СПЕЦИАЛЬНЫЕ УСЛОВИЯ ОБЛАЧНОГО СЕРВИСА WAF
Дата размещения текущей редакции: 17.08.2024
Утв. Приказом ПАО «МТС» 26/00091П
Дата размещения первой редакции: 17.08.2024
г. Москва, Российская Федерация
ПРЕАМБУЛА
ВАЖНО! Настоящие Условия являются неотъемлемой частью Соглашения на предоставление Облачных сервисов. Заключая Соглашение на предоставление Облачных сервисов, Пользователь принимает настоящие Условия.
1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
1.1. Облачный сервис Межсетевой экран уровня приложений WAF (Услуги) – услуга по организации и предоставлению доступа к сервису защиты Веб-приложений Пользователя в сети Интернет от атак и уязвимостей, оказываемая МТС Пользователю в соответствии с условиями настоящих Специальных условий и соответствующего Заказа к нему.
1.2. Пользовательское соглашение1 – Пользовательское соглашение на Платформу.
1.3. Правила2 – Правила взаимодействия со службой технической поддержки.
1.4. Соглашение на предоставление Облачных сервисов3 – общие для всех Облачных сервисов порядок и условия их предоставления.
1.5. Соглашение об уровне доступности4 – общие для всех Облачных сервисов условия обслуживания и доступности.
1.6. Веб-приложение – программный ресурс Пользователя, представляющий собой совокупность информации и программ для ЭВМ её обрабатывающих, отображающих и/или структурирующих размещённый в сети Интернет, предназначенный для представления Пользователем в сети Интернет определённой информации и/или обеспечивающий определённое взаимодействие с пользователями, управляемый и администрируемый Пользователем.
1.7. Заказ – документ, в котором непосредственно заказывается Услуга, в котором указаны: адрес Веб-приложения в сети Интернет; количество RPM, а также срок действия (период оказания) Услуги. Пользователь имеет право оформления неограниченного количества Заказов Услуги, каждому Заказу присваивается уникальный̆ номер. В рамках одного Заказа могут быть оформлены Услуги только в отношении одного Веб-приложения.
1.8. Технологическая площадка (ЦОД) – специализированные помещения (центры обработки данных), в которых размещаются серверное и сетевое оборудование и системы хранения данных МТС, и на базе которых оказывается Услуга МТС.
1.9. Фильтрующий узел – основной технологический компонент Услуги, организуемый МТС для Пользователя на условиях Заказа и настоящих Специальных условий, обеспечивающий мониторинг входящих в Веб-приложение запросов и блокировку запросов, относимых средствами Фильтрующего узла к атакам и (или) уязвимостям, в режиме реального времени.
1.10. Модуль – совокупность технических характеристик Услуги.
1.11. Панель управления – специальный раздел ресурса производителя технологии, используемой для оказания Услуги, на основании соответствующих договоров, заключенных МТС, расположенный в сети Интернет по адресу: https://waf.cloud.mts.ru/, через который Пользователь с использованием выданных ему МТС идентифицирующих данных получает Услугу.
1.12. API – программный интерфейс приложения, интерфейс прикладного программирования от англ. Application Programming Interface, включает в себя описание способов, которыми одна компьютерная программа может взаимодействовать с другой программой.
1.13. Brute Force – метод атаки на защищённое пространство, при котором осуществляется исчерпание всевозможных вариантов несанкционированного проникновения в защищённое пространство, перебор всех возможных вариантов паролей.
1.14. CIDR (Classless Inter-Domain Routing) – способ бесклассовой адресации отправителя запроса в информационно-телекоммуникационных сетях, составленного на основе IP-протокола.
1.15. Input validation – данные и (или) формат вводимых данных, недоступных для проверки.
1.16. Virtual Patching (виртуальный патчинг) – это механизм, который исключает возможность использования уязвимости в программном обеспечении (ПО) и не требует внесения изменений в его исходный код.
1.17. WAF – Web Application Firewall (Межсетевой экран уровня приложений).
1.18. IP-адрес – уникальный сетевой адрес в сети передачи данных, построенной по протоколу IP (межсетевой протокол передачи данных).
1.19. Requests Per Month (далее – «RPM») – параметр величины трафиковой нагрузки, оцениваемый в количестве запросов в месяц, поступающей в направлении защищаемого Веб-приложения\приложений для домена\доменов второго или третьего уровня.
2. ОПИСАНИЕ ОБЛАЧНОГО СЕРВИСА
2.1. Пользователь формирует Заказ одним из способов, предусмотренных Соглашением на предоставление Облачных сервисов, а МТС оказывает Пользователю Услуги, в соответствии с настоящими условиями и параметрами, указанными в Заказе.
2.2. Заключая Соглашение, Пользователь осуществляет акцепт настоящих Условий, Соглашения об уровне доступности и Правил взаимодействия со службой технической поддержки.
2.3. В рамках Облачного сервиса МТС оказывает Пользователю Услугу «Межсетевой экран уровня приложений (WAF)» для настройки Пользователем мониторинга и (или) блокирования подозрительных внешних запросов к Веб-приложению.
2.4. Для выбора признаков, по которым будет осуществляться блокировка входящих к Веб-приложению запросов, Пользователь имеет возможность путем произведения соответствующих настроек в Панели управления:
- начать пользование Услугой в режиме мониторинга всех таких запросов без их блокирования с целью последующего выбора и настройки средствами Услуги блокируемых запросов;
- сразу же установить признаки блокируемых Услугой запросов;
- воспользоваться имеющимися предустановленными в Услуге признаками блокируемых запросов, без их изменений в течение срока пользования Услугой.
2.5. Выбранные Пользователем параметры Услуги указываются в Заказе.
2.6. Услуга включает использование Пользователем следующих Модулей:
- обнаружения и защиты от атак на Веб-приложения,
- перепроверки атаки,
- управления (реализующий функцию ЛК),
- локальной аналитики/пассивный сканер уязвимостей,
- расширенных конфигураций и виртуальный патчинг,
- сканера периметра,
- сканера уязвимостей,
- защиты от поведенческих атак и создание и (или) настройка Пользователем правил блокировки Фильтрующим узлом запросов из сети Интернет к Веб-приложению,
- облачной аналитики и реализацию следующих функций:
- обнаружение и (или) блокирование, если блокирование установлено в ЛК, подозрительных входящих к Веб-приложению из сети Интернет запросов,
- осуществление поиска уязвимостей и (или) мониторинг актуальности обнаруженных уязвимостей Веб-приложения,
- получение Пользователем уведомлений об обнаруженных Фильтрующим узлом уязвимостях и о попытке атаки по электронной почте,
- осуществление перепроверки средствами Фильтрующего узла (пассивный сканер, т.е. без блокирования) подозрительных входящих к Веб-приложению запросов,
- формирование и отображение в ЛК отчетов об уровне защищенности Веб-приложения, направление указанных отчётов на электронную почту Пользователя.
2.7. Описание функционала Модулей:
2.7.1. Модуль обнаружения и защиты от атак на Веб-приложение
Модуль осуществляет мониторинг и фильтрацию HTTP- и HTTPS-трафика, поступающего к Веб-приложению, а также блокировку подозрительных запросов.
2.7.2. Модуль сканера периметра
Модуль осуществляет поиск потенциально уязвимых публично доступных инфраструктурных компонентов Веб-приложений Пользователя, таких как службы и сервисы (сканирование портов).
2.7.3. Модуль сканера уязвимостей
Модуль осуществляет поиск потенциальных уязвимостей внутри инфраструктуры Пользователя (недоступных публично инфраструктурных компонентов Веб-приложения) и поиск ошибок в их настройках и конфигурациях.
2.7.4. Модуль перепроверки атаки
Модуль осуществляет перепроверку входящих к Веб-приложению запросов, используя данные о вредоносных запросах, поступающих на Фильтрующий узел.
2.7.5. Модуль защиты от поведенческих атак
Модуль осуществляет добавление IP-адреса (или подсетей в формате CIDR) в список блокируемых адресатов отправителей входящих к Веб-приложению запросов (черный список) за действия методом перебора (например, Brute Force) или за разнородные запросы большого количества, с большого количества IP-адресов (Input validation – запросы непроверенного пользовательского ввода). Модуль позволяет определять пороги вредоносной активности для разных частей Веб-приложения и производить выгрузку информации о соответствующих признаках запросов, подлежащих блокировке на Фильтрующий узел, для выбора параметров настройки признаков для блокирования запросов. Реализует возможность самостоятельного добавления Пользователем внешних к Веб-приложению IP-адресов, как через ЛК, так и с использованием API.
2.7.6. Модуль расширенных конфигураций и виртуальный патчинг
Модуль реализует функции самостоятельного, регулярного создания Пользователем правил блокирования запросов к Веб-приложению, а также правил виртуального патчинга (Virtual Patching). Правила виртуального патчинга позволяют блокировать вредоносные запросы даже при работе Услуги в режиме мониторинга или, когда во входящем к Веб-приложению запросе не обнаружен какой-либо из известных типов атак.
Модуль предоставляет возможность отметки выбранных параметров во входящих к Веб-приложению запросах как содержащих конфиденциальные данные; возможность выбора значения параметров указанных запросов, которые не маскируются и не выгружаются за пределы Фильтрующего узла, при этом анализ значений этих параметров и блокировка вредоносных запросов не прекращается. Модуль также предоставляет возможность создания правил, устанавливающих особый (по указанным правилам, установленным Пользователем) режим работы Фильтрующего узла, отличный от глобально (предустановленного) режима функционирования Фильтрующего узла.
2.7.7. Модуль управления (Модуль, реализующий функцию Панели управления)
Модуль управления представляет данные о выявленных Услугой: атаках, уязвимостях, Инцидентах, а также возможности для управления и настройки Пользователем компонентов Услуги. Доступ к Модулю управления осуществляется по защищенному протоколу HTTPS. Поддерживается механизм двухфакторной аутентификации доступа в Панель управления на базе протокола TOTP (Time-based One-Time Password Algorithm). Разграничение функций при открытии доступа пользователю Пользователя в Панель управления реализовано на основе ролей пользователей.
Список ролей пользователей в Панели управления и доступные им функции:
- Аналитики – стандартные пользователи Услуги, работающие с информацией об атаках, инцидентах и уязвимостях;
- Администраторы – имеют следующие дополнительные права по настройке Услуги:
- изменение режима работы сканера периметра и подсистемы перепроверки атак;
- создание, редактирование и удаление настроек Фильтрующих узлов;
- создание, редактирование и удаление настроек Веб-приложений;
- просмотр, создание, редактирование ролей пользователей Панели управления и удаление доступа пользователю в Панель управления.
2.7.8. Модуль локальной аналитики/пассивный сканер уязвимостей
Модуль осуществляет сбор и анализ на предмет потенциальных атак статистических данных входящего HTTP-трафика (всех входящих к Веб-приложению запросов). Собранная статистика используется для выбора Пользователем параметров запросов, классифицируемых им как атаки и не выявленных им ранее, посредством нахождения аномалий в действиях пользователей Веб-приложения и ответах функционала Веб-приложения на соответствующие действия обращающихся к нему пользователей. Модуль также отвечает за выгрузку собранных данных в облачные компоненты Веб-приложения.
Пассивный сканер уязвимостей производит анализ ответов, поступающих от Веб-приложения на запросы пользователей, с целью выявления успешных попыток уязвимой эксплуатации Веб-приложения пользователем.
2.7.9. Модуль облачной аналитики
Модуль облачной аналитики обеспечивает дополнительную обработку данных, поступающих от Фильтрующего узла и Модуля локальной аналитики. Модуль облачной аналитики агрегирует такие данные, поступающие от нескольких Фильтрующих узлов (при наличии более одного Фильтрующего узла у Пользователя в Услуге), а также производит дополнительный анализ этих данных в асинхронном режиме для выявления корреляций между отдельными вредоносными запросами, индексацию и подготовку данных для их эффективного представления в настройках управления Услуги.
2.8. Услуга предусматривает для Пользователя возможность выбора параметра величины трафиковой нагрузки, оцениваемый в количестве запросов в месяц (Requests Per Month, RPM), поступающей в направлении защищаемого Веб-приложения\приложений для домена\доменов второго или третьего уровня. Величина значения RPM указывается в Заказе.
2.9. Услуга не предназначена и не может быть использована для работы с информационными системами, работающими в опасных средах, либо обслуживающих системы жизнеобеспечения, в которых сбой в работе Услуги может создать угрозу жизни людей или повлечь большие материальные убытки.
3. УРОВЕНЬ ОБЛАЧНОГО СЕРВИСА
3.1. МТС в рамках предоставления Облачного сервиса обязуется рассматривать обращения Пользователя в связи с возникшими Инцидентами и Сервисными запросами, устранять Инциденты и отвечать на Сервисные запросы в порядке, установленном Соглашением об уровне доступности и Правилами взаимодействия со службой технической поддержки. В случае если возникает противоречие между условиями, изложенными в Соглашении об уровне доступности и настоящими Условиями, приоритет имеют настоящие Условия.
3.2. Параметры доступности Облачного сервиса WAF:
Доступность Облачного сервиса (А)*
| Наименование | Время, в которое должен предоставляться Облачный сервис | Согласованное время Технической поддержки Облачного сервиса | Уровень доступности Облачного сервиса, % |
|---|---|---|---|
| Межсетевой экран уровня приложений (WAF) | 24х7х365(366) | 24х7х365(366) | 99,95 |
* − Коэффициент уровня доступности Облачного сервиса рассчитывается в соответствии с Соглашением об уровне доступности.
3.3. Размер суммы неустойки за несоблюдение Уровня доступности Облачного сервиса:
| Коэффициент доступности Облачного сервиса, A %/мес. | Размер неустойки за несоблюдение уровня доступности Облачного сервиса**, % от стоимости Облачного сервиса, без учёта НДС в календарном месяце по соответствующему Заказу |
|---|---|
| A ≥ 99,9 | 0 |
| 99,9 ˃ A ≥ 99,7 | 5 |
| 99,7 ˃ А ≥ 99 | 10 |
| 99 > А ≥ 95 | 20 |
| А < 95 | 50 |
** − В соответствии с порядком получения неустойки, указанном в Соглашении об уровне доступности.
3.4. В суммарное Время простоев не попадают случаи вызванные:
3.4.1. перерывами в оказании Услуг в рамках проведения Плановых регламентных работ, проведением экстренного обновления, связанного с установкой корректирующих заплаток, имеющих критическое значение для работоспособности, производительности или безопасности Облачной платформы, в т.ч. приостановкой функционирования Виртуальных машин для изменения параметров предоставляемых Услуг;
3.4.2. неработоспособностью каналов связи и оборудования, находящихся вне зоны ответственности/контроля МТС;
3.4.3. приложениями или компонентами Пользователя, не подконтрольными и не управляемыми МТС, которые привели к невозможности оказания Услуг;
3.4.4. деятельностью Пользователя, его работниками, партнерами, покупателями и т.п., что привело к негативному воздействию на компоненты Услуг (спам, спуфинг, нарушение правил получения Услуг и тому подобное);
3.4.5. отказом или неспособностью Пользователя обеспечить содействие МТС в установлении и устранении Инцидентов.
3.5 Виды обращений Пользователя в службу технической поддержки МТС:
Инциденты
Категории влияния Инцидента на бизнес-процессы Пользователя:
| Влияние | Описание |
|---|---|
| Всеобъемлющее | Критичное влияние на бизнес-процессы |
| Высокое | Значительное влияние на бизнес-процессы |
| Среднее | Умеренное влияние на бизнес-процессы |
| Низкое | Незначительное влияние на бизнес-процессы |
Категории Срочности, определяющие предел по времени, по истечении которого Инцидент способен оказать критичное влияние на бизнес-процессы Пользователя:
| Срочность*** | Описание |
|---|---|
| Критическая | Обращение требует незамедлительной реакции и срочного решения |
| Высокая | Обращение требует быстрой реакции и решения |
| Средняя | Обращение требует решения в рамках установленного времени |
*** − Срочность самостоятельно определяется Пользователем при обращении; при этом при обращении через адрес электронной почты категория Инцидента устанавливается как «Средняя».
Матрица приоритетов Инцидентов:
| Влияние | Критическая срочность | Высокая срочность | Средняя срочность |
|---|---|---|---|
| Всеобъемлющее | 1 | 2 | 2 |
| Значительное | 2 | 2 | 2 |
| Умеренное | 2 | 2 | 3 |
| Незначительное | 3 | 3 | 4 |
Временные рамки устранения Инцидентов:****
| Уровень приоритета | Время реакции | Ожидаемое время устранения Инцидента**** |
|---|---|---|
| 1 | В течение 15 минут с момента регистрации обращения | До 4 часов с момента регистрации инцидента |
| 2 | В течение 15 минут с момента регистрации обращения | До 8 часов с момента регистрации инцидента |
| 3 | В течение 15 минут с момента регистрации обращения | До 16 часов с момента регистрации инцидента |
| 4 | В течение 15 минут с момента регистрации обращения | До 24 часов с момента регистрации инцидента |
**** − В указанном периоде не учитывается время, затраченное на предоставление дополнительной информации Пользователем при запросе со стороны службы Технической поддержки, и работ в зоне ответственности Пользователя.
Сервисные запросы
| Вид запроса | Время реакции | Время решения по запросу | Согласованное время поддержки |
|---|---|---|---|
| Запрос на обслуживание/на предоставление информации | В течение первых 30 минут с момента регистрации Сервисного запроса | До 8 рабочих часов с момента регистрации Сервисного запроса, в рамках периода доступности службы Технической поддержки | 12х5 |
| Запрос на изменение | В течение первых 8 часов с момента регистрации Сервисного запроса предоставляется ответ о том, что запрос взят/не взят в работу | Предоставляется ответ о дальнейших действиях. При условии, что запрос принят в работу, предоставляется план график работ, или же предлагается альтернативный вариант решения. | 12х5 |
Условия обработки обращений Пользователя (Сервисных запросов и Инцидентов):
| Описание | Условия |
|---|---|
| Общее количество обращений в календарный месяц | Не ограничено |
| Кто имеет право делать обращения со стороны Пользователя | Любое контактное лицо, внесенное Пользователем в список авторизованных лиц |
| Количество контактных лиц, имеющих право делать обращения | Не ограничено |
| Количество одновременно открытых обращений типа «Инцидент» | Не ограничено |
| Количество одновременно открытых обращений типа «Запрос на обслуживание», «Предоставление информации», «Запрос на изменение» | Не более 2-х |
4. ТАРИФИКАЦИЯ УСЛУГ
4.1. Стоимость Облачного сервиса определяется в соответствии с Заказом и выбранной схемой тарификации.
4.2. Схема тарификации – Фиксированная оплата.
4.3. Стоимость Облачного сервиса рассчитывается из максимального размера количества запросов за 1 месяц. Оплата производится вне зависимости от того, осуществлялось ли фактическое использование.
4.4. День подключения/отключения Облачного сервиса входит в расчет стоимости Облачного сервиса в соответствующем оплачиваемом периоде как целый день оказания Облачного сервиса.
1 − Пользовательское соглашение, URL: https://docs.cloud.mts.ru/docum/termsofuse-CloudHub.html.
2 − Правила взаимодействия со службой технической поддержки, URL: https://docs.cloud.mts.ru/docum/hub_technicalregulations.html.
3 − Соглашение на предоставление облачных сервисов, URL: https://docs.cloud.mts.ru/docum/hub_oferta.html.
4 − Соглашение об уровне доступности, URL: https://docs.cloud.mts.ru/docum/hub_sla.html.