Um Web Application Firewall (WAF) é implementado na borda da rede e inspeciona o tráfego entre aplicativos Web. Ele pode filtrar e monitorar o tráfego para proteger contra ataques como injeção de SQL, scripts entre sites (XSS) e falsificação de solicitações entre sites (CSRF).
Um WAF opera na camada de rede 7 (a camada de aplicativo). Embora possa se defender contra uma grande variedade de ataques, ele não pode operar sozinho e deve ser combinado com outras ferramentas de segurança para proteger contra ataques direcionados a outras camadas de rede ou outras partes do ambiente de TI/OT.
VEJA TAMBÉM: A Evolução do Firewall - Do Data Center à Nuvem
Qual é a diferença entre WAF e Firewall?
Firewall é um termo genérico para firmware que filtra o tráfego de entrada e saída em uma rede. Existem várias categorias dentro dessa definição que diferem no tipo de proteção que oferecem. Isso inclui inspeção de estado, filtragem de pacotes, servidores proxy e firewalls de próxima geração (NGFW).
O WAF é outro tipo de firewall, diferenciado pela forma como filtra os pacotes de dados. Ele inspeciona a camada de aplicação da rede e pode impedir muitos ataques que são invisíveis para outros tipos de firewalls. Por exemplo, um ataque de injeção de SQL não seria detectado por um firewall comum porque ele não inspeciona cargas úteis de solicitações de aplicativos, como consultas SQL.
Ao contrário de um firewall tradicional que pode bloquear o tráfego de intervalos de IP específicos, geografias e etc, os WAFs permitem definir regras que excluem tipos específicos de comportamento de aplicativos que parecem ser maliciosos.
Tipos de Web Application Firewall
Dispositivo WAF
Normalmente é um hardware instalado localmente usando equipamento dedicado e deve ser instalado o mais próximo possível do aplicativo de campo para reduzir a latência.
A maioria dos WAFs de hardware permite copiar regras e configurações entre dispositivos para dar suporte a implementações em grande escala e em redes corporativas. A desvantagem de um WAF de rede é que ele requer um grande investimento inicial, assim como custos contínuos de manutenção.
Uma alternativa ao WAF de hardware é executar o WAF como um dispositivo virtual, seja localmente, através da tecnologia de virtualização de função de rede (NVF), ou na cloud pública, utilizando uma imagem de máquina em nuvem pré-configurada.
Host-Based WAF
Pode ser totalmente integrado ao código do seu aplicativo, esse modelo de implementação traz custos muito mais baixos e maior personalização. No entanto, os WAFs com base em host são mais complexos de implementar, exigindo que bibliotecas específicas sejam instaladas no servidor de aplicativos e contando com recursos do servidor para serem executados com eficiência. O WAF também se torna uma dependência do aplicativo Web que precisa ser gerenciado durante todo o ciclo de vida do desenvolvimento.
Cloud WAF
Esta é uma opção econômica que oferece uma solução WAF pronta para uso, sem alto investimento inicial e rápida implementação. As soluções do Cloud WAF geralmente são contratadas através de assinaturas e exigem apenas uma configuração simples de DNS ou proxy para começar a funcionar. Os WAFs com base em nuvem têm acesso a inteligência de ameaças constantemente atualizada e também podem oferecer serviços gerenciados para ajudá-lo a definir regras de segurança e responder a ataques à medida que ocorrem.
O desafio com os WAFs na nuvem é que você precisa confiar em seu provedor para rotear todo o tráfego para seu aplicativo da web. Se o provedor WAF cair, seu site também cairá e, se o desempenho for ruim, o desempenho do seu site sofrerá. É por isso que a maioria dos provedores de WAF em nuvem oferece uma solução integrada de proteção WAF, CDN e DDoS para garantir tempo de atividade e latência mínima.
Como funciona um Web Application Firewall?
Um WAF tem vários modelos de implementação possíveis:
Hardware ou dispositivo virtual
Software rodando no mesmo servidor web que o aplicativo web
Serviço com base em nuvem
Em cada um desses modelos, o WAF sempre fica na frente do aplicativo Web, interceptando todo o tráfego entre o aplicativo e a Internet.
Whitelist x Blacklist
Um WAF pode operar em um modelo de whitelist, permitindo apenas o tráfego de aplicativos em boas condições, ou em um modelo de blacklist, bloqueando o tráfego que corresponda a padrões de ataque ou regras de segurança conhecidos.
Os WAFs interceptam solicitações HTTP/S, as inspeciona e só as deixa passar se confirmar que não são mal-intencionadas. Da mesma forma, ele inspeciona as respostas do servidor, verificando padrões conhecidos de ataques a aplicativos da Web, como sequestro de sessão, estouro de buffer, XSS, comunicações de comando e controle (C&C) ou negação de serviço (DoS).
Recursos WAF
Os WAFs normalmente oferecem os seguintes recursos:
Banco de dados de assinaturas de ataques —São padrões que podem ser usados para identificar tráfego malicioso. Eles podem incluir IPs conhecidos, tipos de solicitações, respostas incomuns do servidor e etc. No passado, os WAFs dependiam principalmente de bancos de dados de padrões de ataque, mas essa técnica é amplamente ineficaz contra ataques novos e desconhecidos.
Análise de IA/ML de padrões de tráfego — Os WAFs modernos realizam análises comportamentais do tráfego usando algoritmos de inteligência artificial. Eles identificam linhas de base para tipos específicos de tráfego e capturam anomalias que podem representar um ataque.
Perfil do aplicativo — O WAF analisa a estrutura do aplicativo Web, incluindo URLs, solicitações típicas, tipos de dados e valores permitidos. Isso pode ajudar a identificar solicitações anormais ou maliciosas e bloqueá-las.
Mecanismo de personalização — O WAF permite que os operadores definam regras de segurança específicas para a organização ou aplicativo da Web e as aplique instantaneamente ao tráfego do aplicativo. Isso é importante para permitir a personalização do comportamento do WAF e evitar o bloqueio de tráfego legítimo.
Mecanismo de correlação — Analisa o tráfego de entrada e faz uma triagem usando assinaturas de ataque conhecidas, análise de IA/ML, perfil de aplicativos e regras personalizadas para determinar se ele deve ser bloqueado ou não.
Proteção contra DDoS — Quando um ataque DDoS é detectado pelo WAF, ele pode bloquear as solicitações e transferir o tráfego para o sistema de proteção DDoS, que pode ser dimensionado para suportar grandes ataques volumétricos.
Rede de entrega de conteúdo (CDN) — Como os WAFs são implementados na borda da rede, os WAFs em nuvem também podem oferecer um CDN que armazena o site em cache para melhorar o tempo de carregamento. O WAF/CDN é implementado em vários pontos de presença (PoP) distribuídos em todo o mundo, e o site é servido aos usuários através do PoP mais próximo.
Proteção Check Point para Aplicativos Web e APIs
AppSec sempre foi um desafio, e com um ambiente de TI que evolui cada vez mais rápido, tornou-se quase impossível proteger os aplicativos sem investir em manutenção pesada do WAF ou acabar bloqueando usuários legítimos.
O CloudGuard AppSec da Check Point usa Inteligência Artificial para oferecer aos clientes uma melhor cobertura de segurança, com menores gastos.
Impeça falsos positivos, proteja aplicativos e APIs com uma solução automatizada que oferece prevenção precisa, facilita a administração de políticas e pode ser implementada e automatizada em qualquer ambiente.
Preencha o formulário abaixo para solicitar sua avaliação gratuita e comece a proteger seus aplicativos.
Fonte: CyberHub
Conheça o Next Generation Firewall da Check Point
A Check Point Software Technologies é uma fornecedora líder de soluções de segurança cibernética para governos e empresas corporativas em todo o mundo. As soluções da Check Point protegem os clientes contra ataques cibernéticos de 5ª geração.
Obtenha o melhor gerenciamento de segurança unificado. Gerencie todas as soluções de segurança com uma política unificada, reunindo redes, nuvens, dispositivos móveis, endpoints e workloads. Descubra, investigue e impeça ataques rapidamente, com 99,9% de precisão.
Teste a solução gratuitamente! Oferecemos demonstrações individuais de nossas soluções. Entre em contato com nossos especialistas para testar Check Point em seu ambiente.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.