Рассказываем о UserGate WAF, тестируем его, исследуем особенности использования.



Защита веб-приложений с каждым годом всё актуальнее. Растет число взломов крупных компаний и утечек чувствительных данных. Нужно ли говорить о том, как важно заботиться о безопасности веб-приложений, помнить о возможных атаках и их последствиях?

Неуклонно ужесточаются требования законодательства в сфере защиты персональных данных и данных, обрабатываемых в государственных информационных системах. Растущие угрозы и новые правила заставляют ответственнее подходить к выбору компонентов защиты инфраструктуры.

Я уже рассказывал о сертифицированном WAF и OpenAppSec — решении с открытым исходным кодом. Недавно российский вендор UserGate сообщил о старте продаж нового продукта — UserGate WAF. Сегодня мы рассмотрим его заявленные особенности, установим в облаке Selectel и спрячем за него защищаемое приложение. Поехали!

Несколько слов о UserGate WAF
Сначала будем отталкиваться от информации, предоставленной вендором.

UserGate WAF — это полностью оригинальное решение на основе собственного движка анализа веб-трафика, разработанное специалистами компании без привлечения компонентов с открытым исходным кодом. UserGate WAF имеет сертификат ФСТЭК № 3905, что позволяет использовать его при аттестациях по приказу № 17 ФСТЭК. Кроме того, он внесен в реестр Минцифры под номером 28542.

Решение защищает как веб-приложения, так и API. Анализ трафика на уровне L7 обеспечивают 11 тыс встроенных правил и вариаций, которые оказываются крайне полезными на практике. Также можно создавать и кастомные правила, учитывающие логику пользовательских приложений. Язык описания политик — UserGate Policy Language (UPL).

Под капотом у UserGate WAF собственная операционная система UGOS и модули анализа трафика. Начиная с версии 7.4, UserGate WAF появилось много новых возможностей:

• поддержка кластеризации;
• модуль защиты Malicious User-Agent (антибот);
• работа с заголовками: X-Forwarded-For, X-real-IP, X-request-ID;
• обновленный интерфейс.

По аналогии с NGFW, UserGate WAF поддерживает кластеры конфигурации и отказоустойчивости. Если нужно распределение нагрузки в сторону защищаемых приложений, можно использовать встроенный балансировщик с алгоритмом Round Robin.

UserGate WAF отдает логи об атаках в форматах JSON и CEF. Такая возможность полезна для интеграции с SIEM-решениями — она позволяет централизованно следить за состоянием защиты веб-приложения.

Если вы уже работали с UserGate NGFW в виртуальном исполнении UserGate VE, то процесс установки и настройки вам знаком. Порог входа окажется существенно ниже, и начать работать с WAF получится намного быстрее. Основные компоненты — сеть, зоны, Firewall, пользователи, мониторинг и интерфейс — не вызовут сложностей.

Мы привыкли, что в большинстве случаев решения с открытым исходным кодом выигрывают от коллективного вклада мирового сообщества, огромной базы знаний и тысяч готовых правил, доступных публично. Однако заявление производителя об отсутствии в основе WAF-движка open source-компонентов является важным конкурентным отличием и дает несколько преимуществ:

• более тесную и производительную интеграцию WAF с другими подсистемами собственной ОС UGOS;
• независимость от графика обновлений и уязвимостей в сторонних компонентах — например, как это произошло с прекращением поддержки ModSecurity;
• единую точку ответственности в лице вендора.

С другой стороны, это обязывает UserGate быстро реагировать на новые векторы атак и своевременное обновление сигнатур.

selectel.ru/blog/usergate-waf/