Plataforma de lançamento do Advanced Web Application Firewall (WAF)

Por que as organizações precisam de um WAF?

Hoje em dia, as empresas estão expandindo seus negócios usando aplicativos baseados na web e hospedados na nuvem, portanto, ter um firewall de aplicativo da web (WAF) robusto e ágil para protegê-los contra ameaças de segurança não é um luxo, é uma necessidade.

À medida que esses aplicativos baseados na Web e na nuvem se espalham mais rapidamente, os ataques se tornam cada vez mais sofisticados e frequentes, ameaçando os dados e as operações críticas das empresas. Isso torna muito mais difícil para administradores e equipes de segurança se manterem atualizados sobre os últimos ataques e medidas de proteção. Ao mesmo tempo, eles devem atender a rigorosos requisitos de conformidade para comércio on-line (por exemplo, Padrão de Segurança de Dados do Setor de Cartões de Pagamento); proteger aplicativos da web essenciais aos negócios contra ataques comuns, como injeção de SQL, ataques DDoS e ataques multifacetados de dia zero; e permitir o compartilhamento seguro de dados entre ambientes tradicionais e de nuvem.

O que é preciso para implantar um WAF?

As empresas podem empregar uma combinação de técnicas para garantir uma cobertura de detecção precisa que não bloqueie o tráfego legítimo. Tradicionalmente, a configuração WAF mais amplamente utilizada tem sido um modelo de segurança negativo, que permite todas as transações, exceto aquelas que contêm uma ameaça/ataque. A segurança negativa utiliza assinaturas e regras projetadas para detectar ameaças e ataques conhecidos. O banco de dados de regras de assinatura será bastante substancial, pois o conhecimento sobre ataques foi acumulado ao longo dos anos. Este é um ótimo modelo para proteção pronta para uso, bloqueando ameaças comumente conhecidas, incluindo injeções da web, ameaças OWASP Top 10, script entre sites (XSS) e muito mais.

Nos últimos anos, modelos de segurança positivos se tornaram mais populares. Essa abordagem bloqueia todo o tráfego, permitindo apenas as transações que são conhecidas como válidas e seguras. A abordagem positiva é baseada na validação rigorosa de conteúdo e na análise estatística, o que pode ser mais eficaz na prevenção de ameaças de dia zero e manipulação de vulnerabilidades. Para ser realmente eficaz, uma abordagem de segurança positiva requer profundo conhecimento do aplicativo e seus usos esperados.

Desafios
Múltiplas etapas interligadas a serem realizadas

Modelos positivos e negativos são capazes de atingir o delicado equilíbrio entre "segurança" e "funcionalidade". Entretanto, nem um modelo de segurança positivo nem negativo sozinho pode oferecer a solução mais econômica em todas as situações ou ambientes. Quando combinada com os requisitos de negócios, uma abordagem positiva e negativa integrada pode permitir que as organizações obtenham o maior ROI de qualquer implementação de política de segurança.

Tomar as decisões apropriadas para uma implantação de WAF que melhor atenda aos objetivos de negócios pode ser um desafio. A necessidade de tempo e recursos geralmente compete com a necessidade de conhecimento adequado e confiança no uso do produto selecionado.

Há várias etapas que um cliente precisará realizar ao planejar e entregar um projeto de implementação de serviço WAF:

  1. Crie a estratégia WAF “mais apropriada” e obtenha sua aprovação de todas as partes interessadas internas.
  2. Use o produto WAF com eficiência para implementar o conjunto correto de políticas e parâmetros.
  3. Planeje a implantação do serviço WAF, geralmente em centenas de aplicativos.
  4. Planeje as operações de serviço do dia a dia e o gerenciamento do ciclo de vida na produção.
Cada etapa oferece desafios comuns
  • Os requisitos (ou expectativas) de segurança corporativa e empresarial nem sempre levam em consideração as restrições técnicas, operacionais e de recursos. A tentação então é tentar atingir um objetivo de alto nível elaborando uma estratégia muito sofisticada antes de garantir que a organização tenha colocado em prática tudo o que é necessário para tornar esse objetivo alcançável. Uma avaliação e análise neutras da situação podem ser necessárias para resolver esse problema em muitos casos.
  • O equilíbrio entre a disponibilidade do aplicativo, exigida pelos proprietários de negócios, e o nível de proteção exigido pela equipe do CISO nem sempre é fácil de alcançar. Por exemplo, os empresários não querem que seus aplicativos sejam bloqueados devido a falsos positivos ou que as políticas do WAF sejam muito restritivas. Novamente, uma avaliação e análise imparcial e educada da situação pode ajudar as organizações a encontrar o equilíbrio certo e preparar planos de mitigação para lidar com possíveis impactos na produção.
  • Participar de treinamento de fornecedores de software ou obter certificação de produto é altamente recomendável, mas isso nunca poupará o esforço de praticar dentro do contexto, dos objetivos e das restrições reais da empresa.
  • Uma das questões com as quais os clientes frequentemente se deparam é como proteger um grande número de aplicativos. Muitas vezes, porém, o volume em si não é o principal problema, enquanto a qualidade e a integridade das informações disponíveis para cada aplicação podem de fato dificultar um projeto WAF e devem levar a considerações adicionais sobre a estratégia de design e implementação. A experiência com implementações de WAF será extremamente útil para descobrir critérios relevantes e estabelecer caracterização e agrupamentos de aplicativos, além de adaptar o design geral do serviço WAF e a estratégia de implementação.
  • Muitas vezes, os clientes esquecem de incluir considerações iniciais sobre etapas posteriores para garantir viabilidade e capacidade de suporte. Esse é provavelmente o erro mais frequentemente cometido (ou seja, projetar e planejar a solução sem estudar as implicações dos modelos de design e implementação selecionados ao operar essa solução em longo prazo em um ambiente de produção). Um exemplo comum é a subestimação dos recursos necessários para manter políticas WAF altamente sofisticadas enquanto todo o ambiente enfrenta mudanças regulares de todas as partes: ameaças, mitigações, lançamentos de aplicativos, etc.
A Solução F5
A F5 Professional Services personaliza a solução para seu ambiente

O conjunto abrangente de funções do BIG-IP Advanced WAF, como vários métodos de implantação (incluindo o criador de políticas de tráfego real); aprendizado manual; e recursos avançados, como integração de scanner de vulnerabilidade, assinaturas de ataque, prevenção de força bruta, aplicação de geolocalização, detecção de bot, mitigação de DDoS e muito mais, permitem configurações rápidas e adequadas à finalidade que podem ser dimensionadas e aprimoradas para abordar o mundo em evolução das ameaças e atender aos requisitos mais exigentes dos clientes.

A F5 Professional Services criou especificamente o serviço Advanced WAF Launchpad para clientes que compraram e, às vezes, até provisionaram o módulo Advanced WAF BIG-IP, mas que ainda não implantaram um serviço WAF eficaz (por exemplo, com poucas políticas apenas no modo transparente).

O serviço Advanced WAF Launchpad pode oferecer o benefício da experiência e conhecimento da F5 Professional Services para ajudar os clientes a superar problemas específicos de casos de uso e se envolver em um projeto de implementação bem-sucedido do Advanced WAF.

Âmbito do serviço

O serviço envolve a colaboração entre um especialista em segurança da F5 Professional Services e as equipes de segurança, infraestrutura, rede e gerenciamento de aplicativos do cliente.

O objetivo duplo do serviço é desenvolver uma estratégia de implementação de política WAF avançada adequada à finalidade, usando as melhores práticas do F5, e transferir conhecimento e experiência que podem ser colocados diretamente em prática pelo cliente.

Abordagem de prestação de serviços

O serviço é um compromisso de dois dias durante o qual a teoria e a prática das funcionalidades, implantações e requisitos de gerenciamento do Advanced WAF são abordados para garantir que os clientes tenham a confiança e a capacidade de implementar soluções eficazes do Advanced WAF para segurança ideal do aplicativo.

Passo 1: Estratégia avançada de design e implantação de WAF

O primeiro dia de envolvimento começa com uma sessão de trabalho que envolve arquitetos de segurança, designers, engenheiros, operações e outras partes interessadas responsáveis pelo gerenciamento da política de segurança do Advanced WAF. O consultor F5 conduzirá a coleta de dados e a análise imparcial do contexto e dos objetivos existentes, fornecerá recomendações e melhores práticas e conduzirá reflexões completas para desenvolver uma estratégia de design e implementação de alto nível.

No final do primeiro dia, o consultor F5 preparará um relatório que destacará as descobertas e recomendações.

Etapa 2: Criação e implementação de políticas

Esta etapa consiste em criar uma política e aplicá-la a um servidor virtual para cobrir um determinado aplicativo web. Ela pode ser executada de uma só vez ou pode ser dividida em subtarefas separadas para se adequar à estratégia de implementação de política selecionada.

Por exemplo, uma implementação de política em um ambiente de teste do cliente com o método de implantação rápida pode ser realizada em uma sessão, enquanto a geração de uma política usando o Automatic Policy Builder (ou seja, onde o tráfego "real" está disponível para ser inspecionado por um longo período) pode ser dividida em uma subtarefa para configurar a política básica e outra subtarefa posteriormente para executar o ajuste da política e a transição para o modo de bloqueio.

Conclusão

O suporte ao vivo de um consultor qualificado com experiência e conhecimento relevantes muitas vezes provou ser a melhor solução para colocar um projeto de implantação de serviço WAF no caminho certo e ajudar os proprietários de WAF avançados a tomar decisões informadas e eficientes.

Para obter mais informações sobre o serviço BIG-IP Advanced WAF Launchpad, entre em contato com a F5 Professional Services .

Publicado em 21 de março de 2018
  • Compartilhe no Facebook
  • Compartilhar para X
  • Compartilhe no Linkedin
  • Compartilhar por e-mail
  • Compartilhe via AddThis

Conecte-se com F5

F5 LABS

O que há de mais moderno em inteligência de ameaças a aplicativos.

DEVCENTRAL

A comunidade F5 para fóruns de discussão e artigos de especialistas.

Sala de redação da F5

Notícias, blogs F5 e muito mais.