Сертификат AM Test Lab
Номер сертификата: 518
Дата выдачи: 27.05.2025
Срок действия: 27.05.2030
- Введение
- Функциональные возможности «Континента Web»
- 2.1. TLS-шлюз
- 2.2. Модуль WAF
- Состав и интеграция «Континента Web»
- Системные требования и лицензирование «Континента Web»
- Сценарии использования «Континента Web»
- Выводы
Введение
Атаки на веб-приложения являются одним из самых популярных векторов компрометации данных и корпоративных инфраструктур со стороны злоумышленников. Для их реализации производится эксплуатация уязвимостей в веб-приложениях, атаки с использованием ошибок конфигурации, некорректных политик доступа и другие.
Теме защиты веб-приложений уделяется пристальное внимание и нашим изданием. В студии AM Live регулярно собираются ведущие российские эксперты с целью обмена опытом.
Компания «Код Безопасности» выделяет несколько проблем, возникающих в последнее время у заказчиков при защите веб-приложений. Эти проблемы заключаются в необходимости поддержки сайтов как на иностранной, так и на отечественной криптографии, усложнения веб-приложений, в т. ч. с целью защиты опубликованных ресурсов при переезде ИТ-инфраструктуры в «облака».
В конце 2024 года компания «Код Безопасности» провела опрос среди заказчиков о механизмах безопасности, требуемых для защиты публикуемых решений. В соответствии с итогами, приведенными ниже, видно, что требования рынка диктуют необходимость наличия механизмов разграничения доступа к веб-приложениям, которые, как правило, реализованы в системах класса «TLS-шлюз» и механизмов защиты веб-приложений от атак, реализованных в WAF.
Рисунок 1. Результаты опроса от компании «Код Безопасности»
Перед организациями встаёт задача обеспечить защищённый доступ к опубликованным веб-ресурсам. Для решения специалисты разработали «Континент Web» (TLS 2.7). Продукт предназначен для публикации веб-приложений через аутентификацию на шлюзе, защиты веб-приложений от атак, обеспечения защищенного удаленного доступа к корпоративным ресурсам (RA VPN), реализации защищенного доступа к интернет-порталам с шифрованием по ГОСТ и RSA / AES (SSL VPN).
Базой для создания «Континента Web» (TLS 2.7) стали предыдущие разработки компании: «Континент TLS» и «Континент WAF». Производитель объединил два продукта в одну систему расширяя области применения и, как следствие, увеличив универсальность появлению новых сценариев применения.
Функциональные возможности «Континента Web»
В связи с тем, что продукт сочетает в себе возможности как TLS-шлюза, так и WAF, рассмотрим его функциональные возможности через призму этих систем.
TLS-шлюз
TLS-шлюз может функционировать в нескольких режимах: HTTPS-прокси, TLS-туннелирования и портала приложения. Для обеспечения конфиденциальности передаваемых данных поддерживаются отечественные криптонаборы, соответствующие ГОСТ 34.12-2018 («Магма» и «Кузнечик»), ГОСТ 34.10-2012, ГОСТ 34.11-2012, а также зарубежные криптонаборы, соответствующие стандарту RSA.
Если у заказчика есть потребность масштабирования инфраструктуры, в составе TLS-шлюза есть балансировщик Round-Robin. Также, шлюз поддерживает интеграцию с Active Directory c целью проверки связок «логин — пароль», пользовательских сертификатов, хранящихся на защищенном токене или в операционной системе и возможностью обеспечения многофакторной аутентификации.
Отличительной особенностью шлюза является возможность предоставления доступа к конкретным приложениям, а не сетям.
Для подключения к опубликованным ресурсам пользователь может использовать браузер, либо клиент, например «Континент ZTN Клиент», «Континент TLS Клиент», «КриптоПро CSP» или «Валидата CSP». Поддерживаются все основные операционные системы: Windows, Linux, macOS, iOS, Android.
Отдельно необходимо отметить «Континент ZTN» — клиент, используемый для подключения как к «Континенту Web», так и других продуктов производителя, таким как «Континент 3», «Континент 4», и на базе которого можно реализовать комплаенс-контроль. В рамках комплаенс-контроля возможно проведение проверки последнего обновления ОС, черного и белого списков установленного программного обеспечения, даты последнего обновления антивирусных баз и проверку запущенных служб.
Модуль WAF
WAF реализован в виде программного модуля в составе TLS-сервера. Функциональные задачи модуля — защита от атак, входящих в OWASP Top 10, логических атак, DoS, DDoS, аномалий и т. д.
Механизмы безопасности модуля базируются на собственном сигнатурном анализе и моделях машинного обучения. Они могут использоваться совместно. В этом случае сначала отрабатывает машинное обучение, после чего, в случае необходимости, подозрительный трафик передается на сигнатурный анализ.
Рисунок 2. Функциональные возможности «Континента Web»
Состав и интеграция «Континента Web»
Рассмотрим возможные схемы использования «Континента Web» в инфраструктуре предприятия.
Комплексная защита веб-приложений
Для выполнения комплексной защиты веб-приложений реализуется сценарий авторизации пользователя через единый портал входа (Single-Sign-On) для доступа к ряду приложений, а также возможность использования дополнительного контекста для проверки удаленного пользователя путем комплаенс-контроля.
Рисунок 3. Комплексная защита веб-приложений с использованием «Континента Web»
Дополнением к этому является потребность в защите веб-приложений. Таким образом, предоставляется защищенный доступ к веб-приложениям и обеспечивается их защита от атак, в том числе если устройства сотрудника или подрядчика скомпрометированы злоумышленником.
Рисунок 4. Использование «Континента Web» для защиты от атак со скомпрометированного устройства
Безопасный удаленный доступ к ресурсам (SSL VPN и RA VPN)
Схема безопасного удаленного доступа к корпоративным ресурсам реализует такие потребности заказчиков как предоставление безопасного доступа извне для сотрудников предприятия, разграничение доступа к приложениям и организация удаленного доступа с помощью «толстых» клиентов, таких как клиентов ERP-приложений, терминальных или VDI-серверов.
Рисунок 5. Обеспечение удаленного доступа с использованием «Континента Web»
В рамках этой же схемы реализуется защищенный доступ к ведомственным веб-приложениям, что является обязательным для государственных информационных систем (ГИС), создание системы дистанционного банковского обслуживания или электронной торговой площадки.
Рисунок 6. Реализация защищенного доступа к ведомственным веб-приложениям с использованием «Континента Web»
Защита веб-приложений от атак (WAF)
Для обеспечения выполнения этой задачи, в «Континенте Web» реализован полноценный модуль Web Application Firewall (WAF). За счет использования указанного модуля закрываются такие потребности заказчиков как закрытие уязвимостей веб-приложений (виртуальный патчинг), защита от атак против публичных веб-приложений, личных кабинетов пользователей, систем межведомственного взаимодействия, мобильных приложений, веб-интерфейсов критически важных систем.
Модуль WAF производит защиту от таких атак как SQL-инъекции, XSS (межсайтовый скриптинг), RCE (удаленное выполнение кода), от ботов и т. д.
Рисунок 7. Использование модуля WAF в «Континенте Web»
Системные требования и лицензирование «Континента Web»
«Континент Web» предоставляется как в виде программно-аппаратного комплекса, так и виртуальной машины.
Лицензирование происходит по запросам в секунду (RPS). Для WAF возможны следующие значения RPS: 1000, 3000, 5000, для TLS-шлюза от 100 до 45000 RPS.
В случае необходимости, пропускная способность системы может быть увеличена путем вертикального или горизонтального масштабирования.
Рисунок 8. Схема масштабирования «Континента Web»
Приобретение продукта включается в себя покупку платформы, аппаратной либо виртуальной, компонент TLS-сервера и/или компонент WAF, в зависимости от решаемых задач, и технической поддержки продукта. Техническая поддержка системы требует ежегодного продления, остальные элементы системы покупаются бессрочно.
Рисунок 9. Варианты технической поддержки «Континента Web»
Сценарии использования «Континента Web»
Рассмотрим практические аспекты использования продукта в режимах WAF и TLS.
Использование WAF в «Континенте Web»
В связи с тем, что «Континент Web» базируется на продукте «Континент TLS», WAF в системе представлен в качестве отдельного модуля, без отдельной графической системы управления — она общая и на TLS и на WAF-подсистемы.
Настройка WAF осуществляется через создание и редактирование профилей безопасности.
Рисунок 10. Редактирование профилей WAF в «Континенте Web»
В профиле настройки производятся в нескольких вкладках. В разделах «HTTPS-прокси» и «Приложения портала» указываются сайты или приложения, подлежащие защите.
Рисунок 11. Окно редактирования профиля в «Континенте Web»
Настройка механизмов защиты WAF производится во вкладке «Анализаторы». Включение и конфигурирование анализаторов защищает веб-ресурсы от DDoS-атак на уровне L7, производит валидацию протокола HTTP и форматов JSON, XML, YAML, блокировку IP-адресов в зависимости от их географического расположения и т. д.
Рисунок 12. Анализаторы в «Континенте Web»
Многие анализаторы поддерживают гибкую настройку для определения подсетей или масок, защищаемых продуктом.
Рисунок 13. Настройка анализатора HTTP в «Континенте Web»
В «Континенте Web» реализован антибот для противодействия поисковым роботам и выдачи CAPTCHA при входе на сайт, а также возможность блокировать определенные версии браузеров.
Рисунок 14. Механизм защиты от ботов в «Континенте Web»
Для предотвращения атак на защищаемые приложения, в системе используется машинное обучение. За счет его использования «Континент Web» формирует модель трафика, несоответствие которой будет признано аномальным, что приведет к его блокировке. Кроме того, для усиления защиты, в системе содержатся модели угроз и при соответствии трафика этим моделям он будет заблокирован. Таким образом, получается гибридная система защиты, при которой действия, совершаемые с веб-приложениями сначала проходят проверку на аномалии, а затем на соответствие сведениям, содержащимся в предоставляемых вендором базах угроз. В случае необходимости, в анализаторе машинного обучения можно добавить исключения.
Рисунок 15. Анализатор машинного обучения в «Континенте Web»
Информация о ходе машинного обучения WAF предоставляется в отдельном разделе.
Рисунок 16. Статистика машинного обучения в «Континенте Web»
Модули машинного обучения и сигнатурного анализа строятся на экспертизе вендора без использования open source компонентов. Написанием и выпуском сигнатур занимается внутренний центр мониторинга (SOC) производителя продукта. В случае необходимости, пользователь может разработать и добавить собственные сигнатуры.
Рисунок 17. Параметры сигнатурного анализа в «Континенте Web»
В системе можно просмотреть статистику работы, выявленных атак, пропущенных исключений и иную статистическую информацию.
Рисунок 18. Статистика в «Континенте Web»
Действия в системе логируются и находятся в соответствующих журналах. Кликнув на интересующую запись журнала можно посмотреть подробную информацию о нем.
Рисунок 19. Работа с журналами событий в «Континенте Web»
Использование TLS в «Континенте Web»
Для разграничения доступа к приложениям, в продукте используется специализированный портал.
Рисунок 20. Настройка портала приложений в «Континенте Web»
Рисунок 21. Стартовая страница портала приложений «Континента Web»
В системе можно реализовать сценарии авторизации по паре «логин–пароль» и сертификату. Разграничение доступа происходит на базе групп пользователей, либо вручную.
Рисунок 22. Настройка доступа к приложениям в «Континенте Web»
Выводы
«Континент Web» представляет собой комплексный продукт, включающий в себя функциональные возможности системы класса WAF и TLS-шлюза. Использование «Континента Web» в инфраструктуре предприятия способно решить задачу защиты веб-приложений от атак и гранулярно разграничивать доступ к внутренним ресурсам пользователей.
Достоинства:
- Гибридная защита за счет использования машинного обучения и сигнатурного анализа трафика.
- Гибкое управление политиками безопасности.
- Гранулированное управление доступом к внутренним ресурсам.
- Большое количество сценариев внедрения.
- Фундамент продукта — «Континент TLS» и «Континент WAF» — включен в реестр российского ПО.
Недостатки:
- «Континент Web» работает только на проприетарной «Континент ОС» на базе ядра Linux от ИСП РАН.
- Настройка анализаторов и обучение модуля Machine Learning требует до 4 недель.
- Весьма минималистичный интерфейс системы.
