Визначення пріоритетності хмарних сервісів для динамічного створення правил WAF

Abstract

В статті розглянуто процес визначення пріоритетності хмарних сервісів, а також їх покриття мереже вим екраном. Проаналізовано структуру та основні параметри раніше зібраних хмарних гібридних конфігурацій. Приділено увагу особливостям розміщення хмарних сервісів у гібридних хмарах та їх покриттю мережевими екранами веб-додатків. Часто такі мережеві екрани входять до набору типо вих послуг таких сервісів як CloudFlare, надаючи можливість покривати одночасно всю гібридну хмару. Також розглянуто різні типи доступу до хмарних сервісів, які можуть забезпечувати як безпо середній доступ, так і використовувати реверсивне проксіювання, в якому відбувається термінування захищених з’єднань та застосування статичних та динамічних правил мережевого екрана. В даному дослідженні приділяється увага зібраним описовим даним про гібридні хмари з попередніх дослі джень, зокрема, хмарним сервісам, а також їхнім зв’язкам. У контексті даного дослідження патерни пріоритетності мають використовуватись для динамічного створення правил мережевого екрана. Па терни пріоритетності необхідні для динамічного створення дозволяючих або забороняючих правил. Це особливо актуально під час автоматизації налаштування мережевого екрана за допомогою інстру ментів генеративного штучного інтелекту. У статті запропоновано два показники для створення па тернів пріоритетності правил мережевого екрана– пріоритет доступності та пріоритет покриття ме режевим екраном. Пріоритет доступності визначає рівень критичності забезпечення беззбійного дос тупу певного хмарного сервісу. Пріоритет покриття мережевим екраном у свою чергу визначає рі вень обмеження доступу до хмарного сервісу. В даному дослідженні проведено експертне опитуван ня щодо параметрів доступності та захисту всіх хмарних сервісів, зібраних у попередньому дослі дженні. В статті пропонується використання цих двох показників для створення патернів пріоритет ності для мережевого екрана веб-додатків.

The article examines the process of determining the prioritization of cloud services and their coverage by network firewalls. The structure and key parameters of previously collected hybrid cloud configurations are analyzed. Particular attention is given to the specifics of cloud service deployment within hybrid clouds and their coverage by web application firewalls. Frequently, such firewalls are included among the standard services offered by providers such as Cloudflare, allowing comprehensive protection of the entire hybrid cloud environment. The article also discusses different types of access to cloud services, which may provide either direct access or employ reverse proxying. In the latter case, secure connections are terminated, and both static and dynamic firewall rules are applied. This study focuses on descriptive data collected from previous research on hybrid clouds, particularly concerning cloud services and their interconnections. Within the context of this study, priority patterns are intended to be used for the dynamic generation of firewall rules. These priority patterns are necessary for dynamically creating either permissive or restrictive rules. This approach is especially relevant for automating firewall configuration using generative artificial intelligence tools. The article proposes two indicators for the development of firewall rule priority patterns: the availability priority and the firewall coverage priority. The availability priority determines the level of criticality in ensuring uninterrupted access to a specific cloud service, whereas the firewall coverage priority defines the degree of access restriction to that service. An expert survey was conducted as part of this research to evaluate the availability and protection parameters of all cloud services collected in previous studies. The article proposes using these two metrics for creating priority patterns for the web application firewall. Key words: cloud computing, firewall, web applications, dynamic rules.