В начале 2020-х годов схемы интеграции информационных систем, использующие протокол HTTP в качестве транспорта, уверенно заняли лидирующую позицию в различных приложениях. Важную роль в этом сыграли: скачкообразно выросшая доля распределенных приложений, построенных с использованием микросервисной архитектуры; стандартизация и массовое внедрение протоколов обмена прикладными сообщениями на базе форматов XML и JSON, использующими HTTP на транспортном уровне; продолжающееся увеличение уровня вычислительных ресурсов, доступных для обработки единичного сообщения (как на стороне отправителя, так и на стороне получателя), и полосы пропускания сетевой инфраструктуры. Фактически, в ходе данного процесса сам протокол HTTP претерпел серьезные изменения и в настоящее время несет две качественно различные функции: непосредственной доставки разнородного контента от сервера к клиенту в асимметричной схеме и практически симметричного протокола обмена сообщениями между двумя равноправными участниками информационного взаимодействия. Такая ситуация привела к появлению новой точки возможного контроля исполнения вычислительных процессов, которой не преминули воспользоваться разработчики программных систем защиты информации, в результате чего появились новая технология и соответствующий класс программных продуктов: межсетевые экраны прикладного уровня (L7) Web Application Firewall (WAF). В статье подробно рассмотрены как сама эта технология, так и основанные на ней решения.
< ... >
At the beginning of 2020 Information systems integration schemes using the HTTP as a transport have confidently taken a de facto leading position in applications. In fact, in the course of this process, the HTTP protocol itself has undergone significant changes, and currently has two qualitatively distinguishable functions: both direct delivery of heterogeneous content from the server to the client in an asymmetric scheme, and a practically symmetrical messaging protocol between two equal participants in information interaction. This situation has led to the emergence of a new point of possible control over the execution of computing processes, which developers of information security software systems did not fail to use, as a result of which a new technology and the corresponding class of software products appeared — application layer firewalls (L7) Web Application Firewall (WAF). Let’s consider the mentioned technology and solutions in more detail.
Keywords:
microservice application architecture, transport protocol, HTTP, security threat model, intruder model, application layer firewalls (L7)
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»
