию рисков и обеспечение бесперебойной работы бизнеса. l • 49 Защита API www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru