BLOG

¿Dónde encaja un WAF en la ruta de datos?

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 19 de octubre de 2017

Los firewalls de aplicação web (WAF) basados ​​en proxy son un componente integral de la protección de aplicação . Además de ser un requisito para cumplir con PCI-DSS, los WAF son excelentes para proteger contra el OWASP Top 10. También son una solución ideal para abordar vulnerabilidades de día cero, ya sea a través de la publicación rápida de actualizaciones de firmas o, en algunos casos, el uso de funciones programáticas para parchar virtualmente las aplicações mientras se implementa una solución a largo plazo.

La pregunta es ¿dónde poner esa protección?

Hay opciones, por supuesto. La ruta de datos contiene múltiples puntos de inserción en los que se puede implementar un WAF. Pero eso no significa que cada punto de inserción sea una buena idea. Algunos son menos eficientes que otros, algunos introducen puntos de falla inaceptables y otros introducen una deuda arquitectónica que genera fuertes penalizaciones por intereses a lo largo del tiempo.

Lo ideal es implementar un WAF detrás de su nivel de equilibrio de carga. Esto optimiza la utilización, el rendimiento y la confiabilidad al tiempo que proporciona la protección necesaria para todas las aplicaciones, pero especialmente para aquellas expuestas en Internet.

Ubicación recomendada: WAF detrás del nivel de equilibrio de carga
Utilización

Los requisitos de recursos (CPU y similares) involucrados en la toma de una decisión de equilibrio de carga son mínimos. En general, este es el motivo por el que un LB puede soportar simultáneamente a millones de usuarios, y los WAF requieren un mayor uso, porque inspeccionan toda la carga útil y la evalúan en relación con firmas y políticas para determinar si la solicitud es válida y segura.

Los modelos de centros de datos modernos toman prestado en gran medida de la nube y de su estructura de costos basada en su uso. La utilización se convierte en un factor clave en los costos operativos. Una mayor utilización genera necesidades adicionales de recursos, lo que consume presupuestos. Por lo tanto, optimizar la utilización es una estrategia sólida para limitar los costos tanto en el centro de datos como en los entornos de nube pública.

Fiabilidad

Es una práctica común escalar los WAF horizontalmente. Es decir, utiliza el LB para escalar WAF. Esta decisión arquitectónica está directamente relacionada con la utilización. Si bien muchos WAF escalan bien, aún pueden verse abrumados por el tráfico flash o los ataques. Si el WAF se ubica frente al LB, necesitará otro nivel de LB para escalarlo por separado o correrá el riesgo de afectar el rendimiento y la disponibilidad.

Colocación alternativa: WAF delante de un nivel de equilibrio de carga... y detrás de otro
Rendimiento

El rendimiento es una preocupación clave en una economía de aplicação . Con tantas variables y sistemas que interactúan con los datos a medida que recorren la ruta de datos, puede resultar frustrante determinar exactamente dónde se está viendo afectado el rendimiento, y más aún ajustar cada uno de ellos sin afectar a los demás. Como se ha observado muchas veces antes, a medida que aumenta la carga en un sistema, el rendimiento disminuye. Esta es una de las consecuencias no deseadas de no optimizar la utilización, y una razón clave por la que los arquitectos de redes experimentados utilizan un umbral de utilización del 60 % en los dispositivos de red.

La implementación de un WAF detrás del nivel LB elimina la necesidad de un nivel de equilibrio de carga WAF designado ascendentemente, lo que elimina una capa completa de red de la ecuación. Si bien el tiempo de procesamiento eliminado puede no parecer mucho, esos preciosos microsegundos dedicados a administrar conexiones y escalar servicios WAF y luego hacerlo nuevamente para elegir una instancia/servidor de aplicación de destino son importantes. La eliminación de este nivel mediante la implementación del WAF detrás del nivel LB devuelve microsegundos valiosos que los usuarios de hoy no solo notarán, sino que apreciarán.

Visibilidad

La visibilidad es un requisito clave para las soluciones de seguridad en la ruta de datos. Sin la capacidad de inspeccionar todo el flujo, incluida la carga útil, muchas de las funciones de seguridad de un WAF resultan inútiles. Después de todo, la mayoría del código malicioso se encuentra en la carga útil, no en los encabezados del protocolo. La ubicación de un WAF detrás del nivel LB permite el descifrado de SSL/TLS antes de que el tráfico se transmita al WAF para su inspección. Esta es una arquitectura más deseable porque es probable que el balanceador de carga necesite visibilidad del tráfico seguro de todos modos para determinar cómo enrutar las solicitudes correctamente.

Configuración recomendada: Descifrado e inspección para mayor seguridad

Dicho todo esto, un WAF se adapta a la ruta de datos prácticamente en cualquier lugar donde lo desees. Es un servicio de seguridad basado en proxy L7 implementado como intermediario en la ruta de la red. Podría ubicarse aparentemente en el borde de la red, si así lo desea. Pero si desea optimizar su arquitectura para lograr rendimiento, confiabilidad y utilización al mismo tiempo, entonces su mejor opción es ubicar ese WAF detrás del nivel de equilibrio de carga, más cerca de la aplicação que está protegiendo.

Con las herramientas adecuadas, una cobertura WAF integral puede reducir significativamente sus exposiciones, así como sus costos operativos. Obtenga más información sobre cómo proteger sus aplicaciones del OWASP Top 10 y otras amenazas con los seminarios web a pedido de F5 y explore las distintas formas en que puede implementar las capacidades de F5 WAF, incluido el servicio administrado Silverline WAF basado en la nube de la empresa.

El arquitecto de seguridad de F5, Brian McHenry, y el evangelista principal de investigación de amenazas, David Holmes, contribuyeron a este artículo. Ediciones menores realizadas en agosto de 2019.