Фильтрация зеркалированного трафика¶
При асинхронной маршрутизации трафика можно установить ноду Вебмониторэкс как дополнительный бэкенд‑сервис для анализа зеркала (копии) HTTP‑трафика. Необходимая конфигурация описана в этой инструкции.
Зеркалирование трафика позволяет отправлять оригинальный трафик приложения параллельно на несколько бэкенд‑сервисов. Если в качестве такого бэкенда установить ноду Вебмониторэкс, то можно получить возможность анализировать копию трафика без серьезных изменений в "живой" системе — все запросы будут доходить до конечных адресов.
Пример маршрутизации трафика:
Сценарии использования¶
Установка ноды Вебмониторэкс для анализа зеркалированного трафика полезна в следующих случаях:
-
Для полной гарантии, что средства защиты не повлияют на работоспособность и производительность приложения.
-
Для предварительного обучения решения Вебмониторэкс на трафике до запуска модуля в "боевом" режиме.
Ограничения при фильтрации зеркалированного трафика¶
Несмотря на надежность, подход имеет ряд ограничений:
-
Только нода Вебмониторэкс на основе NGINX поддерживает обработку зеркалированного трафика.
-
Нода Вебмониторэкс не блокирует вредоносные запросы в режиме реального времени, так как анализирует трафик независимо от оригинального потока.
-
Вебмониторэкс не ищет уязвимости в приложениях и API, так как в качестве входных данных у ноды есть только копия входящих запросов. Зеркалирование ответов на запросы невозможно.
-
Для решения требуется дополнительный компонент — веб-сервер или другой сервис, который зеркалирует трафик (например, NGINX, , Istio, Traefik, кастомный модуль Kong и т.д.).
Настройка¶
Чтобы установить Вебмониторэкс для фильтрации зеркалированного трафика:
-
Настройте ваш веб-сервер на зеркалирование входящего трафика на дополнительный бэкенд.
-
Установите ноду Вебмониторэкс в качестве дополнительного бэкенда и настройте на его стороне фильтрацию зеркалированного трафика.
Зеркалирование трафика поддерживается многими веб-серверами. Для наиболее популярных мы привели примеры конфигурации: