Внедрение WAF. Взгляд архитектора

Еще 8 лет назад я изучил различные варианты внедрения WAF в инфраструктуру компании для защиты ее веб-ресурсов. Ни вендор, ни интегратор тогда не смогли мне толком ответить, каким образом правильнее интегрировать WAF под мои требования, только твердили "vendor-recommended design". В итоге пришлось делать все самому, причем на тот момент выбранный вариант шел вразрез с рекомендованным дизайном вендора (только через пару лет вендор изменил свой дизайн на тот, что выбрал я). Иногда я рассказываю на внешних или внутренних конференциях, как правильно выбрать архитектуру, отвечаю на возникающие вопросы, чтобы мой опыт пригодился и другим. Несколько дней назад я понял, что тема актуальна и до сих пор, поэтому решил написать эту статью. 

Составлю эту статью в основном из скриншотов слайдов презентаций, с которой выступал на разных конференциях.

Вряд ли для кого-то это будет новостью, но дам вводное определение WAF своими словами:

Иногда можно услышать споры о том, что лучше использовать: WAF, IDS или IPS.

Двухфакторная аутентификация глазами agile-хипстера

Жили-были agile-хипстеры, и решили они озадачиться вопросами информационной безопасности. Ведь "стильно, модно, молодежно" нужно развивать, и добавить туда "безопасно". Но так добавить, чтобы еще и удобно, и дешево. Чтобы задекларировать можно было, повышая престиж, статус и цены на продукцию, но при этом не особо напрягаться. Но что делать - непонятно. И заказали хипстеры аудит информационной безопасности. 

Скоро аудит делается, да неспешно рекомендации пишутся. Неспешно, но емко и беспощадно.