O que é um firewall de aplicativo da web?

Um firewall de aplicativo web (WAF) é implantado na borda da rede e inspeciona o tráfego de e para aplicativos da web. Ele pode filtrar e monitorar o tráfego para proteger contra ataques como injeção SQL, scripting entre sites (XSS) e falsificação de solicitação entre sites (CSRF).

Um WAF opera na camada de rede 7 (a camada de aplicativo). Embora possa se defender contra uma grande variedade de ataques da camada de aplicativo, não pode operar por conta própria e deve ser combinado com outras ferramentas de segurança para proteger contra ataques direcionados a outras camadas da rede ou outras partes do ambiente de segurança.

Saiba mais Teste gratuito

What is a Web Application Firewall (WAF)?

Qual é a diferença entre WAF e Firewall?

Firewall é um termo genérico para firmware que filtra o tráfego de entrada e saída em uma rede. Há várias categorias dentro desta definição ampla que diferem no tipo de proteção que fornecem. Isso inclui inspeção estável, filtragem de pacotes, servidores proxy e firewalls de próxima geração (NGFW).

 

O WAF é outro tipo de firewall, diferenciado pela maneira como filtra pacotes de dados. O WAF inspeciona a camada de aplicativos da rede e pode evitar muitos ataques que são invisíveis para outros tipos de firewalls. Por exemplo, um ataque de injeção de SQL não seria detectado por um firewall regular porque ele não inspeciona cargas de solicitações de aplicativos, como consultas SQL.

 

Ao contrário de um firewall tradicional que pode bloquear o tráfego de intervalos de IP específicos, regiões geográficas, etc., os WAFs permitem definir regras que excluem tipos específicos de comportamento de aplicativos que parecem ser maliciosos.

Tipos de firewalls de aplicativos da web

Há três tipos principais de servidores de aplicativos da web: WAF de rede, WAF baseado em host e WAF de nuvem.

Aparelho WAF

Geralmente baseado em hardware, pode ser instalado localmente usando equipamentos dedicados e pode ser instalado o mais próximo possível da aplicação de campo para reduzir a latência.

 

A maioria dos WAFs baseados em hardware permite copiar regras e configurações entre dispositivos, para suportar implantações em grande escala em redes corporativas. A desvantagem de um WAF de rede é que ele requer um grande investimento inicial, bem como custos de manutenção contínua.

 

Uma alternativa ao WAF baseado em hardware é executar o WAF como um dispositivo virtual, localmente, muitas vezes usando a tecnologia de virtualização de função de rede (NVF) ou na nuvem pública, implantando uma imagem de máquina em nuvem pré-configurada. Isso reduz as despesas de capital, mas ainda cria despesas gerais de manutenção.

WAF baseado em host

Pode ser totalmente integrado ao código do seu aplicativo. Os benefícios desse modelo de implantação incluem custos muito mais baixos e personalização aprimorada. No entanto, os WAFs baseados em host são mais complexos de implantar, exigindo que bibliotecas específicas sejam instaladas no servidor de aplicativos e confiando nos recursos do servidor para executar com eficiência. O WAF também se torna uma dependência do aplicativo web que precisa ser gerenciado durante todo o ciclo de vida de desenvolvimento.

nuvem WAF

Esta é uma opção econômica que fornece uma solução de WAF pronta para uso, sem investimento inicial e implantação rápida. As soluções de WAF na nuvem normalmente são baseadas em assinatura e exigem apenas configuração simples de DNS ou proxy para começar a funcionar. Os WAFs baseados na nuvem têm acesso à inteligência de ameaças constantemente atualizada e também podem oferecer serviços gerenciados para ajudá-lo a definir regras de segurança e responder a ataques à medida que eles acontecem.

 

O desafio dos WAFs na nuvem é que você precisa confiar no seu provedor para rotear todo o tráfego para o seu aplicativo web. Se o provedor de WAF cair, seu site também cairá, e se o desempenho for ruim, o desempenho do seu site sofrerá. É por isso que a maioria dos provedores de WAF na nuvem oferece uma solução de proteção integrada WAF, CDN e DDoS para garantir tempo de atividade e latência mínima.

Como funciona um firewall de aplicativo da web?

Um firewall de aplicativo web tem vários modelos de implantação possíveis:

  • Hardware ou dispositivo virtual
  • Software em execução no mesmo servidor da web que o aplicativo da web
  • Serviço baseado na nuvem

 

Em cada um desses modelos de implantação, o WAF sempre fica na frente do aplicativo da web, interceptando todo o tráfego entre o aplicativo e a internet.

 

Lista de permissões vs. Lista negra

 

Um WAF pode operar em um modelo de lista de permissões, permitindo apenas o tráfego de aplicativos sabidamente bom, ou em um modelo de lista negra, bloqueando o tráfego que corresponde a padrões de ataque conhecidos ou regras de segurança.

 

Os WAFs interceptam solicitações HTTP/S, inspecionam-nas e só as deixam passar se confirmarem que não são maliciosas. Da mesma forma, ele inspeciona as respostas do servidor, verificando-os em busca de padrões conhecidos de ataques a aplicativos da web, como sequestro de sessão, buffer overflow, XSS, comunicações de comando e controle (C&C) ou negação de serviço (DoS).

Capacidades WAF

Os WAFs normalmente fornecem os seguintes recursos:

 

  • Banco de dados de assinaturas de ataque— são padrões que podem ser usados para identificar tráfego malicioso. Eles podem incluir IPs maliciosos conhecidos, tipos de solicitações, respostas incomuns do servidor e muito mais. No passado, os WAFs dependiam principalmente de bancos de dados de padrões de ataque, mas esta técnica é amplamente ineficaz contra ataques novos e desconhecidos.
  • Análise IA/ML de padrões de tráfego– WAFs modernos realizam análises comportamentais de tráfego usando algoritmos de inteligência artificial. Eles identificam linhas de base para tipos específicos de tráfego e capturam anomalias que podem representar um ataque. Isto torna possível identificar ataques mesmo que não correspondam a um padrão malicioso conhecido.
  • Perfil do aplicativo— o WAF analisa a estrutura do aplicativo da web, incluindo URL, solicitações típicas, tipos de dados e valores permitidos. Isso pode ajudar a identificar solicitações anormais ou maliciosas e bloqueá-las.
  • Mecanismo de personalização— o WAF permite que os operadores definam regras de segurança específicas para a organização ou aplicativo web e as apliquem instantaneamente ao tráfego do aplicativo. Isto é importante para permitir a personalização do comportamento do WAF e evitar o bloqueio do tráfego legítimo.
  • Mecanismo de correlação –analisa o tráfego de entrada e faz a triagem usando assinaturas de ataque conhecidas, análise de IA/ML, perfil de aplicativo e regras personalizadas para determinar se ele deve ser bloqueado ou não.
  • Proteção DDoS—WAFs geralmente se integram a plataformas de proteção distribuída de negação como serviço (DDoS) baseadas em nuvem. Quando um ataque DDoS é detectado pelo WAF, ele pode bloquear as solicitações e transferir o tráfego para o sistema de proteção DDoS, que pode ser ampliado para resistir a grandes ataques volumétricos.
  • Rede de entrega de conteúdo (CDN)— como os WAFs são implantados na borda da rede, os WAFs baseados em nuvem também podem fornecer uma CDN que armazena em cache o site para melhorar o tempo de carregamento do site. O WAF/CDN é implantado em vários pontos de presença (PoP) distribuídos em todo o mundo, e o site é servido aos usuários por meio do PoP mais próximo.

Desvantagens dos firewalls de aplicativos web (WAF) baseados em regras

Os WAFs são implantados na borda e tentam filtrar e bloquear o tráfego suspeito de ser malicioso. Tradicionalmente, essa filtragem era realizada usando regras, fornecidas prontas para uso pelo fornecedor do WAF ou personalizadas pela organização que implantava o WAF.

 

O problema com WAFs baseados em regras é que eles exigem manutenção muito alta. As organizações devem definir minuciosamente regras que correspondam aos seus padrões de aplicativos específicos, que podem mudar ao longo do tempo à medida que novos aplicativos são adotados e os aplicativos evoluem. Isso também torna mais difícil lidar com vetores de ameaças em mudança – novos ataques podem exigir novas regras.

 

Um desafio adicional é operar WAFs em um ambiente de microsserviços. Em um aplicativo de microsserviços grande, novas versões de microsserviços são lançadas várias vezes por dia. É simplesmente impraticável implantar um WAF e atualizar conjuntos de regras para cada componente. Isso significa que, em muitos casos, os microsserviços permanecerão desprotegidos por um WAF.

Proteção de API e aplicativo da Web Check Point

O Appsec sempre foi desafiador, mas com a velocidade de desenvolvimento mais rápida do que nunca, tornou-se quase impossível proteger os aplicativos sem incorrer em manutenção pesada de WAF ou bloquear usuários legítimos.

O CloudGuard AppSec da Check Point utiliza IA para oferecer aos clientes uma melhor cobertura de segurança, com menores despesas.

Interrompa falsos positivos, proteja aplicativos e APIs com uma solução automatizada que é tão rápida quanto o DevOps, que fornece: prevenção precisa, administração de política zero, implantação automatizada em qualquer ambiente.

Comece seu teste gratuito e proteja seus aplicativos agora.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK