Web Application Firewall (WAF)
O WAF, ou firewall de aplicativos web, ajuda a proteger os aplicativos web ao filtrar e o monitorar o tráfego HTTP entre o aplicativo web e a internet. De modo geral, o WAF protege os aplicativos web contra ataques como falsificação de solicitação entre sites, cross-site-scripting (XSS), inclusão de arquivo e injeção de SQL, entre outros. O WAF é uma defesa de protocolo da camada 7 (no modelo OSI) e não foi desenvolvido para fins de defesa contra todos os tipos de ataques. Esse método de mitigação de ataques costuma fazer parte de um conjunto de ferramentas que, juntas, criam uma defesa holística contra diversos vetores de ataque.
Com a implantação de um WAF à frente da aplicação web, é colocado um escudo entre a aplicação e a internet. Enquanto um servidor proxy protege a identidade da máquina cliente com o uso de um intermediário, o WAF é um tipo de proxy reverso que protege o servidor contra a exposição, já que seus clientes passam pelo WAF antes de chegar ao servidor.
O WAF funciona por meio de um conjunto de regras normalmente chamadas de "políticas". As políticas têm como objetivo proteger o aplicativo contra vulnerabilidades filtrando o tráfego malicioso. O valor de um WAF deve-se, em parte, à velocidade e à facilidade com que a modificação das políticas pode ser implantada, permitindo uma resposta mais rápida a variados vetores de ataque. Durante um ataque DDoS, o rate limiting pode ser implantado rapidamente modificando-se as políticas do WAF.
Qual é a diferença entre um WAF com lista de bloqueios e um WAF com lista de permissões?
O WAF que opera com uma lista de bloqueios (modelo de segurança negativo) protege contra ataques conhecidos. Imagine que o WAF com lista de bloqueios é como um segurança de boate com instruções para impedir a entrada de pessoas que não atendam às recomendações de traje. Em contrapartida, o WAF com lista de permissões (modelo de segurança positivo) só admite o tráfego que foi pré-aprovado. É como o segurança de uma festa exclusiva que só deixa entrar as pessoas que estão na lista de convidados. Tanto as listas de bloqueios quanto as listas de permissões têm suas vantagens e seus inconvenientes; por isso, muitos WAFs oferecem um modelo de segurança híbrido, que usa os dois tipos de listas.
O que são WAFs baseados na rede, em hospedagem e na nuvem?
O WAF pode ser implantado de três formas diferentes, cada uma delas com suas vantagens e desvantagens:
- O WAF baseado na rede é, geralmente, baseado em hardware. Como é instalado no local, o WAF minimiza a latência, mas é a opção mais cara e requer também o armazenamento e a manutenção do equipamento físico.
- O WAF baseado em hospedagem pode ser totalmente integrado ao software de uma aplicação. A solução é mais barata do que o WAF na rede e mais personalizável. As desvantagens do WAF baseado em hospedagem são o consumo de recursos do servidor local, sua implantação complexa e os custos de manutenção. Esses componentes em geral exigem mão de obra de engenharia e podem sair caro.
- Os WAFs baseados em nuvem oferecem uma opção acessível muito fácil de implementar; eles geralmente oferecem uma instalação pronta para uso que é tão simples quanto uma mudança no DNS para redirecionar o tráfego. Os WAFs baseados em nuvem também têm um custo inicial mínimo, pois os usuários pagam mensalmente ou anualmente pela segurança como serviço. Os WAFs baseados em nuvem também podem oferecer uma solução que é consistentemente atualizada para proteger contra as mais recentes ameaças sem nenhum trabalho ou custo adicional para o usuário. A desvantagem de um WAF baseado em nuvem é que os usuários deixam a responsabilidade para terceiros, portanto, alguns recursos do WAF podem ser uma caixa preta para eles. (Um WAF baseado em nuvem é um tipo de firewall em nuvem; saiba mais sobre firewalls em nuvem.)
Conheça a solução de WAF na nuvem da Cloudflare.
Recursos de firewalls de aplicações web
Alguns dos principais recursos dos WAFs incluem:
- Roteamento de tráfego dinâmico via DNS: aproveite algoritmos de roteamento de tráfego baseados em DNS que consideram a latência do usuário de milhares de locais globais para determinar as rotas de menor latência.
- Alta disponibilidade dos serviços WAF: Ao configurar a entrega de aplicações web, os WAFs podem oferecer várias opções de configuração de alta disponibilidade para adicionar servidores de várias origens. Essas configurações podem ser usadas quando os servidores da origem principal estão offline ou não estão respondendo corretamente às verificações de integridade.
- Métodos flexíveis para gerenciar políticas: As configurações de WAF permitem que você configure e gerencie recursos e funcionalidades para atender às necessidades da sua organização.
- Monitoramento e geração de relatórios: os WAFs dão aos usuários a capacidade de acessar relatórios relacionados à sua biblioteca de conteúdo para conformidade e análise.
- Escalação: As informações dos WAFs fornecem às equipes de suporte a capacidade de emitir e escalar um ticket dependendo da urgência.
Quais são as formas de implementar o WAF?
De maneira geral, o WAF tem a incumbência de ser executado por meio de três formas distintas: em uma aplicação de rede, como plugin de servidor, ou mediante ao serviço na nuvem. Evidentemente que cada item tem as suas particularidades, as quais você pode acompanhar abaixo e tirar suas conclusões sobre o que é melhor em sua gestão.
Em rede
Os WAFs baseados em rede exigem a manutenção e o armazenamento de equipamentos físicos, pois o serviço é instalado localmente no hardware. Por conta disso, a latência é minimizada, de modo que o desempenho seja mais rápido. É a solução ideal para aquelas companhias de grande porte que necessitam da proteção de um vasto número de aplicações.
Aplicação ou host
Quanto ao WAF de host, vemos que ele é integrado diretamente ao software e oferece um nível maior de personalização, utilizando-se do próprio código da aplicação. Embora apresente menos custos em comparação com o anterior, ele pode ser um tanto desafiador por demandar recursos de um servidor local e apresentar algumas complexidades na implementação.
Em nuvem
Já o WAF baseado em nuvem é uma ferramenta muito simples, pois ele oferece uma instalação pronta para o uso, além de ter um custo inicial baixo, porque os contratantes pagam mensal ou anualmente, assim como numa plataforma SaaS. Não requer tanta qualificação profissional e muito menos um hardware in loco, de maneira que as únicas obrigações da equipe são as de configurar e monitorar.
Por que a segurança do WAF é importante?
Os firewalls de aplicações web ajudam a proteger aplicações implementadas na nuvem pública, on-premises e em ambientes multinuvem com controles de acesso baseados em dados de geolocalização, endereços IP na lista branca e na lista negra, URL HTTP (Hypertext Transfer Protocol Uniform Resource Locater) e cabeçalho HTTP. Os WAFs podem identificar e bloquear o tráfego de bots maliciosos com um conjunto avançado de métodos de verificação, induzindo JavaScript, Teste de Turing Público Completamente Automatizado para diferenciar computadores e humanos (CAPTCHA), interpretação de dispositivos e algoritmos de interação humana. Os WAFs protegem as aplicações voltadas para a Internet contra ataques como resultado da inteligência integrada contra ameaças que agrega várias fontes e regras de detecção do Open Web Application Security Project (OWASP).