Web Application Firewall (WAF) Best Practices

Il problema con i database e l'accesso ai dati

Per molte imprese, i dati sensibili sono memorizzati in diversi database backend e accessibili tramite application web e API. Questi dati vengono condivisi tra i team rilevanti – ma con la crescita dell'architettura dei team nel tempo, il numero e i tipi di Dispositivi che vi accedono hanno iniziato a scalare ben oltre il tracciamento manuale.

Senza un modo per monitorare le transazioni online che avvengono a livello di Applicazione, le Applicazione diventano i bersagli principali degli aggressori che cercano di sfruttare la vulnerabilità e ottenere l'accesso a dati preziosi.

Migliori pratiche WAF

Come principio fondamentale, ogni singola applicazione web dovrebbe essere il più sicura possibile durante lo sviluppo. Tuttavia, le vulnerabilità non sono un paesaggio statico:

• La vulnerabilità post-Implementazione può comparire senza preavviso, specialmente per le app che si basano su componenti open-source.

E quando si scopre che il codice Applicazione non è sicuro, potrebbe essere troppo costoso o richiedere tempi di inattività eccessivi per metterlo offline e risolvere i problemi principali del codice sorgente.

Ecco come i WAF possono contribuire a mantenere la sicurezza delle applicazioni web nonostante i potenziali rischi.

#1: Integrarsi con infrastrutture centrali e preesistenti

Per garantire la sicurezza, i WAF devono integrarsi senza intoppi nella tua infrastruttura esistente. I WAF dovrebbero essere flessibili, adattarsi facilmente e offrire protezione per la tua applicazione e gli utenti, senza richiedere modifiche radicali.

Questo non significa che i WAF debbano essere installati senza una supervisione attenta.

Modello Hub-And-Spoke

Ad esempio, se la tua azienda si basa su un modello hub e spoke e molti utenti e database vengono gestiti da un unico posto, esiste davvero un solo posto dove installare il WAF. Deve essere installato su un'infrastruttura stabile e centrale, come un apparecchio hardware.

Questo fornisce una base di affidabilità prestazionale, che le regole di sicurezza possono poi attraversare.

Infrastrutture decentralizzate o in rapida crescita

Al contrario, se la tua organizzazione ha un'infrastruttura decentralizzata o in rapida crescita, come quella di un negozio di e-commerce online, un WAF distribuito sarebbe la soluzione più adatta.

Solo perché un prodotto WAF viene distribuito su più Applicazioni non significa che debba essere complesso da gestire – strumenti di sicurezza moderni come Check Point WAF permettono di gestire tutto da una piattaforma centrale, mantenendo tutto semplice.

#2: Avere criteri di prestazione

Tenere traccia delle prestazioni del WAF è fondamentale per la gestione a lungo termine, e questo è meglio stabilirlo fin da presto nella vita del tuo WAF.

Per quanto riguarda il throughput tecnico, questo può essere tanto basilare quanto il throughput a tempo reale del WAF: tieni d'occhio se:

• Il numero di utenti simultanei dell'Applicazione
• Il numero di richieste HTTP per unità di tempo in media e ai tempi di caricamento di punta

Per supportare questo, abilita la logging all'interno del tuo WAF e collegalo a un sistema centrale di gestione dei log (continua a leggere per le migliori pratiche di integrazione). Con queste metriche che ti danno una comprensione in tempo reale delle prestazioni delle regole, sei pronto per il successo WAF.

#3: Introdurre ruoli specifici WAF

La capacità di WAF di proteggere Applicazione deriva quasi interamente dalla corretta implementazione e dalla continua manutenzione delle sue regole – quindi è importante chiarire di chi sia questa responsabilità. Se coinvolgi un appaltatore responsabile della commissione unica di un nuovo WAF, la sua conoscenza delle capacità del WAF deve corrispondere alle tue esigenze infrastrutturali.

Per il mantenimento a lungo termine dei regolamenti WAF, chiarisci da chi e con quale frequenza saranno revisionati. Per raggiungere questo obiettivo, è importante stabilire i collegamenti tra WAF e i meccanismi più ampi della tua azienda.

Per quanto riguarda la sicurezza, il tuo SOC più ampio deve avere:

• Imposta il flusso di lavoro per gestire gli avvisi
• KPI adatti per le scale temporali di gestione degli avvisi

Per quanto riguarda lo sviluppo dell'Applicazione, le regole devono essere sviluppate in tandem con i protocolli e i requisiti dell'Applicazione specifica: è essenziale una collaborazione tra il team WAF e DevOps .

Se la documentazione della tua Applicazione include i proprietari del servizio, questo processo diventa molto più veloce.

#4: Affina le regole della tua WAF

Gli strumenti WAF sicuri sono dotati di elenchi preconfigurati che possono essere rapidamente attivati e funzionanti. Puoi anche scegliere liberamente il tipo di set di regole: la blacklist si basa sull'identificazione e sul blocco del solo traffico dannoso. L'inserimento nella whitelist blocca tutto tranne il traffico verificabilmente sicuro.

L'inserimento nella whitelist è l'approccio più sicuro, ma non è necessariamente adatto all'implementazione esatta del tuo WAF.

Adattare il regolamento del tuo WAF alla tua specifica Applicazione Implementazione è essenziale per prevenire falsi positivi e ridurre la complessità delle regole. Per raggiungere questo obiettivo, è possibile:

• Vai allo strumento WAF
• Definisci le eccezioni tramite la dashboard

Ma tieni nota di come il tuo provider WAF gestisce queste regole quando si tratta di installare aggiornamenti.

Di solito, se definisci le tue esclusioni delle regole WAF come codice tramite PowerShell o la CLI, la regolazione delle regole può essere mantenuta anche dopo aver aggiornato i set di regole.

#5: Integrazione con altri strumenti di sicurezza

Un Intrusion Prevention System (IPS) è una soluzione di sicurezza inserita ulteriormente nella rete per identificare e mitigare le attività dannose che potrebbero aggirare un firewall.

Intrusion Prevention System

Può essere configurato per segnalare, bloccare o eliminare il traffico sospetto in modo simile, ma integrando queste due soluzioni è possibile integrare l'approccio WAF di negazione o autorizzazione con alcune delle conoscenze contestuali di Applicazione offerte da IPS.

Per migliorare la protezione, è anche possibile integrare una soluzione basata su cloud progettata per difendersi dagli attacchi Distributed Denial of Service (DDoS). Quando un WAF integrato rileva un tentativo DDoS, può reindirizzare il traffico alla piattaforma di protezione DDoS, opportunamente attrezzata per gestire attacchi su larga scala che consumano molte risorse, mantenendo la rete al sicuro.

E ci sono ancora altri aggiornamenti possibili...

Rete di distribuzione dei contenuti

Poiché i WAF sono posizionati al margine della rete, un WAF ospitato da cloudpuò anche includere una funzione Content Delivery rete (CDN) per memorizzare in cache i dati del sito web e migliorare i tempi di caricamento. La CDN utilizza molteplici Punti di Presenza (PoP) distribuiti globalmente, garantendo quindi migliori prestazioni agli utenti fornendoli dalla posizione più vicina.

Gestione delle informazioni e degli eventi di sicurezza

Infine, l'integrazione con un sistema di Security Information and Event Management (SIEM) consente un monitoraggio e un'analisi centralizzati degli eventi di sicurezza. Il WAF può inviare log e avvisi ogni volta che una regola viene attivata alla piattaforma SIEM, dove vengono aggregati con dati provenienti da altri strumenti di sicurezza, come:

• Firewall
• Sistema di Prevenzione delle Intrusioni (IPS)
• Software antivirus

Ciò consente ai team di sicurezza di rilevare modelli, correlare eventi e classificare gli incidenti in base al rischio.

Queste integrazioni permettono di ampliare i set di regole richiesta per richiesta in una visibilità completa della tua postura di sicurezza complessiva, con rilevamento delle minacce in tempo reale e la possibilità di generare report dettagliati per scopi di conformità e audit.