Przejdź na skróty do treści. | Przejdź do nawigacji

Sekcje
Narzędzia osobiste
Jesteś w: Start Edukacja Artykuły Najnowsze strategie ochrony aplikacji Web
 

Najnowsze strategie ochrony aplikacji Web

Ochrona aplikacji Web (m.in. portali Web, e-commerce, e-banking) jest zagadnieniem złożonym projektowo i technologicznie. Wymaga zastosowania środków bezpieczeństwa adekwatnych do rzeczywistych zagrożeń oraz regularnego audytowania portalu wraz z rozwojem oprogramowania. Wymagania w tym zakresie precyzują standardy bezpieczeństwa, m.in.: Payment Card Industry Data Security Standard (PCI DSS) oraz OWASP Application Security Verification Standard (ASVS). Podstawą bezpieczeństwa jest wybór właściwej strategii ochrony.

 

 

 

Twórcy aplikacji Web stosują wiele, dynamicznie rozwijanych technologii i środowisk developerskich, jak AJAX, SOAP, ASP, .NET, PHP, itd. Wraz z rozwojem tej klasy aplikacji pojawiły się dla nich specyficzne zagrożenia, m.in. Cross Site Scripting (XSS) i SQL-Injection. Konwencjonalne zabezpieczenia systemów informatycznych (firewall, IPS, UTM, AV, itp.) zapewniają efektywną ochronę przed typowymi atakami sieciowymi (np. exploity na serwis sieciowy i system operacyjny) oraz złośliwym kodem. Zabezpieczenia te mają jednak bardzo ograniczone możliwości w zakresie blokowania ataków specyficznych dla aplikacji Web. W praktyce ochrona aplikacji Web wymaga zastosowania zabezpieczeń klasy Web Application Firewall (WAF).


Przeczytaj artykuł nt. analizy skuteczności zabezpieczeń aplikacji Web

  

Występują dwie główne strategie ochrony aplikacji Web, obie oparte o firewalle aplikacyjne Web:

 

I. WAF jako dedykowana warstwa ochrony aplikacji Web

Strategia rozwijana jest m.in. przez Imperva. W wielu portalach biznesowych i innych aplikacjach Web (np. e-commerce, e-banking) razem z aplikacją Web ochrony wymaga także baza danych, z której korzysta aplikacja. Rozwiązanie Imperva w jednej platformie dostarcza dedykowane zabezpieczenia SecureSphere Web Application Firewall (WAF) i SecureSphere Database Firewall (DBF). Całość zabezpieczeń aplikacji Web i baz danych zarządzana jest z dedykowanego tylko do tego celu systemu SecureSphere MX Management Server, wyposażonego w rozbudowane narzędzia monitorowania i raportowania. Koncepcja wdrożenia zabezpieczeń Imperva została przedstawiona na poniższym rysunku.

 

 

II. WAF jako zintegrowany element infrastruktury sieciowej

Strategia rozwijana jest m.in. przez F5 Networks. Moduł Application Security Manager (ASM) dedykowany do ochrony aplikacji Web może działać na zintegrowanej platformie F5 BIG-IP, zapewniającej także zwiększenie wydajności, optymalizację i ochronę aplikacji przed awariami (load balancing), sprzętową obsługę operacji kryptograficznych (SSL offload), akcelerację  Web oraz ochronę przed sieciowymi i aplikacyjnymi atakami D/DoS. Koncepcja wdrożenia zabezpieczeń F5 ASM została przedstawiona na poniższym rysunku.

 

Audyt bezpieczeństwa aplikacji Web także wymaga odpowiedniego podejścia. Zastosowanie narzędzi automatycznych (tzw. skanerów Vulnerability Assessment) w przypadku aplikacji Web nie jest wystarczające i w praktyce umożliwia wykrycie tylko niewielkiej liczby błędów. Aplikacje Web tworzone są zwykle na zamówienie firm w celu spełnienia ich indywidualnych wymagań biznesowych. W efekcie pisane na zamówienie aplikacje Web posiadają unikalne podatności, szczególnie odnoszące się do błędów logiki biznesowej.

 

Przeczytaj nt. audytów bezpieczeństwa wykonywanych przez Dział Usług Profesjonalnych CLICO

 

Ośrodek edukacyjny CLICO oferuje szkolenie eksperckie poświęcone tematyce projektowania i dostrajania polityki zabezpieczeń Intrusion Prevention System i Web Application Firewall. Więcej informacji na temat szkolenia można znaleźć na stronie:

http://szkolenia.clico.pl/szkolenia/szkolenia-eksperckie/ex03

 

 

 

 

Ten serwis wykorzystuje tzw. pliki cookies (ciasteczka) w celu zapewnienia poprawnego funkcjonowania oraz wygody korzystania z jego mechanizmów. Dotyczy to celów: statystycznych (zbieranie informacji o odwiedzanych stronach, używanej przeglądarce, systemie operacyjnym); realizacji usług i funkcjonowania serwisu (utrzymywanie na serwerze tzw. "sesji" i odwołanie do wybranego języka po zalogowaniu się do serwisu); przystosowania serwisu do indywidualnych potrzeb. Zaznaczamy, że można określić warunki przechowywania lub dostępu do plików cookies w używanej przeglądarce. Zmiana ustawień może jednak uniemożliwić korzystanie z niektórych elementów serwisu lub wprowadzić irytację związaną z koniecznością wielokrotnego wyboru trybu pracy. Jeżeli wyrażasz zgodę na umieszczenie „ciasteczek” w pamięci Twojej stacji roboczej kontynuuj używanie przeglądarki bez zmiany jej ustawień.
Dziękujemy

Zamknij