O que é um firewall de aplicação Web (WAF)?

Um firewall de aplicação Web (WAF) protege as aplicações da web de diversos ataques de camada de aplicação, como cross-site scripting (XSS), injeção de SQL e envenenamento de cookies, entre outros. Os ataques a aplicações constituem a principal causa de violações — eles são a porta de entrada para seus dados valiosos. Com o WAF certo instalado, é possível bloquear a variedade de ataques que visam exfiltrar esses dados ao comprometer seus sistemas.

Um WAF protege suas aplicações Web ao filtrar, monitorar e bloquear qualquer tráfego HTTP/S malicioso que se desloca para a aplicação Web e evita que dados não autorizados saiam da aplicação. Ele faz isso ao aderir a um conjunto de políticas que ajudam a determinar qual tráfego é malicioso e qual é seguro. Assim como um servidor proxy atua como um intermediário para proteger a identidade de um cliente, um WAF opera de maneira semelhante, mas ao contrário — chamado de proxy reverso — agindo como um intermediário que protege o servidor de aplicações Web de um cliente potencialmente malicioso.

Os WAFs podem ser na forma de software, um dispositivo ou entregues como um serviço. As políticas podem ser personalizadas para atender às necessidades exclusivas da sua aplicação Web ou conjunto de aplicações Web. Embora muitos WAFs exijam que você atualize as políticas com regularidade para lidar com novas vulnerabilidades, os avanços no aprendizado de máquina permitem que alguns WAFs sejam atualizados automaticamente. Essa automação está se tornando mais crítica à medida que o cenário de ameaças continua crescendo em complexidade e ambiguidade.

Um IPS é um sistema de prevenção de intrusão, um WAF é um firewall de aplicação Web e um NGFW é um firewall de próxima geração. Qual é a diferença entre todos eles?

Um IPS é um produto de segurança com foco mais amplo. Normalmente é baseado em assinatura e política, o que significa que pode verificar vulnerabilidades conhecidas e vetores de ataque com base em um banco de dados de assinatura e políticas estabelecidas. O IPS estabelece um padrão com base no banco de dados e nas políticas e, em seguida, envia alertas quando qualquer tráfego se desvia do padrão. As assinaturas e políticas aumentam com o tempo, à medida que novas vulnerabilidades são conhecidas. Em geral, o IPS protege o tráfego em diversos tipos de protocolo, como DNS, SMTP, TELNET, RDP, SSH e FTP. O IPS normalmente opera e protege as camadas 3 e 4, as camadas de rede e de sessão, embora algumas possam oferecer proteção limitada na camada de aplicação (camada 7).

Um firewall de aplicação Web (WAF) protege a camada de aplicação e é projetado especificamente para analisar cada solicitação HTTP/S na camada de aplicação. Normalmente, ele reconhece o usuário, a sessão e a aplicação, conhece as aplicações Web por trás dele e quais serviços oferece. Por isso, você pode pensar em um WAF como o intermediário entre o usuário e a própria aplicação, analisando todas as comunicações antes que cheguem à aplicação ou ao usuário. Os WAFs tradicionais garantem que apenas ações permitidas (com base na política de segurança) possam ser executadas. Para muitas organizações, os WAFs são uma primeira linha de defesa confiável para aplicações, especialmente para proteção contra as 10 principais pelo OWASP — a lista básica das vulnerabilidades de aplicações mais vistas. Atualmente, as 10 principais incluem:

• Ataques de injeção
• Autenticação interrompida
• Exposição de dados confidenciais
• Entidades externas XML (XXE)
• Controle de acesso desfeito
• Configurações de segurança incorretas
• Cross-site scripting (XSS)
• Desserialização insegura

Obtenha o e-book sobre como se preparar para as 10 principais do OWASP

Assista a este pequeno vídeo sobre IPS vs. WAF

Um firewall de próxima geração (NGFW) monitora o tráfego que sai para a Internet — em sites, contas de e-mail e SaaS. Simplificando, ele está protegendo o usuário (em vez da aplicação Web). Um NGFW reforçará as políticas baseadas no usuário e adicionará contexto às políticas de segurança, além de adicionar recursos como filtragem de URL, antivírus/antimalware e, potencialmente, seus próprios sistemas de prevenção de intrusão (IPS). Embora um WAF seja normalmente um proxy reverso (usado por servidores), os NGFWs geralmente são proxies de encaminhamento (usados por clientes, como um navegador).

Um WAF pode ser implantado de várias maneiras — tudo depende de onde suas aplicações são implantadas, os serviços necessários, como você deseja gerenciá-lo e o nível de flexibilidade arquitetônica e desempenho que você precisa. Você deseja administrar por conta própria ou deseja terceirizar esse gerenciamento? É um modelo melhor ter uma opção baseada em nuvem ou você quer que seu WAF fique no local? A forma como você deseja implantar ajudará a determinar qual WAF é mais adequado para você. Abaixo estão suas opções.

• Baseado em nuvem + Totalmente gerenciado como um serviço — esta é uma ótima opção se você precisar ter um WAF na frente das suas aplicações da maneira mais rápida e descomplicada (especialmente se você tiver recursos de TI/segurança internos limitados)
• Baseado em nuvem + Autogerenciado — obtenha toda a flexibilidade e portabilidade da política de segurança da nuvem ao mesmo tempo que mantém o controle do gerenciamento de tráfego e das configurações da política de segurança
• Baseado em nuvem + Autoprovisionado — esta é a maneira mais fácil de começar com um WAF na nuvem, implantando a política de segurança de uma maneira fácil e econômica
• Advanced WAF local (dispositivo virtual ou de hardware) — atende às necessidades de implantação mais exigentes nas quais flexibilidade, desempenho e questões de segurança mais avançadas são essenciais

Aqui você encontra um guia para ajudá-lo a escolher qual WAF e modo de implantação são adequados para você.

Saiba mais sobre o WAF e como proteger suas aplicações com a tecnologia Advanced WAF da F5