Yandex Smart Web Security

Обзор

Yandex Smart Web Security — облачный сервис класса WAAP (Web Application and API Protection) для защиты веб‑сайтов, приложений и API от DDoS‑атак уровня приложений, веб‑угроз по OWASP Top 10 и вредоносных ботов. Решение работает как обратный прокси, фильтрует трафик на входе с помощью многоуровневых политик и ML‑моделей, использующих технологии и опыт защиты высоконагруженных сервисов Яндекса.

Зачем и для чего это нужно (use cases)

• Защита публичных веб‑приложений и сайтов от L7 DDoS и типовых веб‑атак (SQLi, XSS, RCE и др.).
• Защита API‑эндпойнтов и мобильных бэкендов от автоматизированного злоупотребления (скрейпинг, credential stuffing, brute force, аккумуляция токенов).
• Управление доступом по географии, ASN и спискам IP для соблюдения регуляторных ограничений или региональной политики доступа.
• Снижение рисков бизнес‑логики: защита от поведенческих атак и нежелательных сценариев (скупка, фродовые регистрации, накрутка).
• Гибридные и мультиоблачные сценарии: единая точка входа и правил фильтрации для инфраструктуры внутри и вне Yandex Cloud.

Ключевые функции и особенности

DDoS‑атаки уровня приложений (L7)

• Автоматическое выявление всплесков и аномалий на уровне HTTP/S.
• Профилирование трафика и адаптивные меры защиты без вмешательства разработчиков.

Веб‑защита (WAF, OWASP Top 10)

• Управляемые правила и сигнатуры для популярных классов уязвимостей.
• Пользовательские правила на основе заголовков, URI, параметров, cookies, методов и тел запросов.
• Ограничение скорости (rate limiting) и защита от brute force.

Защита от ботов

• ML‑модели и поведенческий анализ для отличия людей от автоматизированного трафика.
• Интерактивные челленджи (например, JavaScript‑проверки, CAPTCHA) и «ступенчатая» проверка подозрительных клиентов.

Защита эндпойнтов API

• Политики для REST/GraphQL и мобильных API: лимиты запросов, проверка токенов и аномалий паттернов.
• Тонкая фильтрация по путям, методам и параметрам.

Контроль доступа

• Ограничение по геопризнаку, ASN и источнику IP.
• Белые/черные списки, временные блокировки и карантинные меры.

Развертывание: обратный прокси

• Подключается перед вашей инфраструктурой через смену A‑записей в DNS.
• Защищает приложения как в Yandex Cloud, так и за его пределами, поддерживает гибридные сценарии.

Базовая L3–L4‑защита на прокси

• Фундаментальная фильтрация сетевого трафика на транспортном уровне, снижающая нагрузку до уровня приложений.

Балансировка L7 по умолчанию

• Встроенный балансировщик HTTP/S‑трафика, health‑checks и распределение запросов между бэкендами.

Наблюдаемость и аналитика

• Дашборды атак и инцидентов, оперативные метрики и журналирование событий безопасности.
• Интеграции с логированием и мониторингом, экспорт для SIEM/алертинга.

Интеграции и автоматизация

• Управление через консоль, API и инструменты IaC.
• Поддержка TLS‑терминации и управления сертификатами.

Производительность и надежность

• Масштабируемая обработка трафика на периметре, низкие задержки и устойчивость под нагрузкой.

Кому может быть полезно и для чего

• Интернет‑сервисы и e‑commerce: защита от накруток, скрейпинга и всплесков трафика в пиковые периоды.
• Финтех и телеком: снижение рисков фрода и автоматизированных атак на публичные API.
• Гос‑сектор и образование: соблюдение требований доступа по географии/сетям и непрерывность сервисов.
• Медиа и SaaS: защита контента, личных кабинетов и платных функций от ботов и злоупотреблений.
• DevOps/Безопасность: единая политика WAAP, централизованные логи и автоматика развертывания.

Как подключается (в общих чертах)

1. Подтвердить домен и обновить DNS A‑записи на адреса сервиса. 2) Настроить бэкенды и балансировку L7. 3) Включить политики WAF/бот‑защиты, лимиты и списки доступа. 4) Подключить логирование и алертинг, отследить метрики и адаптировать правила под профиль трафика.

Вопросы и ответы

• Нужны ли агенты на серверах? Нет, защита работает на периметре как обратный прокси.
• Подходит ли для мобильных приложений и API? Да, есть профили для API‑эндпойнтов и ограничения скорости.
• Влияет ли на задержку? Минимально: трафик обрабатывается на периметре, а правила оптимизированы под высокую нагрузку.
• Можно ли использовать вне Yandex Cloud? Да, поддерживаются внешние и гибридные инфраструктуры.
• Защищает ли от сетевых L3–L4 атак? На уровне прокси есть базовая фильтрация; при расширенных потребностях возможно сочетание с профильной L3–L4‑защитой.