Plataforma de lanzamiento de firewall de aplicação web (WAF) avanzado

Hoy en día, las empresas están ampliando sus negocios mediante el uso de aplicações alojadas en la nube y basadas en la web, por lo que contar con un firewall de aplicação web (WAF) robusto y ágil para protegerlas de amenazas a la seguridad no es un lujo: es una necesidad.

A medida que estas aplicações basadas en la web y en la nube se propagan más rápidamente, los ataques se vuelven cada vez más sofisticados y frecuentes, amenazando los datos y las operaciones críticas de las empresas. Esto hace que sea mucho más difícil para los administradores y equipos de seguridad mantenerse actualizados sobre los últimos ataques y medidas de protección. Al mismo tiempo, deben cumplir con estrictos requisitos de cumplimiento para el comercio en línea (por ejemplo, el Estándar de seguridad de datos de la industria de tarjetas de pago); proteger las aplicações web críticas para el negocio de ataques comunes como inyección SQL, ataques DDoS y ataques multifacéticos de día cero; y permitir el intercambio seguro de datos entre entornos tradicionales y en la nube.

Las empresas pueden emplear una combinación de técnicas para garantizar una cobertura de detección precisa que no bloquee el tráfico legítimo. Tradicionalmente, la configuración WAF más utilizada ha sido un modelo de seguridad negativo, que permite todas las transacciones excepto aquellas que contienen una amenaza/ataque. La seguridad negativa utiliza firmas y reglas diseñadas para detectar amenazas y ataques conocidos. La base de datos de reglas de firma será bastante sustancial, ya que el conocimiento sobre los ataques se ha acumulado a lo largo de los años. Este es un excelente modelo de protección lista para usar, que bloquea amenazas comúnmente conocidas, incluidas inyecciones web, amenazas principales de OWASP 10, secuencias de comandos entre sitios (XSS) y más.

En los últimos años, los modelos de seguridad positivos han ganado popularidad. Este enfoque bloquea todo el tráfico y permite únicamente aquellas transacciones que se sabe que son válidas y seguras. El enfoque positivo se basa en una estricta validación de contenido y análisis estadístico, que pueden ser más efectivos para prevenir amenazas de día cero y manipulación de vulnerabilidades. Para ser verdaderamente eficaz, un enfoque de seguridad positivo requiere un conocimiento profundo de la aplicação y sus usos esperados.

Tanto los modelos positivos como los negativos son capaces de lograr el delicado equilibrio entre "seguridad" y "funcionalidad". Sin embargo, ni un modelo de seguridad positivo ni negativo por sí solo puede ofrecer la solución más económica en cada situación o entorno. Cuando se fusiona con los requisitos del negocio, un enfoque positivo y negativo integrado puede permitir a las organizaciones obtener el mayor retorno de la inversión en cualquier implementación de política de seguridad.

Tomar las decisiones adecuadas para una implementación de WAF que satisfaga mejor los objetivos comerciales puede ser un desafío. La necesidad de tiempo y recursos generalmente compite con la necesidad de conocimientos adecuados y confianza en el uso del producto seleccionado.

Hay varios pasos que un cliente deberá llevar a cabo al planificar y entregar un proyecto de implementación de servicio WAF:

1. Desarrollar la estrategia WAF “más adecuada” y lograr que sea aprobada por todas las partes interesadas internas.
2. Utilice eficientemente el producto WAF para implementar el conjunto correcto de políticas y parámetros.
3. Planifique la implementación del servicio WAF, a menudo en varios cientos de aplicações.
4. Planificar las operaciones diarias del servicio y la gestión del ciclo de vida en producción.

• Los requisitos (o expectativas) de seguridad corporativa y comercial no siempre tienen en cuenta plenamente las limitaciones técnicas, operativas y de recursos. La tentación entonces es tratar de alcanzar un objetivo de alto nivel diseñando una estrategia muy sofisticada antes de asegurarse de que la organización haya puesto todo lo necesario para que ese objetivo sea alcanzable. En muchos casos puede ser necesaria una evaluación y un análisis neutral de la situación para resolver este problema.
• El equilibrio entre la disponibilidad de las aplicação , requerida por los propietarios de negocios, y el nivel de protección requerido por el equipo CISO no siempre es fácil de lograr. Por ejemplo, los propietarios de empresas no quieren que sus aplicações se bloqueen debido a falsos positivos o porque las políticas de WAF sean demasiado restrictivas. Nuevamente, una evaluación y un análisis imparciales y fundamentados de la situación pueden ayudar a las organizaciones a encontrar el equilibrio adecuado y preparar planes de mitigación para abordar los posibles impactos en la producción.
• Es muy recomendable asistir a una capacitación de proveedores de software o aprobar una certificación de producto, pero nunca ahorrará el esfuerzo de practicar dentro del contexto, los objetivos y las limitaciones reales de la empresa.
• Una de las preguntas con las que los clientes luchan muy a menudo es cómo proteger una gran cantidad de aplicações. Sin embargo, muy a menudo el volumen en sí no es el problema principal, mientras que la calidad y la integridad de la información disponible para cada aplicação pueden de hecho obstaculizar un proyecto WAF y deberían llevar a consideraciones adicionales sobre la estrategia de diseño e implementación. La experiencia con implementaciones de WAF será extremadamente útil para descubrir criterios relevantes y establecer la caracterización y agrupaciones de aplicações, y para adaptar la estrategia general de diseño e implementación del servicio WAF.
• A menudo, los clientes olvidan incluir consideraciones iniciales sobre los pasos posteriores para garantizar la viabilidad y la capacidad de soporte. Éste es probablemente el error más frecuente (es decir, diseñar y planificar la solución sin estudiar las implicaciones de los modelos de diseño e implementación seleccionados al operar esa solución a largo plazo en un entorno de producción). Un ejemplo común es la subestimación de los recursos necesarios para mantener políticas WAF altamente sofisticadas mientras todo el entorno enfrenta cambios regulares de todas las partes: amenazas, mitigaciones, lanzamientos de aplicação , etc.

El conjunto integral de funciones de BIG-IP Advanced WAF, como múltiples métodos de implementación (incluido el generador de políticas de tráfico real), aprendizaje manual y características avanzadas como integración de escáner de vulnerabilidad, firmas de ataques, prevención de fuerza bruta, aplicación de geolocalización, detección de bots, mitigación de DDoS y más, permiten configuraciones rápidas y adecuadas para el propósito que luego pueden escalar y mejorar para abordar el mundo cambiante de las amenazas y satisfacer los requisitos más exigentes de los clientes.

F5 Professional Services creó específicamente el servicio Advanced WAF Launchpad para clientes que compraron e incluso a veces aprovisionaron el módulo Advanced WAF BIG-IP, pero que aún no han implementado un servicio WAF efectivo (por ejemplo, con pocas políticas solo en modo transparente).

El servicio Advanced WAF Launchpad puede brindar el beneficio de la experiencia y conocimientos de F5 Professional Services para ayudar a los clientes a superar problemas de casos de uso específicos y participar en un proyecto de implementación de Advanced WAF exitoso.

El servicio implica la colaboración entre un experto en seguridad de F5 Professional Services y los equipos de seguridad, infraestructura, red y gestión de aplicaciones del cliente.

El doble objetivo del servicio es desarrollar una estrategia de implementación de políticas Advanced WAF adecuada al propósito utilizando las mejores prácticas de F5 y transferir conocimientos y experiencia que el cliente pueda poner en práctica directamente.

El servicio es un compromiso de dos días durante el cual se cubren la teoría y la práctica de las funcionalidades, implementaciones y requisitos de gestión de Advanced WAF para garantizar que los clientes tengan la confianza y la capacidad de implementar soluciones Advanced WAF efectivas para una seguridad óptima de las aplicação .

El primer día del compromiso comienza con una sesión de trabajo que involucra a los arquitectos de seguridad, diseñadores, ingenieros, operaciones y otras partes interesadas a cargo de la gestión de políticas de seguridad de Advanced WAF . El consultor F5 impulsará la recopilación de datos y el análisis imparcial del contexto y los objetivos existentes, brindará recomendaciones y mejores prácticas y realizará reflexiones exhaustivas para desarrollar una estrategia de diseño e implementación de alto nivel.

Al final de ese primer día, el Consultor F5 preparará un informe que destacará los hallazgos y recomendaciones.

Este paso consiste en crear una política y aplicarla a un servidor virtual para cubrir una aplicação web determinada. Se puede realizar de una vez o dividirse en subtareas independientes para adaptarse a la estrategia de implementación de políticas seleccionada.

Por ejemplo, una implementación de política en un banco de pruebas de un cliente con el método de implementación rápida se puede realizar en una sesión, mientras que la generación de una política utilizando el Generador automático de políticas (es decir, donde el tráfico "real" está disponible para ser inspeccionado durante un período extendido) se puede dividir en una subtarea para configurar la política básica y otra subtarea posterior para realizar el ajuste de la política y la transición al modo de bloqueo.

El soporte en vivo de un consultor calificado con la experiencia y los conocimientos pertinentes ha demostrado a menudo ser la mejor solución para poner un proyecto de implementación de servicios WAF en el camino correcto y ayudar a los propietarios de Advanced WAF a tomar decisiones informadas y eficientes.

Para obtener más información sobre el servicio BIG-IP Advanced WAF Launchpad, comuníquese con F5 Professional Services .