Che cos'è Web Application Firewall?

Un Web Application Firewall (WAF) viene distribuito sul bordo della rete e ispeziona il traffico da e verso l'applicazione web. Può filtrare e monitorare il traffico per proteggere da attacchi come SQL injection, cross site scripting (XSS) e cross-site request forgery (CSRF).

Un WAF opera al livello di rete 7 (il livello dell'applicazione). Sebbene sia in grado di difendersi da un'ampia gamma di attacchi a livello di applicazione, non può operare da solo e deve essere combinato con altri strumenti di sicurezza per proteggere dagli attacchi mirati ad altri livelli di rete o ad altre parti dell'ambiente di sicurezza.

Scopri di più Prova Gratuita

What is a Web Application Firewall (WAF)?

Qual è la differenza tra WAF e firewall?

firewall è un termine generico per il firmware che filtra il traffico in entrata e in uscita su una rete. All'interno di questa ampia definizione esistono diverse categorie che si differenziano per il tipo di protezione che offrono. Questi includono l'ispezione stateful, il filtraggio dei pacchetti, i server proxy e Next Generation Firewall (NGFW).

 

Il WAF è un altro tipo di firewall, che si distingue per il modo in cui filtra i pacchetti di dati. Il WAF ispeziona il livello applicativo della rete e può prevenire molti attacchi che sono invisibili ad altri tipi di firewall. Ad esempio, un attacco di tipo SQL injection non verrebbe rilevato da un normale firewall, perché non ispeziona i payload delle richieste di applicazione, come le query SQL.

 

A differenza di un firewall tradizionale, che può bloccare il traffico proveniente da intervalli IP specifici, aree geografiche, ecc.

Tipi di Web Application Firewall

Esistono tre tipi principali di server web applicativi: WAF di rete, WAF basato su host e WAF cloud.

Appliance WAF

Tipicamente basati sull'hardware, possono essere installati localmente utilizzando apparecchiature dedicate e possono essere installati il più vicino possibile all'applicazione sul campo per ridurre la latenza.

 

La maggior parte dei WAF basati su hardware consente di copiare le regole e le impostazioni tra dispositivi, per supportare deployment su larga scala sulla rete aziendale. Il lato negativo di un WAF di rete è che richiede un grande investimento iniziale, oltre a costi di manutenzione continui.

 

Un'alternativa al WAF basato sull'hardware è l'esecuzione del WAF come dispositivo virtuale, sia localmente, spesso utilizzando la tecnologia di virtualizzazione delle funzioni di rete (NVF), sia nel cloud pubblico, distribuendo un'immagine di macchina cloud preconfigurata. Questo riduce la spesa in conto capitale, ma crea comunque spese generali di manutenzione.

WAF basato su host

Può essere completamente integrato nel codice della sua applicazione. I vantaggi di questo modello deployment includono costi molto più bassi e una migliore personalizzazione. Tuttavia, i WAF basati su host sono più complessi da implementare, in quanto richiedono l'installazione di librerie specifiche sul server applicativo e si basano sulle risorse del server per funzionare in modo efficace. Il WAF diventa anche una dipendenza dell'applicazione web, che deve essere gestita durante il ciclo di vita dello sviluppo.

cloud WAF

Si tratta di un'opzione conveniente che offre una soluzione WAF chiavi in mano, senza investimenti iniziali e con un rapido deployment. Le soluzioni WAF in cloud sono in genere basate su abbonamento e richiedono solo una semplice configurazione DNS o proxy per iniziare a funzionare. I WAF basati sul cloud hanno accesso a threat intelligence costantemente aggiornato e possono anche offrire servizi gestiti per aiutarla a definire le regole di sicurezza e a rispondere agli attacchi nel momento in cui si verificano.

 

La sfida con i WAF nel cloud è che bisogna fidarsi del provider per instradare tutto il traffico verso la propria applicazione web. Se il provider WAF si blocca, anche il suo sito web si blocca, e se le prestazioni sono scarse, le prestazioni del suo sito web ne risentiranno. Ecco perché la maggior parte dei fornitori di WAF cloud offre una soluzione integrata di WAF, CDN e protezione DDoS, per garantire tempi di attività e latenza minima.

Come funziona il sito Web Application Firewall?

Un Web Application Firewall ha diversi possibili modelli deployment:

  • Dispositivo hardware o virtuale
  • Un software in esecuzione sullo stesso server web dell'applicazione web.
  • Servizio basato sul cloud

 

In ognuno di questi modelli deployment, il WAF si trova sempre davanti all'applicazione web, intercettando tutto il traffico tra l'applicazione e Internet.

 

Whitelisting vs. Blacklisting

 

Un WAF può operare in un modello di whitelist, lasciando entrare solo il traffico di applicazioni note e buone, o in un modello di blacklist, bloccando il traffico che corrisponde a modelli di attacco noti o a regole di sicurezza.

 

I WAF intercettano le richieste HTTP/S, le ispezionano e le lasciano passare solo se confermano che non sono dannose. Allo stesso modo, ispeziona le risposte del server, verificando la presenza di modelli noti di attacchi web applicativi, come il dirottamento di sessione, l'overflow del buffer, l'XSS, le comunicazioni di comando e controllo (C&C) o la negazione del servizio (DoS).

Capacità WAF

I WAF forniscono in genere le seguenti funzionalità:

 

  • Database delle firme di attacco: si tratta dimodelli che possono essere utilizzati per identificare il traffico dannoso. Possono includere IP maligni noti, tipi di richieste, risposte insolite del server e altro ancora. In passato, i WAF si basavano principalmente sui database dei modelli di attacco, ma questa tecnica è largamente inefficace contro gli attacchi nuovi e sconosciuti.
  • Analisi IA/ML dei modelli di traffico: iWAF modernieseguono l'analisi comportamentale del traffico utilizzando algoritmi di intelligenza artificiale. Identificano le linee di base per determinati tipi di traffico e catturano le anomalie che potrebbero rappresentare un attacco. In questo modo è possibile identificare gli attacchi anche se non corrispondono a un modello maligno noto.
  • Profilazione dell'applicazione: ilWAF analizza la struttura dell'applicazione web, compresi gli URL, le richieste tipiche, i tipi di dati e i valori consentiti. Questo può aiutare a identificare le richieste anomale o dannose e a bloccarle.
  • Motore di personalizzazione: ilWAF consente agli operatori di definire regole di sicurezza specifiche per l'organizzazione o l'applicazione web, e le applica istantaneamente al traffico dell'applicazione. Questo è importante per consentire la personalizzazione del comportamento del WAF ed evitare di bloccare il traffico legittimo.
  • Motore di correlazione: analizza iltraffico in entrata e lo classifica utilizzando le firme di attacco conosciute, l'analisi IA/ML, la profilazione delle applicazioni e le regole personalizzate per determinare se deve essere bloccato o meno.
  • Protezione DDoS I WAFsi integrano comunemente con piattaforme di protezione DDoS (Distributed Denial as a Service) basate sul cloud. Quando il WAF rileva un attacco DDoS, può bloccare le richieste e passare il traffico al sistema di protezione DDoS, che può scalare per resistere a grandi attacchi volumetrici.
  • Rete di distribuzione dei contenuti (CDN)- poiché i WAF sono distribuiti sul bordo della rete, i WAF basati sul cloud possono anche fornire una CDN che memorizza nella cache il sito web per migliorarne il tempo di caricamento. Il WAF/CDN è distribuito su più punti di presenza (PoP) distribuiti in tutto il mondo, e il sito web viene servito agli utenti attraverso il PoP più vicino.

Svantaggi di Web Application Firewall basato su regole (WAF)

I WAF sono distribuiti ai margini e cercano di filtrare e bloccare il traffico sospettato di essere dannoso. Tradizionalmente, questo filtraggio veniva eseguito mediante regole, fornite dal fornitore di WAF o personalizzate dall'organizzazione che implementa il WAF.

 

Il problema dei WAF basati su regole è che richiedono una manutenzione molto elevata. Le organizzazioni devono definire minuziosamente le regole che corrispondono ai loro modelli applicativi specifici, che possono cambiare nel tempo con l'adozione di nuove applicazioni e con l'evoluzione delle stesse. Questo rende anche più difficile affrontare i vettori di minaccia in evoluzione: i nuovi attacchi potrebbero richiedere nuove regole.

 

Un'ulteriore sfida è il funzionamento dei WAF in un ambiente di microservizio. In un'applicazione di microservizio di grandi dimensioni, le nuove versioni di microservizio vengono rilasciate più volte al giorno. È semplicemente poco pratico distribuire un WAF e aggiornare i set di regole per ogni componente. Ciò significa che in molti casi, il microservizio non sarà protetto da un WAF.

Check Point Applicazione Web e Protezione API

La sicurezza delle applicazioni è sempre stata una sfida, ma con la velocità di sviluppo più rapida che mai, è diventato quasi impossibile proteggere l'applicazione senza incorrere in una pesante manutenzione WAF o bloccare gli utenti legittimi.

CloudGuard AppSec di Check Point utilizza l'IA per offrire ai clienti una migliore copertura della sicurezza, con costi generali inferiori.

Stop ai falsi positivi, protezione delle app e delle API con una soluzione automatizzata, veloce come DevOps, che offre: prevenzione precisa, zero amministrazione dei criteri, deployment automatizzato su qualsiasi ambiente.

Inizi la sua prova gratuita e protegga subito le sue applicazioni.

×
  Feedback
Questo sito Web utilizza i cookie per motivi funzionali e a scopo di analisi e marketing. Continuando a utilizzare il sito Web, accetti implicitamente l'uso dei cookie. Per ulteriori informazioni, si prega di leggere la nostra Informativa sui cookie.
OK