معرفی web application firewall و Net Scaler
پایه ریزان فناوری هوشمند ارایه کننده راهکارهای امنیتی جامع به منظور حفاظت از سازمانهای مدرن میباشد. در حال حاضر فراگیرترین مبحث در سازمانها درک قابلیتهای نرم افزارهای تحت وب محدودیت های آنها و تکنولوژیهای حفاظت از آنها است. راهکارهای سنتی حفاظت از شبکهها پاسخگوی نیازهای سازمان های در این زمینه نبوده و آنها را ملزم به بهره گیری از web application firewall به عنوان پایه امنیت و حفاظت قابلیت های تحت وب سازمانها، کرده است. به عنوان مثال اگرچه فایروالها سنتی و سیستم های حفاظت در برابر نفوذ، تهدیدات در سطح لایهای پایین OSI را شناسایی میکنند ولی قادر به شناسایی تهدیدات رو به رشدی که برنامههای تحت وب را مورد هدف قرار میدهند، نیستند. حتی next-generation firewalls) NGFW) نیزقادر به شناسایی بخش بحرانی این گونه از تهدیدات نیست.
مشکلات حفاظت از برنامههای تحت وب Web Application Firewall
دلایل متعددی در علل ریسکهای ایجاد شده توسط نرم افزارهای تحت وب در سازمانها وجود دارد، عمده ترین علت خطرات این نرم افزارها گسترش و نفوذ سریع آنها پیش ازتلاش های کافی در ارتباط با امنیت آن ها است، که این نرم افزارها را به هدفی برای هکرها تبدیل کرده است.
قابلیتهای فراگیر وب
امروزه شرکتها به شکل فزایندهای در حال خریداری و توسعه نرم افزارهای تحت وب هستند که این رشد روز افزون در هر دو بخش نرم افزارهای طراحی شده برای موبایل و نرم افزارها و سرویس های مورد استفاده در کامپیوترهای شخصی و ادرات مشاهده می شود. اگرچه چنین نرم افزارهایی به علت سهم عظیمی که در تولید درآمد شرکتها دارند بسیار مورد توجه قرار گرفتهاند ولی بی توجهی نسبت به خطرات ناشی از استفاده از آن در توسعه زنجیرههای مدیریت، مالی، منابع انسانی و توسعه تحقیقاتی شرکتها، هوشمندانه نخواهد بود. شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Net Scaler و سیتریکس را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید با توجه به توسعه نرم افزارهای تحت وب و استفاده کاربران داخل و خارج شبکه از آن، وظیفه تیمهای امنیتی شبکهها تامین امنیت در هر دو محیط لازم برای کاربران مختلف است. یکی دیگر از مسایل مهم پیش روی تیمهای امنیتی تنوع نرم افزارهای تحت وب مورد استفاده در سازمانها است، که ترکیب بی شمار نرم افزارهای تحت وب تجاری و یا سفارشی، تکنولوژیهای امنیتی که تنها از قابلیت های سیاست گذاری امنیتی و مکانیزم های شناسایی مبتنی بر پروتکلهای شبکه هستند، را در حفاظت کامل از شبکه ناکار آمد کرده است. بنابراین تامین کنندگان امنیت شبکه به ابزارهایی با قابلیت ارایه راهکارهایی با انعطاف پذیری بیشتر، امکان بازرسی و کنترل جزء به جزء و توانایی شناسایی و سازگاری با نرم افزارهای جدید، نیاز دارند.
نرم افزارهای تحت وب، مورد توجه هکرها
علاوه بر فراگیر شدن استفاده از نرم افزارهای تحت وب، ضعف های موجود در آن ها نیز یکی از دلایل گرایش هکرها به این نرم افزارها است، که این ریسکها ناشی از عوامل زیر است:
- پیچیدگی بالای بسیاری از قابلیتهای این نرم افزارها
- استفاده متداول از third-party libraries در نرم افزارهای تحت وب
- پیاده سازی متداول تکنولوژیها، قابلیتها و پروتکل های cutting-edge
- توسعه دهندگانی که تنها بر قابلیتها و سرعت ارایه به بازار بیش از ارتقا کد نویسی و کاهش آسیبها اهمیت میدهند.
بسیاری از نرم افزارهای تحت وب میزبان اطلاعات ارزشمندی چون اطلاعات حسابهای مشتریان، مشخصات اختصاصی محصولات، اطلاعات پزشکی و personally identifiable information) PII) هستند و در حقیقت با توجه به ریسک های موجود مدیران کسب و کارها می بایست احتمال چنین حملاتی را در نظر داشته باشند.
حفاظت از سرویسها
در بسیاری از چارچوب های مدل های قدیمی شبکه بسیاری از مسایل نادیده گرفته میشد که موجب ایجاد سردرگمی هایی میشود، زمانی که صحبت از Application layer یا همان لایه 7 مدل OSI است از دید تکنیکی صحبت از مجموعه پروتکل ها و سرویسهایی است که نرم افزارها جهت ارتباط با دیگران، تعیین دسترسی به منابع و تبادل اطلاعات به کار میبرند، این سردرگمی نتیجهای جز انبوه راهکارهای امنیتی ناکار آمد با عنوان حفاظت ازapplication-layer، نخواهد داشت، مشکل راه حلهای ارایه شده در پوشش ناکارآمدی از لایه Application را ارایه می دهند و بخشهای بالاتر این لایه مانند برنامه های کاربردی تجاری و … را پشتیبانی نمیکنند. سازمانها به منظور حفاظت کامل از قابلیتهای تحت وب خود به تکنولوژیهای امنیتی با توانایی ارایه حفاظت کامل در موارد زیر نیاز دارند:
- پوشش فیزیکی: ارایه حفاظت کامل در همه محیطهای داخل شبکه و خارج از آن
- پوشش کاربردی: ارایه سیاست گذاریهای امنیتی به شکل کنترل دسترسیهای جزء به جزء به همراه شناسایی و جلوگیری از تهدیدات
- پوشش منطقی: ارایه حفاظت امنیتی در طول تمام لایه های پردازش Stack، از لایه Network تا پروتکلها و سرویسهای لایههای زیرساخت برنامه ها، برنامههای کاربردی تجاری و حتی داده
ارایه پوشش کامل امنیتی مشابه آنچه اشاره شد مستلزم استقرار سیستم های امنیتی فراتر از فایروال های معمولی و intrusion prevention systems) IPSs) است.
فناوریهای امنیتی موجود در شبکه
فناوری های امنیتی شبکه ها نقش مهمی در حفاظت از قابلیتهای تحت وب دارند، با این وجود درک این موضوع که هیچ یک از این تکنولوژیها به تنهایی قادر به ارایه حفاظت کامل امنیتی نیست، اهمیت فراوانی دارد.
فایروالهای شبکه
فایروالهای معمولی براساس لیست کنترل دسترسی و اعمال سیاست گذاریهای امنیتی کار میکنند و فایروالهای Stateful قابلیت بررسی داینامیک ترافیک خروجی و ورودی را دارند.با این حال: چون فایروالهای معمولی براساس مشخصات لایههای شبکه (پورت و پروتکل و IP مبدا و مقصد کار میکنند)، کنترل دسترسی آن ها به صورت جزء به جزء عمل نخواهد کرد، در نتیجه فایروال قدرت تمایز میان نرم افزارهای مجزای استفاده کننده از آن پورت و پروتکل را نخواهد داشت (مانند مجموعه عظیم نرم افزارهای تحت وب HTTP که از پورت 80 استفاده میکنند) این فایروالها مجهز به قابلیت تشخیص و جلوگیری تهدیدات نیستند و تنها حفاظت در برابر بدافزارها، حملات و سایر دسترسی های غیرمجاز براساس سیاست گذاری شبکه را دارند، به عنوان مثال اگر تهدیدی مبتنی بر یکی از پورتهای بسته شده بر مبنای سیاست گذاریهای شبکه باشد مسدود خواهد شد. در نتیجه فایروالهای شبکه به تنهایی قابلیت حفاظت از نرم افزارهای تحت وب را نخواهند داشت.
سیستم های IPS
به منظور دستیابی به قابلیت کنترل دسترسی تکنولوژی IPS بر شناسایی تهدیدها متمرکز شد. مبنای کار IPS بر شناسایی Signature بدافزارها، تهدیدات شناخته شده، پروتکل های مورد استفاده بدافزارها است. همچنین در اندک مواردی IPS لایه های بالاتر پردازش Stack همچون زیرساخت برنامه و برنامه های کاربردی تجاری را از طریق ارایه Signature تهدیدات مشهور، تحت پوشش قرار می دهد؛ با این وجود IPS نیز قابلیت پوشش گسترده تهدیدات را ندارد و به دلایل زیر به نوعی در نیمه راه قرار گرفته است:
- False negative با توجه به عدم دید کامل به برنامه ها نسبت تهدیدات لایه های بالاتر ناتوان خواهد بود (مانند زمانی که حملهای از طریق تغییر در فرایند پردازش یک نرم افزار صورت گرفته باشد).
- False positive با توجه به مجموعه وسیعی از Signature جمع آوری کرده است میتواند منجر به اعلام تعداد زیادی هشدار نادرست شود.
- با توجه قابلیت تشخیص و جلوگیری از تهدید، IPS مکمل ارزشمندی برای فایروالهای معمولی خواهد بود.
فایروالهای نسل بعد Next Generation Firewall
NGFW نسل جدیدی از فایروالها است که قابلیتهای فایروال و IPS را به صورت همزمان دارد، که از روش شناسایی هویت کاربر و نرم افزار جهت کنترل دسترسیهای ورودی و خروجی از شبکه استفاده میکند. با وجود قابلیت های فراوان آنها، هنوز هم به علت عدم وجود application awareness حفاظت مناسبی نسبت به نرم افزارهای تحت وب ارایه نمی دهد. application awareness تکنیکی است که به رمزگشایی پروتکلهای برنامه ها و شناسایی Signature برنامهها به ویژههای زیرساخت برنامه و business apps می پردازد، همچنین این قابلیت امکان کنترل دقیق دسترسیها و اعمال سیاست گذاری به صورت جداگانه بر تک تک نرم افزارهایی که از یک پورت و پروتکل بهره میبرند، را دارد. application awareness پیش نیاز امکان شناسایی جداگانه تهدیدات در لایه بالاست، application fluency ( امکان شناسایی و مدیریت نرم افزارها و شبکه را همزمان داشته و با تغییرات و نوسانات شبکه سازگار است.) نگاه عمیق تری نسبت به برنامههای تحت حفاظت فراهم میکند که شامل بررسی ورودی ها معتبر و نحوه کارکرد برنامه است. در پایان با وجود قابلیت های پیشرفته کنترل دسترسیها که توسط NGFW فراهم شده است ولی هنوز هم پوشش کاملی نسبت به تمام بخشهای در معرض خطر نرم افزارهای تحت وب فراهم نشده است.
web application firewall
web application firewall) WAF) امکان حفاظت از تهدیدات مربوط به بالاترین لایه پردازش Stack را فراهم می آورد. فرآیند های Automated learning به وسیله قابلیت اعمال سیاست گذاری های مناسب تکمیل شده و درک کاملی نسبت به عملکرد هریک از نرم افزارهای تحت وب و همچنین تمام ویژگی های سفارشی آنها فراهم میآورند، زمانی که ترافیک مخربی شناسایی شد به صورت خودکار با توجه به سیاست گذاریهای اعمال شده در موضع مناسب قرار داده میشود. در مقایسه با سایر تکنولوژیهای مطرح شده WAFs قابلیتهای منحصر به فردی چون موارد ذیل را دارا است:
- ورودیها را بررسی و تایید، در نتیجه SQL injection مشکوک، Cross-site scripting) XSS) و حملههای Directory traversal (یک نوع حمله مبتنی بر HTTP است که به هکرها امکان اجازه دسترسی به دایرکتوریهای محدود شده و اعمال دستورات لازم را می دهد.) را متوقف میکند.
- شناسایی حملههای مبتنی بر cookie، session و parameter tampering (یک نوع حمله مبتنی بر وب است که براساس پارامترهای خاصی چون URL و یا اطلاعات Form field و … صورت میگیرد.)
- مسدود کردن حملههایی که قابلیت های وب را در معرض خطر قرار میدهد.
- جلوگیری از بهره برداری از اطلاعات حساس از طریق object-level identification
- شناسایی کامل ترافیک SSL رمزگذاری شده
- جلوگیری از تهدیداتی که با استفاده از نقاط ضعف منطقی در برنامههای کسب و کار سفارشی کار میکنند
- جلوگیری از حملات Distributed Denial of Service) DDoS)
- پنهان کردن بخشهایی از پاسخ سرورها که می تواند مورد استفاده هکرها قرار بگیرد
- ارایه حفاظت کامل XML شامل شناسایی و تایید الگو برای (SOAP ( Simple Object Access Protocol با استفاده از این پروتکل به ارسال و تبادل پیامهایی از جنس اکسامال بر روی شبکههای رایانهای مبادرت کرد)
- و XPath (زبان مسیر اکسامال، برای انتخاب گرهها از سند اکسامال است.)
- همچنین شناسایی و بلوکه سازی پیوستهای XML حاوی محتوای مخرب
- مطابقت با الزامات PCI DSS ی (Payment Card Industry Data Security Standard یک استاندارد امنیتی برای سازمانهایی است که با برندهای مختلف کارتهای اعتباری در ارتباط هستند.) نسخه 6.6
- WAF ها پیشرو در بازار همچون NetScaler AppFirewall علاوه بر موارد فوق شامل قوانین کنترل دسترسی و ابزارهای مبتنی بر signature برای شناسایی تهدیدات هستند.
- تجیمع تکنولوژی های امنیتی
جدول-1 مقایسه کلی تکنولوژی های امنیتی مورد بحث را ارایه میدهد.
NetScaler AppFirewall
قابلیتهای امنیتی منحصر به فرد WAF در حفاظت از نرم افزارهای تحت وب آن را به یک جزو الزامی در معماری امنیت سازمانها تبدیل کرده است. با استفاده از استقرار یک مدل امنیتی ترکیبی و تحیلیل دو سویه ترافیک، شامل رمز گذاری ارتباطات SSL، NetScaler AppFirewall طیف گستردهای از تهدیدات امنیتی را بدون نیاز به هیچ تغییری در برنامهها خنثی میکند.
در ادامه به بررسی ویژگی های کلیدی NetScaler AppFirewall:
مدل امنیتی ترکیبی
برای جلوگیری از تهدیدات جدید، مدل سیاست گذاری مثبت که قابلیت تشخیص تعاملات مجاز کاربر و نرم افزارها را دارد به طور خودکار ترافیک غیرمجاز را تشخیص و بلوکه میکند، به عنوان یک مکمل به همراه مدل منفی که از Signature تهدیدات شناخته شده برای مسدود سازی آن بهره میبرد، استفاده می شود.
حفاظت XML
NetScaler AppFirewall نه تنها تهدیدات شناخته شده مبتنی بر XML را مسدود می کند بلکه قابلیتهای چون اعتبارسنجی Scheme و مقابله به تهدیدات DoS را نیز دارد.
حفاظت پیشرفته در مقابل المان های داینامیک
ارایه حفاظت session-aware در مقابل المان های پویایی چون cookies، form fields و URL و همچنین حملاتی که ارتباط امن میان کلاینت و سرور مورد هدف قرار می دهند.
- سیاست گذاری امنیتی مناسب advanced learning engine به صورت خودکار رفتار مورد انتظار از نرم افزارهای تحت وب را مورد بررسی قرار داده و توصیه های مناسب جهت اعمال سیاست گذاریهای امنیتی را ارایه میدهد، که مدیران امنیتی شبکهها را در اعمال سیاست گذاریهای امنیتی یاری میکند.
- تضمین سازگاری کامل NetScaler AppFirewall سازمان ها را قادر به تامین الزامات امنیتی مورد نیازشان همچون PCI DSS میکند، همچنین گزارش کاملی از تمام سیاست گذاری های مرتبط با تعهدات PCI را ارایه میدهد.
- عملکرد رویکرد فوق راهکار امنیتی حفاظت نرم افزارهای تحت وب با بالاترین کارایی در صنعت که قابلیت ارایه 12Gbps حفاظت کامل بدون کاهش در زمان پاسخ دهی نرم افزارها را دارد، ارایه می دهد.
- قابلیت منحصر به فرد NetScaler AppFirewall امکان استقرار آن به صورت به جزو داخلی بستر نرم افزار NetScaler را فراهم کرده است،
- که موجب ارتقا بهره وری عملکرد برنامههای تحت وب (به علت سرعت بالاتر و قابلیت کاهش بار سرور) و قابلیت اطمینان بیشتر ( با توجه به توازن بار سرور، امکان پایش ساده تر و قابلیتهای site-level failover وجود دارد) خواهد شد.
- در نهایت یک راهکار ایده آل به منظور حفاظت از برنامه های تحت وب با کارایی بسیار مناسب توسط NetScaler AppFirewall فراهم شده است.