Курс PTAF PRO Getting Started. Статья 4: Возможности защиты приложений PT AF PRO. Часть 1

Positive Technologies
Курс PTAF PRO Getting Started. Статья 4: Возможности защиты приложений PT AF PRO. Часть 1
Рады приветствовать вас в новой статье нашего курса о решении PT AF PRO! В прошлом материале мы рассмотрели процесс установки продукта.

В этой статье мы начнём рассматривать функции безопасности, которые на данный момент доступны администратору для конфигурирования политики защиты приложений. Для удобства мы разделили тему возможностей защиты на две части.

Данная часть будет посвящена настройке прохождения трафика. От внешних прослушиваемых интерфейсов до опубликованного веб-приложения и защищаемых серверов. Осуществляется всё это во вкладке «Схема конфигурации». Перейдем в неё и встретим ряд групп настроек.

Статью подготовили инженеры внедрения и технической поддержки TS Solution .

Группа компаний «TS Solution» решает задачи по проектированию и внедрению комплексных проектов в сфере ИТ и ИБ на основе отечественных и зарубежных решений.

Основные направления деятельности:

– Аудит, соответствие требованиям регуляторов, категорирование объектов КИИ;

– Полный спектр работ по построению системы ИБ;

– Построение IT-инфраструктуры;

– Проектирование и внедрение инфраструктурных решений, серверные технологии и системы хранения данных;

– Работы требующие аттестации ФСТЭК и ФСБ;

– Предоставление 1-й и 2-й линии технической поддержки и полное техническое сопровождение проектов;

– Проведение авторизованных и авторских курсов и программ обучения





Серверы

Разберем сначала самое простое: Защищаемые серверы.

Это объекты (веб-приложения) которые и будут защищаться PT AF’ом через политики безопасности. Данные объекты символизируют «пункт назначения» в локальной сети для трафика, который будет прослушиваться на внешних интерфейсах межсетевого экрана.




Есть ip-адрес защищаемого сервера, который также может быть назначен через имя узла. А также порт, на который будет PT AF проксировать (передавать) трафик и протокол: http или https. В один клик можно в случае чего отключить доступность опубликованного сервиса.

Теперь пойдем слева направо:




Профиль трафика

В профиле трафика настраивается логика передачи пакетов и данных на внутренние серверы с прослушиваемых ip-адресов.





Первая часть настройки касается входящего трафика: балансировки и ip-адреса прослушивания.

Балансировщик может быть трех видов:
  • Внутренний. В этом случае балансировка трафика с распределением нагрузки между узлами кластера будет выполняться силами самого PT AF;
  • Внешний (без контроля IP-адресов). Если нужно, чтобы трафик могли обрабатывать все узлы кластера. Автоматически появятся ip-адреса с ролью WAN;
  • Внешний (с контролем IP-адресов). Если нужно, чтобы трафик могли обрабатывать только определенные узлы.
В зависимости от типа балансировщика указываем адрес (а) и порт прослушивания запросов. Выбираем интересующий нас протокол и включаем или отключаем возможность принудительно перенаправлять запросы клиентов с http на https.

IP-адрес прослушивания выбирается из списка доступных. Его мы рассмотрим ниже.

Далее идёт раздел «Защищаемые серверы» (или сервисы) с тем, куда трафик будет проксироваться (передаваться) после проверки политикой.





Адреса защищаемых сервисов доступны списком из тех, что были добавлены в соответствующий раздел. Значение веса задаёт долю трафика на сервере.

Также видим число неуспешных попыток соединения, при достижении которого сервер меняет статус на «недоступен». И указываем режим работы, который либо является всегда активным, либо используется как запасной вариант, когда остальные серверы станут недоступны.

Последней частью данной настройки является выбор типа балансировки:
  1. В зависимости от назначенного веса на ресурсах распределять трафик равномерно;
  2. Направить трафик на ресурсы с меньшей загруженностью;
  3. Либо при привязке каждого клиента через хеш-сумму ip-адреса отправлять на соответствующий сервер



Затем идёт условие отправки имени хоста клиенту, который хочет соединиться с сервером. И тайм-аут в секундах. Ранее нами было упомянуто, что прослушиваемый ip-адрес для профиля трафика выбирается из списка доступных. Разберем этот момент.

В PT AF PRO прослушиваемый адрес может быть задан как статический, так и динамический.

При добавлении «динамического» IP-адреса система автоматически присвоит его сетевому интерфейсу с ролью WAN одного из узлов кластера. Трафик, получаемый через «динамический» IP-адрес, может быть обработан всеми узлами кластера.

При добавлении «статического» IP-адреса вам необходимо указать узел, который может обрабатывать трафик. Система присвоит «статический» IP-адрес одному из сетевых интерфейсов с ролью WAN. При потере работоспособности узла получение и обработка трафика через этот узел будут остановлены.





Также указываем маршрут до пункта назначения (т.е до защищаемого сервера). Если мы хотим настроить профиль трафика для входящего HTTPS-трафика, то необходимо настроить цепочку SSL-сертификатов и закрытый ключ для его расшифровки.





Сертификаты и ключи загружаются файлами в формате PEM.

Также в PT AF PRO поддерживается шифрование:
  • RSA;
  • ECC (цифровая подпись на основе эллиптических кривых);
  • и ГОСТ
На этом четвёртая статья завершается. Во второй части возможностей защиты приложений мы рассмотрим непосредственную настройку шаблона политик безопасности и то, какие возможности она предоставляет пользователю.

Оставайтесь с нами!
TS University делает большой шаг в сторону доступности знаний. Мы открыли самые популярные статьи портала для вас.Теперь вы можете свободно изучать и делиться понравившимися материалами с коллегами без регистрации на сайте!
Изображение:
Positive Technologies
Alt text

Ты не вирус, но мы видим, что ты активен!

Подпишись, чтобы защититься
article-title

TS Solution Group