Ozon создает собственный WAF для внутренних задач. Российские аналоги могут быть дорогостоящими: десятки миллионов рублей ежегодно. Разработка собственной системы обойдется минимум в полмиллиарда.
Команда Ozon берется за создание WAF
Ozon приступил к разработке своей системы Web Application Firewall. Об этом свидетельствует вакансия на позицию старшего специалиста по данным.
В тексте вакансии указано: Расширяем команду под запуск нового проекта — разработку WAF.
Представители Ozon пояснили: это внутренний проект развития экспертизы, а не вывод решения на рынок.
Масштабный проект: года и сотни миллионов
Создание WAF с нуля для нагрузок Ozon требует как минимум года работы команды из 5-10 экспертов (разработчики, ИБ, DevOps, аналитики угроз) и около 100 млн руб. на этап разработки, подчеркивает Дмитрий Ткачев, гендиректор Curator.
Ozon укрепляет команду разработки WAF
Ozon, вероятно, будет строить WAF на базе open source, например ModSecurity, предполагает источник в ИТ-холдинге.
Рустэм Хайретдинов, вице-президент Гарда, убежден: Создание корпоративного WAF для масштабной динамичной системы займет годы и потребует от полумиллиарда рублей.
Владимир Гриднев, замгендиректора Вебмониторэкс, добавил: Также необходимы тонкая настройка фильтрации/детекции и ресурсы на поддержку/развитие системы.
Причины отказа от готовых решений WAF
Иностранные WAF, такие как Imperva, F5, Fortinet, ныне недоступны на рынке РФ. К тому же, их применение у Ozon маловероятно из-за требований к безопасности персональных данных.
Российские WAF могли не устроить Ozon стоимостью (возможно свыше 10 млн руб/мес) и уровнем поддержки. WAF тарифицируется по rps (requests per second), что при нагрузках маркетплейса выливается в огромные суммы, согласен Ткачев.
Максим Долгинин из Cloud.ru отметил: РФ-вендорам невыгодно создавать продукт ради одного крупного заказчика, вкладывая колоссальные средства в R&D.
Хайретдинов пояснил: Своя система только для Ozon способна сэкономить до 20% за счет исключения рыночных функций (развертка, настройка, внедрение, обучение).
Почему Ozon нужна своя WAF-система
Команда Positive Technologies, через слова Алексея Антонова, уточняет: Рыночные решения могли не учесть уникальную специфику Ozon. Крупные технолидеры часто разрабатывают свои инструменты.
Кроме того, Ozon развивает собственные технологии логистической автоматизации, изучая рынок оборудования для SMT-линий.
Пресс-служба Ozon заявила: Мы уже используем WAF для защиты веб-приложений от атак на сервисы — целевой точке для взломов и ботов. Это ключевой инструмент защиты платформы и данных пользователей.
Михаил Евдокимов (Insight AI) дополнил: WAF для маркетплейса также помогает отслеживать попытки продавцов влиять на алгоритмы, например, манипулируя выдачей.
Гриднев подытожил: WAF может выполнять функции ограничения VPN-доступа по IP-спискам из других систем.
Мы используем файлы cookie для наилучшего представления нашего сайта. Продолжая просмотр, вы соглашаетесь с их использованием. Подробнее в Политике конфиденциальности.
