Перейти к содержанию

Рекомендации по обновлению WAF‑ноды

Этот документ содержит общие рекомендации к процессу обновления WAF‑ноды до версии 3.4, а также описание возможных рисков и способов их минимизации.

Обновление разных типов WAF‑ноды и критические изменения

  • При обновлении ноды версии 2.18 и ниже обратите внимание, что версии 3.x содержат критические изменения. Перед обновлением мы рекомендуем внимательно изучить набор изменений и учесть изменение конфигурации при планировании обновления.
  • Мы рекомендуем обновить как клиентские, так и партнерские WAF‑ноды версии 3.2 и ниже до последней версии (3.4). Более ранние версии скоро перестанут поддерживаться.

Общие рекомендации

  • Планируйте обновление WAF‑ноды и контролируйте процесс обновления. Ориентировочные даты выхода новых версий WAF‑ноды публикуются в Политике версионирования WAF‑ноды.

  • Если в вашей инфраструктуре установлено несколько WAF‑нод, обновляйте их поочередно. Если в течение суток после обновления первой WAF‑ноды все модули работают корректно, выполните поочередное обновление других WAF‑нод с интервалом в сутки.

  • Если вы используете разные среды для разработки и для боевого трафика, сначала примените и проверьте новую версию в среде разработки или тестирования, затем в боевой среде. Подробные рекомендации описаны в инструкции по настройке WAF‑ноды для изолированных сред.

  • Перед обновлением WAF‑ноды, переключите режим работы WAF‑ноды в monitoring. Если в режиме monitoring в течение суток все модули работают корректно и нет аномального роста в количестве ложных атак, переведите WAF‑ноду в режим block.

  • Обновляйте NGINX до последней доступной версии перед применением обновлений WAF‑ноды. Если в вашей инфраструктуре необходимо использовать другую версию NGINX, пожалуйста, напишите в техническую поддержку Валарм для сборки модуля WAF для кастомной версии NGINX.

Риски при обновлении

Ниже приведены риски, возможные при обновлении WAF‑ноды. Чтобы снизить влияние риска на систему, следуйте соответствующим рекомендациям.

Изменения в функциях WAF‑ноды

Версия 3.x несовместима с версиями 2.18 и ниже и включает в себя критические изменения. Перед обновлением мы рекомендуем ознакомиться с набором изменений и учесть изменение конфигурации при планировании обновления.

Набор изменений при обновлении WAF‑ноды 2.18 и ниже до версии 3.4

Изменения в поддерживаемых формах установки

Полный список поддерживаемых форм установок →

Изменения в наборе поддерживаемых параметров настройки WAF-ноды

Изменения в требованиях к системе для установки WAF-ноды

Начиная с версии 3.x, WAF-нода поддерживает работу с белыми, черными и серыми списками IP‑адресов. Вы можете добавить в список как одиночные IP-адреса, так и страны или дата-центры.

Чтобы при анализе запросов WAF-нода использовала актуальный список IP-адресов, которые зарегистрированы в стране или дата-центре из списков IP, WAF-нода должна иметь доступ к адресам, с которых они скачиваются. Обеспечение доступа к этим адресам — новое требование к виртуальной машине, на которую устанавливается WAF-нода.

Диапазоны IP-адресов, к которым необходимо обеспечить доступ:

Изменения в логике работы режимов фильтрации трафика

Начиная с версии 3.2, WAF‑нода анализирует источник запросов только в режиме мягкой или обычной блокировки.

Теперь WAF‑нода в выключенном режиме (off) и режиме мониторинга (monitoring):

  • Не блокирует запросы, отправленные с IP‑адресов из черного списка
  • В режиме мониторинга выгружает в Облако Валарм данные об атаках, отправленных с IP‑адресов из белого списка

Подробнее о режимах работы ноды Валарм →

Новые возможности продукта

  • Поддержка фильтрации трафика в режиме мягкой блокировки и поддержка серого списка IP-адресов.

    Использование серых списков в режиме мягкой блокировки позволяет значительно снизить уровень ложных срабатываний на атаки за счет блокировки только тех запросов из трафика, которые содержат признаки атаки и отправлены с IP-адресов из серого списка.

  • Новая реакция в настройках триггеров Добавить IP в серый список. Используя триггеры с новой реакцией, вы сможете настроить автоматическое добавление IP-адресов в серый список при соблюдении заданных условий.

    Пример триггера для добавления IP в серый список →

  • Управление белым списком IP-адресов через интерфейс Консоли управления Валарм.

  • Автоматическое добавление IP-адресов Сканера Валарм в белый список. Теперь добавлять IP-адреса Сканера в белый список вручную не требуется.

  • Новые параметры конфигурационного файла node.yaml для настройки синхронизации Облака Валарм и WAF-ноды: api.local_host и api.local_port. С помощью этих параметров вы можете задать локальный IP-адрес и порт сетевого интерфейса, через который отправляются запросы к Валарм API.

    Полный набор параметров node.yaml для настройки синхронизации Облака Валарм и WAF-ноды →

  • Добавление в белый, черный и серый списки группы IP-адресов, которые зарегистрированы в определенной стране, дата-центре, являются адресами узлов Tor или сети VPN.

    Подробнее о добавлении IP-адресов в белый, черный и серый списки →

  • Возможность выбрать приложения, к которым необходимо ограничить или разрешить доступ, при добавлении IP‑адресов в белый, черный или серый список.

    Подробнее о добавлении IP-адресов в белый, черный и серый списки →

  • Новый модуль Обнаружение API, который строит структуру ваших API на основе реального трафика приложений.

    Подробнее о модуле Обнаружение API

  • Сервис статистики теперь учитывает запросы, отправленные с IP‑адресов из черного списка. Количество таких запросов записывается в новый параметр blocked_by_acl, а также учитывается в параметрах requests и blocked.

    Подробнее о сервисе статистики →

  • Поддержка библиотеки libdetection на ноде Валарм на основе Envoy. Библиотека libdetection дополнительно проверяет атаки типа SQL‑инъекций на наличие вредоносных пэйлоадов и удаляет отметку об атаке, если пэйлоад не подтвердился. Такой подход позволяет снизить количество ложных срабатываний на атаки типа SQL‑инъекций.

    По умолчанию библиотека выключена. Мы рекомендуем ее включить для более качественного обнаружения атак.

    Подробнее о библиотеке libdetection

  • Новая переменная окружения WALLARM_APPLICATION для Docker‑контейнера Валарм на основе NGINX (доступна с версии 3.4.1-1). В переменной передается идентификатор для обозначения защищенного приложения в Облаке Валарм.

    Инструкция по запуску Docker‑контейнера Валарм на основе NGINX →

Набор изменений при обновлении WAF‑ноды 3.0 до версии 3.4

Критическое изменение

Начиная с версии 3.2, WAF‑нода анализирует источник запросов только в режиме мягкой или обычной блокировки.

Теперь WAF‑нода в выключенном режиме (off) и режиме мониторинга (monitoring):

  • Не блокирует запросы, отправленные с IP‑адресов из черного списка
  • В режиме мониторинга выгружает в Облако Валарм данные об атаках, отправленных с IP‑адресов из белого списка

Подробнее о режимах работы ноды Валарм →

Изменения в поддерживаемых формах установки

Полный список поддерживаемых форм установки →

Новые возможности продукта

  • Возможность выбирать приложения, к которым необходимо ограничить или разрешить доступ, при добавлении IP‑адресов в белый, черный или серый список.

    Подробнее о добавлении IP-адресов в белый, черный и серый списки →

  • Сервис статистики теперь учитывает запросы, отправленные с IP‑адресов из черного списка. Количество таких запросов записывается в новый параметр blocked_by_acl, а также учитывается в параметрах requests и blocked.

    Подробнее о сервисе статистики →

  • Поддержка библиотеки libdetection на ноде Валарм на основе Envoy. Библиотека libdetection дополнительно проверяет атаки типа SQL‑инъекций на наличие вредоносных пэйлоадов и удаляет отметку об атаке, если пэйлоад не подтвердился. Такой подход позволяет снизить количество ложных срабатываний на атаки типа SQL‑инъекций.

    По умолчанию библиотека выключена. Мы рекомендуем ее включить для более качественного обнаружения атак.

    Подробнее о библиотеке libdetection

  • Новая переменная окружения WALLARM_APPLICATION для Docker‑контейнера Валарм на основе NGINX (доступна с версии 3.4.1-1). В переменной передается идентификатор для обозначения защищенного приложения в Облаке Валарм.

    Инструкция по запуску Docker‑контейнера Валарм на основе NGINX →

Набор изменений при обновлении WAF‑ноды 3.2 до версии 3.4

Полный список поддерживаемых форм установок →

Новые ложные срабатывания

Качество анализа трафика повышается с каждой новой версией WAF‑ноды, соответственно снижается количество ложных срабатываний. Но каждое защищаемое приложение имеет особенности, поэтому мы рекомендуем проанализировать работу новой версии WAF‑ноды в режиме monitoring перед включением режима блокировки (block).

Чтобы проанализировать количество новых ложных срабатываний после обновления:

  1. Разверните новую версию WAF‑ноды в режиме monitoring и направьте на нее трафик.

  2. Через некоторое время перейдите в Консоль управления Валарм → секция События и проанализируйте количество запросов, которые ошибочно распознаны как атаки.

  3. При обнаружении аномального роста в количестве ложных срабатываний, пожалуйста, напишите в техническую поддержку Валарм.

Увеличение количества потребляемых ресурсов

Настройка новых возможностей продукта может вызвать изменение в количестве потребляемых ресурсов. Информация о возможных изменениях указывается в разделе Что нового.

Также, рекомендуется проводить мониторинг работы WAF‑ноды: при обнаружении значительных отличий в фактическом количестве потребляемых ресурсов и в количестве, описанном в документации, пожалуйста, свяжитесь с технической поддержкой Валарм.

Процедура обновления

Процедура обновления WAF‑ноды зависит от платформы и формы установки. Выберите форму установки и следуйте инструкциям по обновлению: