Обеспечение информационной безопасности информационных ресурсов с помощью межсетевых экранов для веб-приложений

Аннотация

Баранов Петр Александрович - кандидат технических наук, доцент кафедры инноваций и бизнеса в сфере информационных технологий, Национальный исследовательский университет «Высшая школа экономики»  
Адрес: 101000, г. Москва, ул. Мясницкая, д. 20.
E-mail: pbaranov@hse.ru

Бейбутов Эльдар Рафикович - студент магистратуры, факультет бизнеса и менеджмента, Национальный исследовательский университет «Высшая школа экономики» 
Адрес: 101000, г. Москва, ул. Мясницкая, д. 20.
E-mail: eldar.beybutov@gmail.com

      Данная работа содержит обзор основных технологий, реализуемых в относительно новых для рынка решений информационной безопасности продуктах – межсетевых экранах веб-приложений (веб-экранах). Веб-приложения представляют собой удобный и широко используемый способ предоставления доступа удаленных пользователей к корпоративным информационным ресурсам. Однако, сервер (серверы) веб-приложений может стать единой точкой отказа, таким образом, прерывая доступ легитимных пользователей к ресурсам информационной инфраструктуры организации. С целью создания инструмента противодействия злонамеренным попыткам доступа к защищаемым информационным ресурсам предприятия был разработан новый класс решений по защите информации – межсетевые экраны уровня приложений (веб-приложений).
      Веб-экраны работают на седьмом уровне модели ISO/OSI и представляют собой туннель, контролирующий и, при необходимости, модифицирующий трафик, направленный к серверу веб-приложений и от него. Для обеспечения эффективного мониторинга и обработки трафика с целью выявления злонамеренных действий веб-экраны снабжаются различными механизмами контроля «нормальности» передаваемых в рамках сессии связи данных. Такие механизмы включают проверки соответствия правилам протокола формирования сообщений, техники машинного обучения и статистические подходы, анализ сигнатур в проходящем трафике, а также более узконаправленные средства, такие как предотвращение реализации атак типа «отказ в обслуживании», инъекции XSS и CRRF-атаки. В условиях неоднородности политик информационной безопасности на предприятиях и невозможности охватить все допустимые ограничения, налагаемые правилами обмена данными, несомненно актуальной является возможность добавления пользовательских правил к тем, которые уже были реализованы производителем. Веб-экраны обладают инструментариями, позволяющими создавать правила разной степени подробности.
      Данное исследование основано на широком практическом опыте интеграции веб-экранов в существующие ландшафты информационной безопасности, их администрирования и настройки. С целью иллюстрации возможностей применения фильтрующих механизмов приводятся примеры их реализации в продуктах от ведущих игроков рынка решений информационной безопасности.