Документація — як працює наш edge

Без води — лише те, що потрібно, щоб підключити домен і зрозуміти, що відбувається із запитом, коли він доходить до нашого edge.

Початок роботи

Підключення — це зміна DNS, а не міграція. Ваш origin-сервер залишається там, де він є сьогодні.

  1. Додайте домен у порталі.
  2. Спрямуйте його DNS-запис (запис A/AAAA або CNAME) на адресу edge, яку видасть портал.
  3. Щойно DNS пошириться, живий трафік іде маршрутом DNS → edge (WAF) → ваш origin. Ми фільтруємо кожен запит і передаємо чисті далі.

Перших клієнтів ми підключаємо вручну, тож якщо у вашій конфігурації є щось незвичне, людина пройде це разом із вами ще до перемикання DNS.

Що покриває OWASP CRS 4.26

На edge працює OWASP Core Rule Set v4.26.0 на рушії Coraza. В одному образі edge постачаються дві збірки Coraza — рушій proxy-wasm і рушій libcoraza FFI — і рушій обирається для кожного маршруту окремо, тож налаштування одного сайту ніколи не зачіпає інший.

CRS — це набір правил з оцінкою аномалій. Замість того щоб одне правило вирішувало «пропустити чи заблокувати», він підсумовує сигнали в межах запиту (підозрілі шляхи, патерни ін’єкцій, аномалії протоколу) і діє за їхньою сумою. Саме це дає змогу ловити поширені класи атак — SQL-ін’єкції, міжсайтовий скриптинг (XSS), обхід каталогів, включення віддалених файлів — і водночас тримати поріг хибних спрацювань під вашим контролем.

Сходинка перевірок

Не кожен підозрілий запит варто одразу блокувати, і не кожен відвідувач має бачити перешкоди. Коли сигнали цього вимагають, edge піднімається сходинкою, а не одразу блокує:

  1. Proof-of-Work — легке обчислювальне завдання, непомітне для звичайних браузерів, але таке, що коштує автоматизованим клієнтам реального CPU.
  2. CAPTCHA — інтерактивна перевірка з можливістю підключення (Turnstile або hCaptcha) для випадків, які не вирішує сходинка proof-of-work.
  3. Web Bot Auth — криптографічна перевірка ботів через підписи HTTP-повідомлень за RFC 9421 із ключами Ed25519, тож легітимний, задекларований бот може довести, хто він, замість того щоб проходити перевірку.

Кожна сходинка вмикається за бажанням і діє лише там, де ви її ввімкнули — стандартний шлях залишається без перешкод.

Сертифікати

TLS ми беремо на себе. Кожному тенанту видається власний сертифікат Let’s Encrypt на edge через модуль nginx-acme, а оновлення відбувається автоматично. Вам не потрібно завантажувати приватний ключ чи запускати команду certbot — видача й ротація живуть на edge, і саме тому приватні ключі LE ніколи його не покидають.

Часті запитання

Чи потрібно переносити хостинг, щоб користуватися Smart WAF?

Ні. Ваш origin-сервер залишається там, де він є. Ви лише змінюєте DNS, щоб трафік спершу проходив через наш edge; ми фільтруємо його й передаємо чисті запити на ваш сервер.

Який набір правил WAF ви використовуєте?

OWASP Core Rule Set v4.26.0 на рушії Coraza. CRS працює за моделлю оцінки аномалій: він підсумовує сигнали в межах запиту, а не спрацьовує на одному правилі, тож рівень хибних спрацювань можна налаштовувати.

Яку затримку додає WAF?

Ми проєктуємо з розрахунком на бюджет ≤5 мс доданої затримки на нормальному трафіку. Це проєктна ціль; бенчмарки на продакшн-обладнанні тривають, і будь-яку виміряну цифру ми публікуємо з позначкою про середовище.

Хто керує TLS-сертифікатом?

Ми. Кожен тенант отримує власний сертифікат Let's Encrypt, який видається й оновлюється автоматично на edge — вам не потрібно завантажувати чи змінювати ключі вручну.