Brandvägg för webbaserade program (WAF) med stöd för Fast: Frågor och svar

Hur fungerar Adobe Commerce hanterade moln-WAF (från Fastly)?

Brandväggar för webbaserade program (WAF) förhindrar att skadlig trafik kommer in på webbplatser och nätverk genom att filtrera trafik mot en uppsättning säkerhetsregler. Trafik som utlöser någon av reglerna blockeras innan den kan skada dina platser eller nätverk.

Adobe Commerce cloud WAF har en WAF-policy med en regeluppsättning som är utformad för att skydda dina Adobe Commerce webbprogram från en mängd olika attacker.

WAF undersöker webb- och administratörstrafik för att identifiera misstänkt aktivitet. Den utvärderar GET- och POST-trafik (HTTP API-anrop) och använder regeluppsättningen för att avgöra vilken trafik som ska blockeras. WAF kan blockera en mängd olika attacker, bland annat SQL-injektionsattacker, serveröverskridande skriptattacker (cross-site scripting), dataexfiltreringsattacker och HTTP-protokollöverträdelser.

Som molnbaserad tjänst kräver WAF ingen maskinvara eller programvara för att kunna installera eller underhålla. Snabb, en befintlig teknikpartner, tillhandahåller programvara och expertis. Deras högpresterande, alltid aktiverade WAF finns i varje cache-nod över Fastlys globala leveransnätverk.

Är WAF tillgängligt för alla molnkunder?

Ja, molnet-tjänsten WAF ingår i din Adobe Commerce-prenumeration på molninfrastruktur för både Adobe Commerce på arkitekturen i molninfrastrukturen Starter-planen och Adobe Commerce på arkitekturplanerna i molninfrastrukturen Pro-planen utan extra kostnad. Tjänsten WAF är tillgänglig i produktions- och mellanlagringsmiljöer.

Uppfyller WAF kraven i PCI DSS 6.6?

Ja.

Om mitt Adobe Commerce-konto för molninfrastruktur hanterar webbplatser på flera domäner, justeras WAF-profilen för varje domän, eller tillsammans för alla domäner?

WAF justeras gemensamt för alla domäner med ett enda molnkonto.

Vilka regler används för WAF?

Den regel som anges i den WAF-profil som tillämpas på din Adobe Commerce i molninfrastruktursproduktionsmiljön baseras på regeluppsättningen OWASP Top 10 Threat Protection, som omfattar vanliga utnyttjanden av webbtjänster. Det innehåller också Adobe Commerce-specifika regler som utvecklats av TrustWave SpiderLabs. Fast's Security Research Team har också lagt till regler som skyddar din webbplats och ditt nätverk från vanliga attacker: felaktiga IP-adresser, dåliga användaragenter och kända botnet-kommandon och kontrollnoder. Vi aktiverar regler på OWASP Paranoia Level 3 eller lägre, vilket ger hög säkerhet.

Hur kommer jag åt loggar?

Om du vill att loggarna ska skickas till loggningsverktyget, bör du samarbeta med din tekniska kontohanterare (TAM) för att snabbt lägga till en loggningsslutpunkt.

Hur ser en blockbegäran ut?

En blockerad begäran returnerar en 403-sida med en begärandeidentifierare.

Du kan anpassa den här sidan så länge som anpassningen innehåller begärandeidentifieraren. Kontakta din kontoansvarige för mer information.

Hur uppdaterar vi uppsättningar med WAF-regler? Hur snabbt kan en WAF-regel ändras eller uppdateras och tillämpas globalt i produktionen?

Som en del av molntjänsten WAF hanterar Fastly regeluppdateringar från kommersiella tredje parter, snabbforskning och öppna källor. De uppdaterar publicerade regler till en policy efter behov eller när ändringar av reglerna är tillgängliga från deras respektive källor. Nya regler som matchar de publicerade klasserna med regler infogas också i WAF-instansen för alla tjänster när de har aktiverats. Detta bidrar till att säkerställa omedelbar täckning för nya eller föränderliga explosioner. Du kan granska information om regeluppdateringar och underhåll på webbplatsen för snabbdokumentation.

Hur skiljer sig Adobe Commerce cloud WAF från WAF-lösningen Snabbt erbjuder sina direkta kunder?

WAF-lösningen som säljs direkt av Fastly är ett betalerbjudande som innehåller bredare regeluppsättningar och ytterligare funktioner som regelanpassning och skydd mot skadlig kod. Adobe Commerce moln-WAF-lösning innehåller en delmängd av regler för Adobe Commerce och innehåller endast en regeluppsättning för varje kunds produktionsmiljö.

Vilka typer av säkerhetshot skyddar WAF mot?

hot
WAF-skydd
SQL-injektionsangrepp
Både OWASP ModSecurity Core Rule Set och TrustWave-affärsregeluppsättningen innehåller specifika filter för SQL-injektionsangrepp och dess varianter.
Injektion på olika ställen
OWASP-regeluppsättningen skyddar mot attacker med injektioner över flera platser. Utnyttja snabbt en bedömningsmekanism för varje begäran som söker efter injektioner på olika platser och andra hot mot ursprunget. Vi poängsätter varje begäran mot hela kärnregeluppsättningen och validerar att poängen för begäran ligger under ett konfigurerbart tröskelvärde för att den ska kunna godkännas.
Anfall med brutal kraft
Omfattas av OWASP-regeluppsättningen. Blockerar snabbt även den akuta kraftaktiviteten genom att använda VCL-kod som känner igen specifika källor, förfrågningar eller försök att utnyttja kraften eller överväldigande säkerhetskontroller innan någon trafik når det ursprungliga datacentret.
Nätverksattacker
Nätverksattacker, eller attacker mot nätverksinfrastruktur, hanteras automatiskt av Fastly. DNS skickas inte automatiskt till ursprungsläget, och trafik som inte matchar en smal HTTP-, HTTPS- eller DNS-profil ignoreras i nätverkets kant. Angripanden mot kontrollprotokoll försvaras genom autentisering av slutpunkter i hela nätverket. Dessutom är de nätverksprotokoll som används inom snabbnätverket hårdgjorda för att säkerställa att de inte kan användas som ett medel för förstärkning eller reflektion. Kunderna ansvarar för att skydda sig mot attacker som går förbi snabbnätverket genom att utnyttja IP-adressutrymmet Fastly Cache, som publiceras till våra kunder som en del av vår CDN-tjänst. Vi rekommenderar att ursprungligt IP-adressutrymme inte publiceras i offentlig DNS för att säkerställa att åsidosättningsattacker inte kan använda dessa adresser som mål.
JavaScript injektionsangrepp
WAF-reglerna skyddar mot att skadlig JavaScript-kod infogas i klientkommunikationen med webbtjänster. Vanliga utnyttjandemönster eller bakgrundsmusik filtreras genom WAF för att säkerställa ursprungstjänstens integritet.

Erbjuds ytterligare funktioner?

Adobe Commerce WAF-erbjudande innehåller skydd mot OWASP Top-10-hot som en del av PCI-kraven, stöd dygnet runt, alla dagar, inklusive triage for false positiva, och versionsuppgraderingar. Följande funktioner stöds inte i standarderbjudandet:

  • hastighetsbegränsning
  • regelanpassningar
  • bockreducering
  • skydd mot skadliga program

Hur påverkas min webbplats prestanda av WAF?

Varje begäran som inte cachelagras har en fördröjning på cirka 1,5 millisekunder (ms) till 20 ms.

Kan kunderna skapa och ändra IP-svarta listor för att blockera trafik?

Ja, kunderna kan aktivera blockering per land och åtkomstkontrollista (ACL) från administratörsgränssnittet för Adobe Commerce i molninfrastrukturen. Använd dessa funktioner om du vill blockera åtkomst för besökare som kommer från specifika länder eller vissa IP-intervall. Om du vill att blockerade besökare ska se en anpassad sida i stället för en felkod, kan du skapa en anpassad felsida genom att överföra HTML på snabbkonfigurationsmenyn. Se Skapa en anpassad fel-/underhållssida i utvecklardokumentationen.

Var kan jag kontrollera driftsstatus för min WAF-tjänst?

Den totala tillgängligheten för WAF-tjänsten rapporteras på sidan Snabbstatus. Tillgänglighetsrapportering för enskilda kunders WAF tillhandahålls inte.

Tillhandahåller Adobe Commerce incidenthantering för WAF-tjänsten?

För närvarande erbjuds inte incidenthantering.

Har Adobe Commerce ett säkerhetscenter?

Även om Adobe Commerce inte har något säkerhetscenter har vi en säkerhetsverksamhetsprocess som gör att vi kan använda rätt resurser för att hantera säkerhetsincidenter i realtid. Vi erbjuder också support dygnet runt, alla dagar, året om.

Du kan även få säkerhetsnyheter och uppdateringar relaterade till Adobe Commerce från Säkerhetscenter.

Vilken support finns?

WAF Support erbjuder följande resurser för att hjälpa dig att minska tjänsternas konsekvenser av oönskade eller skadliga förfrågningar:

  • Onboarding: aktivering, inledande konfiguration och begränsad övervakning av snabbtjänsten/tjänsterna som stöder Adobe Commerce hanterade cloud WAF
  • Pågående falskt positivt test för att åtgärda instanser där WAF blockerar legitim trafik
  • Konfiguration av nya standardregler som införs som en del av uppgraderingar av WAF-versioner

Se villkoren för Cloud SLA för ytterligare supportinformation, inklusive allvarlighetsdefinitioner, svarstider, kanaler och tillgänglighet.

Hur kan jag få hjälp om WAF blockerar legitim trafik eller orsakar andra problem?

Skicka in en supportanmälanAdobe Commerce Help Center. Ange att biljetten är relaterad till WAF-tjänsten och inkludera ID:t för spärrad begäran.

Adobe Commerce supportsystem spårar kommunikationen mellan våra supporttekniker och en kunds personal. Det här systemet innehåller en tidstämplad kopia av kommunikationen och skickar e-post till kunder och Adobe Commerce personal när biljetterna uppdateras.

Incidentkvittot för alla ärenden som skickas online bekräftas via Adobe Commerce kundhjälpcenter. När ett inlämnat ärende har mottagits ska supporttjänsterna prioriteras i enlighet med de prioriteringsnivåer som anges ovan.

I följande tabell sammanfattas supportkanaler och tillgänglighet för WAF-stöd:

Support
Information
Självbetjäningshjälp online
Obegränsad åtkomst
Tillgång till incidentrapporter
24/7
Webbportal
Tillgängligt via Zendesk
Eskalering av nödsituationer*
Läs artikeln Adobe Commerce P1 notification hotline för amerikanska och internationella nummer.

* Adobe Commerce avgiftsfria telefonlinje för support är endast reserverad för incidenter med prioritet 1. Anrop som inte är prioriterade 1 saktar ned det övergripande svaret på problem

Hur luras falska positiva?

Vi har en falskt positiv triageprocess (tillgänglig dygnet runt) för att snabbt ta itu med och lösa fall där legitima förfrågningar har utlöst en WAF-regel. Falska positiva händelser behandlas som problem med prioritet 1. Som standard kan vårt supportteam uppdatera WAF-policyn omedelbart för att inaktivera regeln som utlöste blockeringshändelsen och tillåta att den berättigade begäran skickas via WAF.

Vad händer om trafiken till adminavsnittet i Adobe Commerce på molninfrastrukturens webbplats utlöser WAF-regler? Kan Adobe Commerce Support lösa problem med blockerad administratörstrafik?

Ja, blockerad administratörstrafik behandlas som ett problem med prioritet 1.

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a