Рекомендации по установке и поддержке Валарм API Security – Документация Валарм

Рекомендации по установке и поддержке Валарм API Security - Документация Валарм Сертификаты
На чтение 19 мин. Просмотров 25 Опубликовано
Содержание
  1. Огненный интеллект: как хакер из черноголовки создал первый в мире файрвол на основе ии
  2. Disable_acl¶
  3. Waf валарм – комплексная платформа адаптивной защиты веб-приложений и api
  4. Wallarm_api_conf¶
  5. Wallarm_cache_path¶
  6. Wallarm_enable_libdetection¶
  7. Wallarm_file_check_interval¶
  8. Wallarm_force¶
  9. Wallarm_global_trainingset_path¶
  10. Wallarm_instance¶
  11. Wallarm_key_path¶
  12. Wallarm_local_trainingset_path¶
  13. Wallarm_mode_allow_override¶
  14. Wallarm_mode¶
  15. Wallarm_parse_html_response¶
  16. Wallarm_parse_websocket¶
  17. Wallarm_parser_disable¶
  18. Wallarm_process_time_limit¶
  19. Wallarm_proton_log_mask_master¶
  20. Wallarm_proton_log_mask_worker¶
  21. Wallarm_request_chunk_size¶
  22. Wallarm_request_memory_limit¶
  23. Wallarm_stalled_worker_timeout¶
  24. Wallarm_timeslice¶
  25. Wallarm_ts_request_memory_limit¶
  26. Wallarm_unpack_response¶
  27. Wallarm_upstream_connect_attempts¶
  28. Wallarm_upstream_connect_timeout¶
  29. Wallarm_upstream_queue_limit¶
  30. Wallarm_upstream_queue_memory_limit¶
  31. Wallarm_upstream_reconnect_interval¶
  32. Включите sso для аккаунта вашей компании в консоли управления валарм¶
  33. Включите в план оперативное обновление ноды валарм до новых версий¶
  34. Изучите возможности nginx¶
  35. Изучите возможности триггеров¶
  36. Изучите работу белых, черных и серых списков ip‑адресов¶
  37. Используйте terraform-провайдер валарм для управления конфигурацией облака валарм¶
  38. Настройте интеграции со сторонними системами для уведомлений о событиях¶
  39. Настройте корректную передачу ip‑адреса источника запросов¶
  40. Настройте мониторинг развернутых нод валарм¶
  41. Настройте схему резервирования защищаемого ресурса¶
  42. Разверните ноду валарм в тестовой и в боевой средах¶
  43. Следуйте рекомендациям по управлению модулем активной проверки атак¶
  44. Wallarm_upstream_backend¶

Огненный интеллект: как хакер из черноголовки создал первый в мире файрвол на основе ии

Иван Новиков, основатель глобальной компании Wallarm, софт которой обнаруживает и блокирует хакерские атаки, начинал карьеру в сфере безопасности как «этичный хакер». Мечта стать хакером родилась у 11-летнего Ивана, когда он наткнулся на номер печатного журнала «Хакер». Спустя два года он увидел фильм «Пароль «Рыба-меч» с голливудскими звездами Хью Джекманом, Джоном Траволтой и Холли Берри в главных ролях и укрепился в своем решении. «После просмотра я заключил, что хакеры будут управлять миром», — вспоминает 33-летний предприниматель. Постепенно хобби переросло в бизнес. Сегодня основанная им компания Wallarm — один из самых успешных стартапов Кремниевой долины с русскоязычными основателями. Среди клиентов — Mail.ru, Miro, Semrush и другие крупные корпорации. Как парню из Подмосковья удалось построить одну из лидирующих компаний на рынке информационной безопасности и перебраться в США?

Иван Новиков родился в Черноголовке, подмосковном наукограде с населением 21 000 человек, его мать занималась химией, а отец геологией. Хакерством Новиков увлекся в детстве. «Ломать» учился по статьям из журнала «Хакер», который он в шутку сравнивает с книгами Григория Остера «Вредные советы». «Это было практическое пособие, в котором чуваки рассказывали, что и как ломать», — вспоминает Иван. После школы он поступил на физфак МГУ, пошел работать программистом в небольшую московскую компанию. Параллельно Иван, тогда больше известный в Рунете как d0znpp, или Владимир Воронцов, участвовал в официальных программах Bug Bounty — за вознаграждения искал бреши (баги) в кодах веб-приложений. Такие конкурсы проводили Facebook, Yahoo!, Google, Apple, Microsoft, «Яндекс», Mail.ru и другие корпорации. За каждую найденную уязвимость заказчики платили от $200 до $1500. «Это были быстрые деньги, — рассказывает Новиков. — Плюс я мог протестировать свои возможности в боевых, но при этом безопасных условиях».

«Русские хакеры действительно лучшие»: владелец Positive Technologies Юрий Максимов о новейших киберугрозах и тех, кто за ними стоит

В 2009 году компания «Битрикс» организовала конкурс для хакеров на компьютерном фестивале Chaos Constructions. Участникам нужно было обойти встроенную защиту и взломать сайт. Победителем стал Новиков. «Конкурс стал трансформирующим, переломным моментом для меня — после него началась вся движуха. Я смог законнектиться с «Битриксом» и выйти на другие компании, которым требовались аудиты безопасности. Из этого уже можно было строить бизнес», — рассказывает Новиков. В том же году он основал консалтинговую компанию Onsec, которая специализировалась на поиске и устранении уязвимостей в веб-приложениях. Параллельно устроился в международную фирму BearingPoint, чтобы понять, как работает консалтинговый бизнес. Развивать Onsec 21-летнему Новикову помогала жена Анастасия. Она взяла на себя операционную часть, включая юридическую поддержку и бухгалтерию. Впрочем, крупные контракты появились только через пару лет: в 2021 году компания подписала договор на четыре месяца с разработчиком софта Parallels. За работу Parallels заплатила около $40 000. Это был самый дорогой контракт для Onsec. «Сумма тогда показалась нам космической. Мы думали, нам на всю жизнь хватит», — вспоминает Новиков.

В том же году он занял первое место в конкурсе «Месяц поиска уязвимостей «Яндекса», уволился из BearingPoint и решил масштабировать бизнес. Клиенты, пользовавшиеся услугами Onsec, часто спрашивали, какую программу для защиты от атак они могли бы установить, рассказывает Анастасия Новикова. Наработки для такого софта у Onsec уже были, но для полноценного продукта требовались инвестиции. В 2021 году Onsec получила $500 000 от фонда Runa Capital. Партнер фонда Дмитрий Гальперин вспоминает, что на тот момент у команды не было даже MVP, но предлагаемое решение было новым для рынка. «На рынке лидировали Imperva, а также платформа ModSecurity (разработанная американской компанией Trustwave SpiderLabs). Но все конкуренты тогда фокусировались на известных наборах уязвимостей. Новиков же предложил создать софт на основе искусственного интеллекта, который анализировал бы работу конкретного веб-приложения и выявлял характерные для него аномалии. То есть команда использовала искусственный интеллект, когда это еще не было модным», — рассказывает инвестор.

В будущем я бы хотел заниматься чем-то более фундаментальным, например наукой и образованием. Это гораздо прикольнее·Фото John Francis Peters for Forbes

Получив инвестиции, Новиков запустил новый проект — Wallarm. Его жена Анастасия стала финансовым директором стартапа, а друг детства Александр Головко, который до этого работал с Onsec на фрилансе, занял позицию СТО. Благодаря инвестициям к концу ноября 2021 года команда представила первую версию продукта — платформы, которая блокировала хакерские атаки. Она также находила уязвимости в коде веб-приложения, которые злоумышленники могли использовать для взлома сайта. В основе платформы лежала технология машинного обучения. Первым клиентом Wallarm стала платежная система QIWI. По словам СТО QIWI Кирилла Ермакова, принимая решение о сотрудничестве, он сравнивал продукт Wallarm с зарубежными аналогами от Imperva, F5. «Конечно, мы рисковали, так как продукт был сырой и требовал доработки. В то же время мы понимали, что мы первый клиент и компания направит все ресурсы, чтобы помочь нам внедрить решение. Так и получилось». В итоге QIWI подписала контракт на три года и до сих пор пользуется сервисом Wallarm.

Про сертификаты:  Штукатурка минеральная BOLIX MP-KA (15, 30) ,25кг - купить в компании ООО Торговый Дом "CЕНТИЗОЛ" (Ростов-на-Дону) по лучшей цене! Условия оплаты и доставки

«Внедренные решения целесообразно менять, когда кто-то создал что-то новое и прорывное. Но никакой новой «вау-технологии» в WAF пока не появилось», — поясняет Кирилл. За контрактом с QIWI последовали и другие. За 2021 год компания подписала десятки клиентов. Из них половина представляла сферу e-commerce.

Ушли в тень: почему хакерская группировка REvil свернула свою деятельность

Поворотным моментом для Wallarm Новиков считает 2021 год. Еще на старте он понимал, что нужно целиться в международный рынок — у сайта Wallarm тогда даже не было российской версии. «Не было смысла делать продукт для локального рынка, потому что в России не было потребности в продукте такого класса и не было денег», — поясняет предприниматель. Американские компании среди клиентов были, но в 2021 году 80% выручки приносили контракты с российскими заказчиками. Чтобы найти американских клиентов, фаундеры регулярно ездили в США, но для работы на американском рынке требовался переезд. Тогда операционный директор Степан Ильин подал заявку в один из самых знаковых американских акселераторов Y Combinator. Среди его выпускников значились Airbnb, Dropbox, DoorDash. «В YC нам рассказали, как строить бизнес в США и искать инвесторов. По сути, нас наделили суперсилой. До переезда в Долину мы, можно сказать, ничего не знали о бизнесе», — рассказывает Иван. Благодаря этому компании удалось привлечь зарубежных клиентов. Она также получила от Y Combinator $120 000 в обмен на долю 7%. За счет этого удалось вдвое увеличить выручку, с $600 000 до $1,2 млн в год.

Первый квартал года компания впервые закрыла с прибылью. После акселерации Wallarm подняла $2,3 млн от фондов Partech, Gagarin Capital, Amino Capital и AltaIR Capital. По словам управляющего партнера фонда Gagarin Capital Михаила Тавера, в 2021-м рынок кибербезопасности активно развивался и Wallarm выделялась на фоне конкурентов. «Одним из преимуществ был возраст компании — она существовала уже три года. Команда успела сделать ряд ошибок и отрефлексировать их, — поясняет инвестор. — Wallarm также тщательно фокусировалась на своей нише и не пыталась объять необъятное, запуская, например, антивирусы, чем нередко грешили некоторые конкуренты». По его словам, большинство конкурентов к тому моменту использовали старомодные «сигнатурные» методы противодействия атакам и не могли реагировать на угрозы с адекватной скоростью. Wallarm же распознавала не только уже описанные атаки, но и их новые вариации. Роль сыграло и попадание в Y Combinator, отмечает Тавер. После окончания программы Новиков обосновался в Сан-Франциско. Это упростило общение с клиентами и инвесторами. В 2021-м компания закрыла раунд А. Его возглавил калифорнийский фонд Toba Capital. Участие приняли Y Combinator, Partech и Gagarin Capital. Общая сумма инвестиций составила $8 млн.

Взломать не строить: почему власти 11 государств закупали шпионский софт у Израиля

Сейчас у Wallarm 200 клиентов, в основном это крупные корпорации, в том числе интернет-магазины, платежные системы и обменники, IT-компании. Среди них Mail.ru, Parallels, Miro, Semrush. В пресс-службе Semrush отметили, что выбирали из продуктов нескольких компаний, в том числе американских конкурентов — Imperva, F5, Cloudflare. Но Wallarm предлагала решение на основе искусственного интеллекта. «Алгоритмы способны обучаться и, таким образом, сокращать число ложных срабатываний (когда система блокирует пользователя, по ошибке приняв его запрос за атаку)», — говорит представитель Semrush. Суммы контрактов зависят от размера клиентской компании. Анастасия Новикова оценивает самые крупные в $30 000 — 40 000 в месяц. Во время пандемии корпорации заморозили бюджеты на информационную безопасность, и Wallarm переориентировалась на заказчиков поменьше. Это позволило нарастить выручку. В 2020-м выручка российской части компании превысила 181,5 млн рублей. Общие цифры в компании не раскрывают, отмечая, что контракты с российскими компаниями приносят до 20% регулярного годового дохода (ARR).

По оценке принципала венчурного фонда Fort Ross Ventures Дениса Ефремова, общая выручка компании за 2020 год могла составить $15 млн. Михаил Тавер оценивает мировой рынок информационной безопасности в $150–180 млрд, и он растет. Новиков говорит, что ему неоднократно предлагали купить стартап, но выходить из дела он не планирует. «Я смогу уйти только тогда, когда пойму, что не нужен индустрии. А это случится, когда появятся люди, способные создавать рабочие решения, — утверждает предприниматель. — В будущем я бы хотел заниматься чем-то более фундаментальным, чем создавать конкретные технологии и продукты, например наукой и образованием. Кажется, это гораздо прикольнее».

Disable_acl¶

Позволяет выключить анализ источников запросов на совпадение с данными из списков IP-адресов. Для выключения необходимо передать в директиве значение on.

Waf валарм – комплексная платформа адаптивной защиты веб-приложений и api

Ключевые преимущества WAF-комплекса «Валарм»

  • Возможность интеграции с существующей инфраструктурой и процессами CI/CD.
  • Уменьшение ресурсов персонала на обслуживание.
  • Оптимизация вычислительных ресурсов за счет использования гибридной архитектуры.
  • Масштабирование под задачи и потребности бизнеса.
  • Централизованное управление защитой для распределенных систем.
  • Точность распознавания атак и минимизация ложных срабатываний.
  • Защита веб-приложений и API от угроз OWASP Top-10 и от 0-day уязвимостей.
Про сертификаты:  ГОСТ Р 55811-2013 Управление сертификатами для финансовых услуг. Сертификаты открытых ключей от 22 ноября 2013 -

Модуль FAST

  • Простое развёртывание и полная интеграция в процессы CI/CD
  • Автоматическое формирование тестов безопасности
  • Поиск аномалий и 0day уязвимостей с помощью фаззинга
  • Работа со структурированными и кодированными данными в XML, REST, JSON, SOAP, Base64 и их комбинациями

Модуль WAF

  • Перепроверка каждой атаки ресурсами облака «Валарм»;
  • Ограничение доступа к уязвимым частям приложения до их устранения
  • Обнаружение на сетевом периметре уязвимостей с оценкой степени критичности и примером эксплуатации;
  • Защита от угроз OWASP TOP-10, 0-day уязвимостей, а также от поведенческих атак;

Платформа Валарм обладает единым интерфейсом, благодаря которому можно проанализировать инциденты и атаки, запускать сканирование периметра и настраивать правила фильтрации на основе бизнес-логики веб-приложений и API.

Онланта предлагает провести тестирование платформы и провести сканирование сетевого периметра, после которого будет предоставлен подробный отчет о найденных уязвимостях и инструкции по их устранению.

Для проведения тестирования нужно заполнить заявку.


Оставить заявку

Wallarm_api_conf¶

Задаёт путь к файлу node.yaml, содержащему реквизиты доступа к API Валарм.

Пример: 

wallarm_api_conf /etc/wallarm/node.yaml;

Используется для выгрузки сериализованных запросов из WAF‑ноды напрямую в API Валарм (облако) вместо выгрузкив модуль постаналитики (Tarantool).

В API попадают только запросы с атаками. Запросы без атак не сохраняются.

Пример содержимого файла node.yaml:

Wallarm_cache_path¶

Директория, в которой при запуске сервера NGINX будет создан каталог backup для хранения копии proton.db и ЛОМ. У пользователя, от которого работает NGINX, должны быть права записи в эту директорию.

Wallarm_enable_libdetection¶

Включает дополнительную валидацию обнаруженных атак типа SQL‑инъекций с использованием алгоритмов библиотеки libdetection. Такой подход реализует двойное обнаружение атак и снижает количество ложных срабатываний.

По умолчанию анализ запросов с помощью libdetection отключен. Чтобы снизить количество ложных срабатываний, мы рекомендуем включить анализ (wallarm_enable_libdetection on).

Подробнее о работе и тестировании библиотеки libdetection →

Для корректного анализа тела запросов с помощью libdetection, необходимо включить буферизацию тела запроса клиента (proxy_request_buffering on).

Пример:

wallarm_enable_libdetection on;
proxy_request_buffering on;

Wallarm_file_check_interval¶

Задает интервал для проверки новых записей в proton.db и ЛОМ. Единица измерения интервала передается в суффиксе, как описано ниже:

  • не указывается для минут,

  • s для секунд,

  • ms для миллисекунд.

Wallarm_force¶

Задает анализ запросов и создание правил ЛОМ на основе зеркалируемого трафика NGINX. Смотрите Анализ зеркалированного трафика с помощью NGINX.

Wallarm_global_trainingset_path¶

Путь к файлу proton.db, содержащему глобальные настройки фильтрации запросов, не зависящие от структуры веб‑приложения.

Wallarm_instance¶

Уникальный идентификатор для обозначения защищенного приложения в Облаке Валарм. Значение может быть любым целым положительным числом, кроме 0.

Вы можете задать уникальные идентификаторы как для приложений, доступных на отдельных доменах, так и для путей одного домена. Например:

Подробнее о настройке приложений →

Wallarm_key_path¶

Путь к лицензионному ключу Валарм.

Wallarm_local_trainingset_path¶

Путь к ЛОМ, содержащему информацию о защищаемом веб‑приложении и настройках ноды.

Wallarm_mode_allow_override¶

Управляет возможностью переопределять значение директивы wallarm_mode через правила, выгружаемые из облака (ЛОМ):

Например, если задано wallarm_mode monitoring и wallarm_mode_allow_override strict, то через Консоль управления Валарм можно включить блокировку каких-то запросов, но нельзя полностью отключить анализ атак.

Подробная инструкция по настройке режима фильтрации →

Wallarm_mode¶

Режим фильтрации трафика:

Wallarm_parse_html_response¶

Флаг для включения / выключения HTML‑парсера ответов приложения. Возможные значения: on, off соответственно.

Директива применяется, только если wallarm_parse_response on.

Wallarm_parse_websocket¶

Валарм — один из первых продуктов с полной поддержкой WebSockets. По умолчанию сообщения WebSockets не анализируются на предмет атак, этот анализ необходимо принудительно включить с помощью директивы wallarm_parse_websocket.

Возможные значения:

  • on: анализ сообщений включен.
  • off: анализ сообщений не производится.

Wallarm_parser_disable¶

Позволяет отключать парсеры.

В настоящее время поддерживаются следующие парсеры:

  • cookie
  • zlib
  • htmljs
  • json
  • multipart
  • base64
  • percent
  • urlenc
  • xml

Пример

Wallarm_process_time_limit¶

Ограничение времени обработки одного запроса, значение задается в миллисекундах.

Wallarm_proton_log_mask_master¶

Настройки отладочного логирования Валарм при работе master-процесса NGINX.

Wallarm_proton_log_mask_worker¶

Настройка отладочного логирования Валарм при работе worker-процесса NGINX.

Wallarm_request_chunk_size¶

Ограничивает размер части параметра, обрабатываемой за одну итерацию. Вы можете установить собственное значение директивы wallarm_request_chunk_size в байтах, присвоив ей числовое значение. Директива также поддерживает значения с постфиксами:

  • k или K для указания размера в килобайтах;

  • m или M для указания размера в мегабайтах;

  • g или G для указания размера в гигабайтах.

Директива для задания адресов серверов. При помощи директивы wallarm_tarantool_upstream вы можете распределять запросы между несколькими серверами постаналитки.

Пример использования:

Wallarm_request_memory_limit¶

Ограничение на максимальный объем памяти, который может быть использован в процессе анализа одного запроса.

При превышении значения анализ запроса будет прерван, пользователю вернется ошибка 500.

В значении можно использовать следующие суффиксы:

  • k или K для указания размера в килобайтах;

  • m или M для указания размера в мегабайтах;

  • g или G для указания размера в гигабайтах.

Значение 0 отключает ограничения.

По умолчанию ограничение отключено.

Wallarm_stalled_worker_timeout¶

Ограничение времени обработки одного запроса рабочим процессом NGINX. Значение задается в секундах.

Если запрос обрабатывается дольше указанного времени, информация о рабочих процессах NGINX записывается в параметры статистикиstalled_workers_count и stalled_workers.

Wallarm_timeslice¶

Ограничение времени одной итерации обработки запроса WAF‑нодой до переключения на следующий запрос. По достижению этого лимита времени WAF‑нода перейдет к обработке следующего запроса в очереди. После совершения одной итерации обработки для всех других запросов очередь снова перейдет к первому запросу.

Вы можете использовать суффиксы интервалов времени, описанные в документации nginx, для задания различных единиц времени в качестве значения директивы.

Wallarm_ts_request_memory_limit¶

Ограничение на максимальный объем памяти, который может быть использован одним экземпляром proton.db lom.

Про сертификаты:  Постановление Правительства Российской Федерации от 22.12.2020 № 2216

Если в процессе обработки какого-то запроса общий объем памяти будет превышен, то пользователю вернется ошибка 500.

В значении можно использовать следующие суффиксы:

  • k или K для указания размера в килобайтах;

  • m или M для указания размера в мегабайтах;

  • g или G для указания размера в гигабайтах.

Значение 0 отключает ограничения.

Wallarm_unpack_response¶

Флаг для включения / выключения распаковки сжатых данных, полученных в ответе приложения. Возможные значения: on, off соответственно.

Директива применяется, только если wallarm_parse_response on.

Wallarm_upstream_connect_attempts¶

Задаёт количество немедленных попыток повторного соединения с Tarantool или API Валарм.

Если соединение с Tarantool или API разрывается, то попытки повторного соединения не происходит, кроме случая, когда соединений больше не остаётся, а очередь сериализованных запросов не пуста.

Wallarm_upstream_connect_timeout¶

Задает время таймаута на подключение к Tarantool или API Валарм.

Wallarm_upstream_queue_limit¶

Задает лимит на количество сериализованных запросов.

Установка параметра wallarm_upstream_queue_limit и отсутствие параметра wallarm_upstream_queue_memory_limit означает отсутствие лимита по последнему.

Wallarm_upstream_queue_memory_limit¶

Задает лимит на суммарный объём сериализованных запросов.

Установка параметра wallarm_upstream_queue_memory_limit и отсутствие параметра wallarm_upstream_queue_limit означает отсутствие лимита по последнему.

Wallarm_upstream_reconnect_interval¶

Задает интервал между попытками переподключения к Tarantool или API Валарм после того, как количество неудачных попыток превысило порог wallarm_upstream_connect_attempts.

Включите sso для аккаунта вашей компании в консоли управления валарм¶

Вы можете использовать технологию единого входа (Single Sign‑On, SSO) для аутентификации пользователей вашей компании в Консоли управления Валарм. В качестве провайдера SSO может использоваться G Suite, Okta, OneLogin или любой другой провайдер.

Для включения SSO, свяжитесь с вашим аккаунт-менеджером Валарм или технической поддержкой Валарм и после этого выполните настройку SSO по инструкции.

Включите в план оперативное обновление ноды валарм до новых версий¶

Мы непрерывно повышаем качество продукта Валарм API Security и выпускаем новые версии с улучшениями. Новые версии публикуются примерно раз в квартал. Более детальная информация о процессе обновления и возможных рисках приведена в документе с рекомендациями по обновлению ноды Валарм.

Изучите возможности nginx¶

Основной компонент Валарм API Security — нода, которая устанавливается в вашу инфраструктуру. В большинстве форм установок, нода использует NGINX в качестве обратного прокси‑сервера.

NGINX — надежный и производительный сервер, который предоставляет широкий набор возможностей и модулей. Чтобы познакомиться с NGINX и его возможностями, мы рекомендуем обратиться к следующим публичным статьям на английском языке:

Изучите возможности триггеров¶

В зависимости от особенностей ваших приложений, мы рекомендуем изучить следующие возможности триггеров:

Изучите работу белых, черных и серых списков ip‑адресов¶

Помимо блокировки запросов с признаками атаки, нода Валарм может блокировать IP‑адреса источников запросов. Условия блокировки источников запросов настраиваются с помощью белых, серых и черных списков IP-адресов.

Узнать подробнее о списках IP-адресов →

Используйте terraform-провайдер валарм для управления конфигурацией облака валарм¶

С помощью официального Terraform-провайдера Валарм вы можете управлять конфигурацией Облака Валарм, а именно: списком ползователей, приложений, интеграций и т.д.

Настройте интеграции со сторонними системами для уведомлений о событиях¶

Чтобы оперативно получать уведомления о событиях безопасности в вашей системе, вы можете настроить нативные интеграции с PagerDuty, Opsgenie, Slack, Telegram и другими системами. Например, в системы отправляются следующие уведомления:

  • Новые уязвимости, обнаруженные в защищаемом приложении

  • Изменения в сетевом периметре компании

  • Новые пользователи аккаунта компании в Консоли управления Валарм и т.д.

Для более тонкой настройки уведомлений вы также можете использовать Триггеры.

Настройте корректную передачу ip‑адреса источника запросов¶

Если перед передачей на ноду запросы проходят через прокси‑сервер или балансировщик нагрузки, в качестве IP‑адреса источника запросов на ноду передается адрес прокси-сервера или балансировщика. В этом случае списки IP‑адресов, Активная проверка атак и некоторые другие возможности Валарм API Security могут работать некорректно.

Чтобы настроить корректную передачу IP‑адреса источника на ноду, используйте следующие инструкции:

Настройте мониторинг развернутых нод валарм¶

Одна из рекомендуемых настроек ноды Валарм — качественный мониторинг ее работы. Вместе с каждой нодой Валарм установлен сервис collectd, который собирает метрики по состоянию ноды и проанализированным запросам.

Способ для настройки мониторинга ноды зависит от формы ее установки:

Настройте схему резервирования защищаемого ресурса¶

Как и установка любого компонента в боевой среде, установка ноды Валарм должна быть правильно спроектирована и произведена с учетом случаев, когда нода может оказаться неработоспособной (например, из‑за отключения питания). Для высокой доступности сервисов Валарм, необходимо использовать минимум две ноды для обработки основного трафика ресурса и настроить схему резервирования, используя следующие инструкции:

Разверните ноду валарм в тестовой и в боевой средах¶

В большинстве случаев количество нод Валарм, которые может установить клиент, не ограничено. Поэтому мы рекомендуем развернуть и использовать ноду во всех средах вашей инфраструктуры: в боевой и тестовой средах, среде разработки и т.д.

Анализ запросов к приложению на всех этапах его разработки и публикации позволяет составить более точный профиль приложения и минимизировать риск непредвиденного поведения ноды в боевой среде.

Следуйте рекомендациям по управлению модулем активной проверки атак¶

Один из методов обнаружения уязвимостей — Активная проверка атак. Модуль активной проверки атак воспроизводит атаки из реального трафика, обработанного нодой Валарм, и анализирует ответ приложения на наличие признаков уязвимостей, которые потенциально могли быть проэксплуатированы.

Изучить рекомендации по управлению модулем активной проверки атак →

Wallarm_upstream_backend¶

Задаёт способ отправки сериализованных запросов – запросы можно отправлять либо в Tarantool, либо в API.

Возможные значения директивы:

Значения по умолчанию в зависимости от других директив:

Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат