ปกป้องเว็บแอปพลิเคชันของคุณด้วย Hillstone WAF

Web Application Firewall (WAF) เป็นหนึ่งในทางเลือกเฉพาะสำหรับบางองค์กรที่มีส่วนการให้บริการเว็บแอปพลิเคชัน หรือแม้แต่การใช้งานโปรโตคอล HTTP ภายในก็สามารถทำได้เช่นกัน อย่างไรก็ดีหลายท่านอาจยังมีคำถามว่าหากมี Firewall อยู่แล้วเหตุใดจึงต้องลงทุนกับ WAF เพิ่มอีก และตัวของโซลูชันเองมีฟีเจอร์อะไร หรือความท้าทายต่างๆในการใช้งาน ซึ่งในบทความนี้เราจะขอพาทุกท่านไปรู้จักกับโซลูชัน WAF จากค่าย Hillstone Networks กันครับว่าเป็นอย่างไร

มี Firewall อยู่แล้ว ทำไมยังต้องซื้อ WAF อีก?

เป็นคำถามพื้นฐานจากมุมของบุคคลในฝั่งธุรกิจเลยก็ว่าได้ เมื่อมีการนำเสนอการลงทุนเรื่อง WAF ซึ่งคำตอบก็ไม่ได้มีความซับซ้อนอะไรมากนัก หากเราพิจารณาจากฟังก์ชันการทำงานของทั้งสองโซลูชันคือโดยส่วนใหญ่องค์กรมักใช้ Firewall เป็นอุปกรณ์เพื่อจำกัดช่องทางสื่อสารให้เหลือเพียงช่องทางที่จำเป็น โดยมากก็จะพิจารณาที่ โปรโตคอล พอร์ตและไอพีต้นทางปลายทาง กระนั้นไม่ว่าท่านจะรัดกุมเพียงใด สุดท้ายก็ต้องเปิดใช้บางช่องทางอยู่ดี เช่น ต้องเปิดให้ใช้งาน DNS หรือการติดต่อกับโลกภายนอกผ่าน HTTPS (443), HTTP(80) หรืออื่นๆเป็นต้น

และแม้ Firewall จะเก่งถึงขนาดว่ามี Antivirus ในการตรวจจับไฟล์ต้องสงสัย หรือรู้จักกับทราฟฟิคของแอปพลิเคชันได้นับพันประเภท แต่เจาะลึกลงไปแล้ว Firewall ก็ไม่ได้ถูกออกแบบมาให้รู้ลึกไปถึงช่องโหว่มากมายเฉกเช่น IDS/IPS หรือเช่นกันในมุมของการใช้งาน Web Application ตัว Firewall เองก็ไม่ได้รู้จักกับรูปแบบหรือ Context ของการทำงานในเชิงลึกเหมือน Web Application Firewall ที่ถูกคิดค้นขึ้นมาด้วยจุดประสงค์นั้น

WAF คืออะไร?

WAF ก็คือโซลูชันป้องกันทางเครือข่ายตัวหนึ่งที่ถือกำเนิดมาเพื่อติดตาม คัดกรอง เฝ้าระวังทราฟฟิค HTTP ที่อยู่ในระดับชัน Application Layer (L7) โดยมักทำตัวเป็น Reverse Proxy เพื่อขวางกั้นการทำงานระหว่างเซิร์ฟเวอร์และผู้ร้องขอจากภายนอก หรืออาจจะคิดว่าเป็นการเข้ามาจากอินเทอร์เน็ตเช่นกัน ทั้งนี้ในแอปสมัยใหม่อาจจะมีการพูดถึงเรื่อง API ที่อยู่บนโปรโตคอล HTTP ซึ่งแอปมักใช้เพื่อทำงานร่วมกัน

โดยประโยชน์หลักของ WAF คือการปกป้องการโจมตี หรือการเปิดเผยข้อมูลที่เกิดขึ้นได้ผ่านช่องทางที่ Web Application ใช้งานกันอยู่ ดังนั้นจะมีการครอบคลุมไปถึง OWASP Top 10, DDoS Attack, Bot, HTTPS Decryption, เรียนรู้การทำงานปกติของแอป รวมถึงการเอาชนะความท้าทายของ False Positive ซึ่งในกรณีของ WAF มีเหตุการณ์ที่ค่อนข้างละเอียดเพราะในชีวิตจริง ท่านอาจถูกทดสอบตลอดเวลาจากสคิร์ปต์การโจมตี บอทเน็ต ที่อยู่ในโลกอินเทอร์เน็ต โดยเฉพาะกับองค์กรที่มีขนาดใหญ่ ซึ่งเรื่องเหล่านี้จะนำไปสู่ Log ที่ซับซ้อนทำให้ WAF เองจะต้องมีระบบจัดการ Log ที่ซับซ้อนเป็นอย่างดีด้วย

WAF มีรูปแบบการใช้งานได้ 3 ทางคือ

• Network-based – หมายถึงการใช้งานฮาร์ดแวร์ ซึ่งข้อดีของแนวทางนี้คือ Latency ต่ำ
• Host-based – เป็นการติดตั้งเข้ากับซอฟต์แวร์ โดยอาจจะเป็นลักษณะของปลั๊กอินในเว็บ เช่น ในโปรแกรม Content Management System (CMS) เป็นต้น 
• Cloud-based – เป็นบริการจากผู้ให้บริการคลาวด์ต่างๆ หรือหากมองลึกลงไปองค์กรอาจจะเป็นการติดตั้ง Virtual และบริหารจัดการเองภายในคลาวด์

แนวคิดการทำงานของ WAF ยังมีอีก 2 ประเภทที่ควรรู้คือ

• Positive Model – เป็นการกำหนดเริ่มต้นจากสิ่งที่เรารู้ก่อนว่าองค์กรมีการใช้งานเป็นอย่างไร นอกนั้นถือเป็นสิ่งที่ผิดปกติต้องมีการตอบสนองอย่างใดอย่างหนึ่ง ซึ่งข้อดีของรูปแบบนี้จะช่วยให้เราสามารถป้องกันการโจมตีที่ยังไม่เคยรู้จักหรือรูปแบบใหม่ได้ เช่นกันข้อเสียก็คือในองค์กรขนาดใหญ่ที่มีแอปพลิเคชันนับพันเป็นเรื่องยากที่ทีม Security จะทราบการทำงานภายในของทุกหน่วย ทำให้เกิดการบล็อกการทำงานที่ปกติเดิมได้ (False Positive)
• Negative Model – เริ่มต้นจากภัยคุกคามหรือข้อมูลการโจมตีที่ท่านมีอยู่ นอกนั้นถือเป็นสิ่งที่ยอมรับได้หรือปกติ ข้อดีคือเริ่มต้นได้ง่ายแต่ข้อเสียก็คือเป็นเรื่องยากที่จะทราบถึงภัยคุกคามทั้งหมดบนโลกนี้ ดังนั้นอาจมีการหลุดรอดของการโจมตีเข้ามาได้

อย่างไรก็ดี WAF ส่วนใหญ่มักมีช่องทางให้ท่านสามารถใช้งานโซลูชันแบบผสมผสานทั้ง Positive และ Negative ควบคู่กันไป ซึ่งหนึ่งในโซลูชันที่น่าสนใจเหล่านั้นก็คือ Hillstone Networks WAF มาดูกันว่าฟีเจอร์สำคัญมีอะไรบ้าง

Hillstone Networks WAF

แน่นอนว่าหน้าที่หลักของ WAF ก็คือการรับรู้ถึงเนื้อหาเทคนิคการโจมตี โดยเฉพาะการโจมตีที่ถูกระบุไว้ใน OWASP Top 10 ซึ่งได้รวบรวมเอาความเสี่ยงที่มักพบได้บ่อยกับเว็บแอปพลิชัน ทั้งนี้ในปีล่าสุดได้พูดถึงเทคนิคอย่าง Server-Side Request Forgery(CSRF) และ Injection ที่ Hillstone WAF สามารถตรวจพบได้อยู่แล้วเช่น LDAP injection, SQL Injection, SSI Injection, Xpath, Command และ Remote File Include เป็นต้น ซึ่ง Hillstone มีการใช้ทั้งข้อมูลฐานการโจมตี (Signature) และการวิเคราะห์รูปแบบเนื้อหาอย่างเข้าใจ (Semantic Analysis) ทำให้ช่วยตรวจสอบได้ทั้งสิ่งที่รู้และสิ่งที่ซับซ้อนสูงขึ้นไป

กลไกการป้องกันของ Hillstone WAF เพื่อป้องกันภัยคุกคามใหม่ที่ไม่รู้จักมาก่อน เกิดจากการอาศัยความสามารถของโมเดลการเรียนรู้พฤติกรรมปกติก่อนด้วย Machine Learning เช่น หน้า URL A โดยปกติแล้วมีการใช้งาน HTTP Method, Cookie และพารามิเตอร์อะไร หรือรับค่าจากผู้ที่รู้ระบบ หากวันหนึ่งมีการเปลี่ยนแปลงไป ก็จะได้มีการตัดสินใจบางอย่างต่อไป โดยการเรียนรู้นี้เกิดขึ้นได้อย่างอัตโนมัติพร้อมทั้งมีการอัปเดตเพื่อปรับกฏเกณฑ์ตามการเปลี่ยนแปลงของแอปได้ ลดภาระของผู้ดูแล

นอกจากในหมวดเรื่องการโจมตีแล้ว เชื่อแน่ว่าการรั่วไหลของข้อมูลก็เป็นสิ่งที่ท้าทายต่อองค์กรเช่นกัน ด้วยเหตุนี้ Hillstone WAF ยังสามารถตรวจจับข้อมูลละเอียดอ่อนได้ด้วยเช่น บัตรเครดิต อีเมล และข้อมูลส่วนบุคคล ไม่เพียงแค่ข้อมูลแต่ยังครอบคลุมไปถึงการรั่วไหลจากข้อผิดพลาดต่างๆของ เซิร์ฟเวอร์ ฐานข้อมูล หรือการทำ Directory Traversal และการ Crawling ต่างๆ ตลอดจนการทำ Cookies Hijacking ด้วยการเข้ารหัสและสร้าง Signature

บอทและการแก้ไขเปลี่ยนแปลงข้อมูลก็ถือเป็นเรื่องที่น่ากังวลเช่นกัน ในส่วนแรกบอทมักจะเข้ามาทำกิจกรรมบางอย่างเช่นการกวาดหาข้อมูล ที่เป็นการรบกวนหรือหวังผลร้ายต่อการให้บริการ โดยในส่วนนี้ WAF ก็มีการเฝ้าระวังด้วยการติดตามลักษณะลายนิ้วมือของอุปกรณ์ หรือหากต้องสงสัยก็สามารถทำการทดสอบตัวตนด้วย CAPTCHA เพื่อบล็อกการเชื่อมต่อนั้น ในส่วนของการแก้ไขเปลี่ยนแปลงการใช้งานของคนร้าย WAF จาก Hillstone มีกลไกที่สามารถเปรียบเทียบการทำงานปกติและสิ่งที่เกิดขึ้นได้

API เป็นหนึ่งช่องทางหลักของการสื่อสารของเว็บแอปพลิเคชัน อีกทั้งยังอาศัยโปรโตคอล HTTP เพื่อการทำงานด้วยเหตุนี้เมื่อเราพูดถึงทราฟฟิคของเว็บ API ก็ต้องนับรวมอยู่ในการโจมตีด้วย เพราะเป็นพื้นผิวหลักที่แฮ็กเกอร์มักสนใจในปัจจุบัน ซึ่ง Hillstone WAF ก็ได้มีการนำข้อมูลจาก OpenAPI มาใช้เพื่อการตรวจสอบ API ว่าเป็นไปอย่างถูกต้องหรือไม่

ฟีเจอร์อื่นๆของ Hillstone WAF ยังมีอีกนับไม่ถ้วนตัวอย่างเช่น

• รองรับการทำ HTTP2 ในโหมด Reverse Proxy
• รองกับการทำ HTTPS Detection 
• รองรับการคอนฟิคระดับเครือข่ายและอินเทอร์เฟสเช่น Static Route, Aggregation, LLDP, virtual-wires, vSwitch และ VLAN
• ช่วยเหลือด้านประสิทธิภาพของแอปพลิเคชันเช่น Health Check Server, web cache, SSL Unloading, Page Compression และ Server Load balancing
• ใช้งานได้ในหลายโหมด Transparent Proxy, Reverse Proxy, TAP และ one-arm reverse proxy
• มีความสามารถช่วยป้องกันการโจมตีระดับเครือข่ายเช่น DoS Attack, DNS Query flooding และ IP Spoofing/Scanning เป็นต้น
• ระบบ Log สามารถป้องกันการแก้ไขเปลี่ยนแปลง และมีหลายระดับเช่น Management, Network security, Web Security, Access Control และอื่นๆ รวมถึงข้อมูล HTTP Header ที่กรณีของการถูกโจมตีเช่น URL, UserAgent, Post Content, Cookie และอื่นๆ 
• สามารถออกรายงานได้หลากหลาย เช่น PDF, Doc หรือผู้ใช้งานสามารถกำหนดรูปแบบรายงานได้เอง ซึ่งสามารถส่งเป็น FTP และอีเมลได้
• มีการแจ้งเตือนได้หลายช่องทางเช่น e-mail, SNMP, SYSLOG, SMS และอื่นๆ

ปัจจุบันโซลูชัน Hillstone Networks WAF มีทางเลือกการใช้งานหลักหลายช่องทางทั้งในรูปแบบของฮาร์ดแวร์หลากหลายขนาด หรือรูปแบบของ Virtual Appliance ที่สามารถนำไปใช้งานต่อได้ในแพลตฟอร์มที่ท่านต้องการทั้ง On-premise Server หรือ Public Cloud ต่างๆ โดยผู้สนใจสามารถติดต่อทีมงาน Hillstone Networks ได้ทันทีที่ https://www.hillstonenet.com/more/engage/contact/ ซึ่งจะมีทีมงานติดต่อท่านกลับไป