On-premise или Cloud WAF: какую модель выбрать и почему?
При увеличении темпа разработки и постоянном выпуске новых функций, страдает обеспечение безопасности веб-приложения. Количество уязвимостей и хакерских атак растет. Компании рискуют потерять прибыль, лояльных пользователей, репутацию и стать «виновником» утечки данных — за последнее скоро планируют ввести административную и уголовную ответственность.
Снизить риски взлома помогает WAF. Что это за технология и зачем она нужна, мы рассказали в статье «Защита от взлома: как WAF помогает защитить сайт».
Внедрить WAF можно по-разному. Сегодня мы поделимся:
➡️ какие есть модели использования WAF;
➡️ кому подойдет on-premise и какие у него недостатки;
➡️ почему WAF в облаке — это удобно;
➡️ что такое NGENIX Cloud WAF.
Модели внедрения WAF
WAF (Web Application Firewall) защищает веб-приложения от взломов и высокоуровневых атак, анализируя работу приложения на прикладном уровне. Сигнатурный анализ, поведенческий анализ и репутационный фильтр помогают системе отличать безопасные HTTP-запросы и блокировать вредоносные.
Сравним использование On-premise и Cloud WAF.
On-premise WAF
Модель on-premise предполагает установку WAF на инфраструктуре заказчика. Такой способ выбирают компании, которые:
➡️ могут приобрести дорогостоящую инфраструктуру и своевременно масштабировать ее;
➡️ могут нанять в штат квалифицированных ИБ-специалистов для управления этой инфраструктурой;
➡️ обязаны соблюдать строгие регуляторные требования к защите данных;
➡️ не могут передавать подрядчикам чувствительные данные (например, персональные данные или данные о транзакциях — всё зависит от деятельности организации), и им нужно, чтобы WAF работал внутри периметра.
Однако у модели on-premise есть ряд недостатков:
- On-premise WAF долго устанавливать и сложно настраивать. Если нужно развернуть WAF за пару дней, сделать это не выйдет.
- On-premise WAF — это дорого. Нужно приобрести и установить специализированное оборудование и ПО, а затем обучить персонал его настройке и обслуживанию или нанять в штат компетентных специалистов.
- On-premise WAF сложнее масштабировать, чем Cloud WAF. Важно помнить, что нагрузка на систему может резко вырасти, поэтому нужно держать свободные мощности под масштабирование. Если не предусмотреть на этапе установки оперативное увеличение емкости инфраструктуры, потом могут быть проблемы с производительностью веб-сайта и его доступностью для пользователей.
Почему WAF в облаке — это удобно?
Облачная модель предлагает заказчику развертывание WAF в публичном облаке. Такой способ подходит для тех, кто:
➡️ хочет подключить WAF в кратчайшие сроки;
➡️ не обладает достаточными ресурсами или экспертизой для внедрения, эксплуатации WAF;
➡️ владеет высоконагруженными и быстро масштабирующимися веб-ресурсами.
Преимущества облачного WAF сглаживают недостатки On-premise WAF:
- Облачный WAF можно быстро подключить к веб-сайту. Начать использовать WAF в облаке реально за один день.
- Облачный WAF дешевле, чем On-Premise WAF. Не нужно приобретать ИТ-инфраструктуру и нанимать специалистов в штат для ее обслуживания.
- Облачный WAF автоматически масштабируется. При пиковых нагрузках или росте аудитории емкость инфраструктуры автоматически увеличивается, что обеспечивает бесперебойную работу веб-приложения.
У нас на платформе NGENIX есть управляемый WAF. Там мы предусмотрели и другие важные нюансы, которые делают работу с WAF выгоднее и удобнее.
Например, NGENIX Cloud WAF работает еще эффективнее, благодаря тому, что часть запросов блокируется другими механизмами защиты, а также обслуживается из кэша, что снижает нагрузку на WAF. Стоимость лицензирования WAF зависит от входящих запросов. Фильтруя трафик и отсеивая очевидно вредоносный ещё до WAF, мы снижаем конечную плату за использование WAF.Подробнее о нашем продукте мы рассказали в конце статьи.
Так что же выбрать: On-premise или Cloud?
Для каждого случая подходит своя инсталляция WAF. Мы сделали таблицу, с помощью которой можно сравнить варианты и понять, что подходит именно вам. В таблице собран анализ по нескольким важным критериям:
Инфраструктура
Где будет находиться ИТ-инфраструктура, которая нужна для развертывания ПО, выполняющего анализ трафика?
Обслуживание ПО
Кто будет заниматься поддержкой, настройкой и обновлением WAF и управлять лицензиями?
Контроль над данными
Кто несет ответственность за защиту и сохранность данных?
Возможности масштабирования
Что произойдет, если объем трафика, который анализирует WAF, значительно вырастет? И кому нужно будет быстро среагировать на изменения?
| Критерий | On-premise WAF | Cloud WAF |
| Инфраструктура | Обеспечение инфраструктуры целиком лежит на компании-заказчике — От возникновения потребности до запуска ПО WAF в эксплуатацию проходит много времени — Для развертывания решения необходимо дорогое оборудование — При резком росте нагрузки тяжело масштабироваться, может не хватить серверов — Требуются высокие затраты на эксплуатацию инфраструктуры | Вычислительную инфраструктуру предоставляет облачный провайдер — Подключение веб-приложения к WAF, размещенному в облаке, занимает один день — Для подключения решения не нужны собственные мощности |
| Обслуживание | Нужны квалифицированные кадры для самостоятельной эксплуатации и поддержки WAF | Поддержкой и эксплуатацией решения могут заниматься специалисты-эксперты, выделенные поставщиком облачных услуг |
| Контроль над данными | Необходимо полностью контролировать инфраструктуру и данные, которые хранятся в WAF | Управление серверами и частью данных осуществляет провайдер |
| Возможности масштабирования | Масштабирование требует дополнительных усилий и вложений | Возможно автоматическое масштабирование в соответствии с потребностями бизнеса |
Что такое NGENIX Cloud WAF?
У нас на платформе NGENIX есть сервис Cloud WAF. Он ориентирован на владельцев веб-приложений, которые хотят защитить веб-приложение от взлома, но не готовы самостоятельно разворачивать, поддерживать и обновлять вычислительную инфраструктуру для работы WAF.
Облачный сервис Cloud WAF позволяет:
- защищать инфраструктуру от атак на уровне приложений;
- использовать WAF от нескольких вендоров по подписке в составе комплексного облачного решения по ускорению и защите веб-ресурсов;
- снижать затраты на административное взаимодействие, создание, поддержку и обслуживание инфраструктуры для работы WAF;
- контролировать и оптимизировать издержки, которые возникают при масштабировании веб-ресурса или всплесках легитимного или нелегитимного трафика.
В основе NGENIX Cloud WAF — унифицированный подход, который позволяет экономить время, нервы и деньги. Больше о Cloud WAF и его возможностях — в документации и нашем вебинаре.
🧑💻 Узнать о WAF больше можно в других наших статьях:
«Защита от взлома: как WAF помогает защитить сайт», где мы рассказали, откуда появляются уязвимости; чем опасны атаки на веб-приложения; что такое WAF и зачем он нужен; как устроен WAF и какие угрозы предотвращает.
«Таблетка не волшебная, но полезная: 5 мифов о WAF, которые пора развеять», где мы собрали несколько распространенных заблуждений о технологии WAF и решили их разоблачить.