Brandvägg för webbaserade program (WAF)
Tjänsten WAF (web application firewall) för Adobe Commerce i molninfrastruktur tillhandahålls av Fastly och identifierar, loggar och blockerar trafik för skadliga förfrågningar innan den kan skada dina webbplatser eller ditt nätverk. Tjänsten WAF är endast tillgänglig i produktionsmiljöer.
Tjänsten WAF ger följande fördelar:
-
PCI-kompatibilitet - WAF-aktivering säkerställer att Adobe Commerce-butiker i produktionsmiljöer uppfyller PCI DSS 6.6-säkerhetskraven.
-
Standard-WAF-princip - Den förvalda WAF-principen, som konfigurerats och underhålls av Fastly, innehåller en samling säkerhetsregler som är anpassade för att skydda dina Adobe Commerce-webbprogram från en mängd olika attacker, inklusive injektionsangrepp, skadliga indata, serveröverskridande skriptning, dataextrahering, HTTP-protokollöverträdelser och andra OWASP Top Ten -säkerhetshot.
-
WAF-introduktion och aktivering - Adobe distribuerar och aktiverar standardprincipen för WAF i produktionsmiljön inom 2 till 3 veckor efter att etableringen är klar.
-
Drifts- och underhållssupport—
- Adobe och Konfigurera och hantera snabbt loggar och aviseringar för tjänsten WAF.
- Adobe gör kundsupportärenden relaterade till WAF-servicefrågor som blockerar legitim trafik som Priority 1-frågor.
- Automatiserade uppgraderingar till WAF-versionen säkerställer omedelbar täckning för nya eller kommande utnyttjanden. Se WAF-underhåll och uppgraderingar.
Aktivera WAF
Adobe aktiverar WAF-tjänsten på nya konton inom 2 till 3 veckor efter det att etableringen är klar. WAF implementeras via tjänsten Fast CDN. Du behöver inte installera eller underhålla någon maskin- eller programvara.
Så här fungerar det
WAF-tjänsten integreras med Fast och använder cachelogiken i tjänsten Fast CDN för att filtrera trafiken på de snabbt globala noderna. Vi aktiverar WAF-tjänsten i din produktionsmiljö med en standard-WAF-princip som baseras på ModSecurity Rules från Trustwave SpiderLabs och OWASP Top Ten security Hoghts.
WAF-tjänsten filtrerar HTTP- och HTTPS-trafik (GET- och POST-förfrågningar) mot WAF-regeluppsättningen och blockerar trafik som är skadlig eller som inte följer specifika regler. Tjänsten filtrerar endast ursprunglig trafik som försöker uppdatera cachen. Därför stoppar vi de flesta attackerna på snabbcachen och skyddar era urkunder från skadliga attacker. Genom att endast bearbeta ursprungstrafik bevarar WAF-tjänsten cacheprestanda, vilket innebär att endast uppskattningsvis 1,5 millisekunder till 20 millisekunder fördröjning för varje begäran som inte cache-lagras.
Felsöka blockerade begäranden
När WAF-tjänsten är aktiverad filtreras all webb- och administratörstrafik mot WAF-reglerna och blockerar alla webbförfrågningar som utlöser en regel. När en begäran blockeras ser den som gjorde begäran en standardfelsida för 403 Forbidden som innehåller ett referens-ID för blockeringshändelsen.
Du kan anpassa den här felsvarssidan från Admin. Se Anpassa WAF-svarssidan.
Om din Adobe Commerce-administratörssida eller butik returnerar en 403 Forbidden-felsida som svar på en giltig URL-begäran, skickar du en Adobe Commerce-supportanmälan. Kopiera referens-ID:t från felsvarssidan och klistra in det i biljettbeskrivningen.
Underhåll och uppdateringar av WAF
Underhåller och uppdaterar snabbt WAF-reglerna baserat på regeluppdateringar från kommersiella tredje parter, snabbforskning och öppna källor. Uppdaterar snabbt de publicerade reglerna till en policy efter behov eller när ändringar av reglerna är tillgängliga från deras respektive källor. Fast kan också lägga till regler som matchar de publicerade klasserna av regler i WAF-instansen för alla tjänster när WAF-tjänsten har aktiverats. Uppdateringarna säkerställer omedelbar täckning för nya eller föränderliga explosioner.
Hantera uppdateringsprocessen i Adobe och Snabbt för att säkerställa att nya eller ändrade WAF-regler fungerar effektivt i produktionsmiljön innan uppdateringarna distribueras i blockeringsläge.
Begränsningar
Standardtjänsten för WAF som drivs av Fastly stöder inte följande funktioner:
- Skydd mot skadlig kod eller robotskydd - Överväg att använda åtkomstkontrollistor eller en tredjepartstjänst.
- Hastighetsbegränsning - Se Hastighetsbegränsning i dokumentationen Snabbt, eller se Hastighetsbegränsning i säkerhetsavsnittet för Commerce Web API .
- Konfigurerar en loggningsslutpunkt för kund - Se PrivateLink-tjänsten som ett alternativ.
Även om du inte kan blockera eller tillåta trafik baserat på IP-adresser i tjänsten WAF kan du lägga till åtkomstkontrollistor (ACL) och anpassade VCL-fragment till tjänsten Snabbt för att ange IP-adresser och VCL-logik för att blockera eller tillåta trafik. Se Anpassade snabbt VCL-fragment.
Filtrering för TCP-, UDP- eller ICMP-begäranden stöds inte av WAF-tjänsten. Den här funktionen tillhandahålls dock av det inbyggda DDoS-skyddet som ingår i tjänsten Fast CDN. Se DDoS-skydd.