El firewall de aplicaciones web (WAF) es una herramienta de seguridad que se utiliza para protegerse contra el acceso no deseado a aplicaciones web. A menudo es un dispositivo de seguridad que se encuentra en la parte superior de un servidor web y protege contra amenazas de Internet o de más allá del perímetro de la red.

A diferencia de la capa 3 (Red) y Capa 4 (Transporte) Cortafuegos, que no pueden identificar consultas maliciosas de la capa de aplicación, WAF es una capa 7 Cortafuegos que puede ver más allá de los paquetes cifrados. El uso de un WAF permite a las organizaciones defender su presencia en línea contra numerosos ataques web basados en Internet, Incluido el scripting entre sitios (XSS), Inyecciones SQL, y falsificación de solicitudes entre sitios (CSRF). Estos ataques pueden dar a los atacantes la capacidad de robar información crítica, Tomar el control de los servidores web, o lanzar ataques contra otros sistemas, lo que puede ser desastroso para las aplicaciones web.

Problemas

1. Microservicios nativos de la nube y WAF

Los WAF son menos efectivos dentro de las aplicaciones web nativas de la nube y dentro de los entornos de la nube. Una de las razones es que las reglas de seguridad a las que estaban sujetas las aplicaciones web tradicionales dentro de los entornos locales no son aplicables dentro de la nube.

En centros de datos tradicionales, Los firewalls de aplicaciones web suelen instalarse en el perímetro de la red para proteger las aplicaciones que se ejecutan dentro del perímetro de la red interna. Sin embargo, en entornos de nube, Las aplicaciones a menudo se implementan en máquinas virtuales o contenedores que son flexibles y se pueden activar y desactivar a medida que cambia la demanda. Esto significa que los enfoques tradicionales de seguridad basados en el perímetro pueden ser menos eficaces en entornos de nube, donde las aplicaciones pueden residir en cualquier lugar de la red y son más difíciles de monitorear y controlar.

Otro desafío con las aplicaciones web nativas de la nube es que a menudo están más distribuidas y son más complejas que las aplicaciones web tradicionales. Las aplicaciones nativas de la nube suelen estar compuestas por microservicios que se comunican entre sí a través de API y pueden usar varios almacenes de datos y servicios de terceros. Esto puede dificultar la identificación y mitigación de los riesgos de seguridad, ya que los ataques pueden ocurrir en cualquier punto de la arquitectura de la aplicación.

2. Desafíos de WAF y API

Apis (Interfaces de programación de aplicaciones) son los principales métodos de conectividad entre microservicios y también se utilizan para permitir la comunicación entre servicios y aplicaciones externos. Las API utilizan protocolos de comunicación y patrones de tráfico diferentes a los de las aplicaciones web tradicionales, lo que hace que sea más difícil para los WAF identificar y proteger con precisión el tráfico de la API. Esto puede dar lugar a falsos positivos o falsos negativos, Debilitar la seguridad, o bloquear el tráfico legítimo innecesariamente.

Uno de los desafíos con el tráfico de API es que puede usar diferentes protocolos, como HTTP, HTTPS, y Web-Sockets, que puede contener diferentes tipos de cargas útiles y encabezados que dificultan que el WAF identifique con precisión el tráfico. Por ejemplo, algunas API pueden usar cargas binarias o cifrado, que es difícil de interpretar y analizar para los WAF.

Otro desafío es que las API pueden tener patrones de tráfico diferentes a los de las aplicaciones web tradicionales. Las API suelen tener un gran volumen de tráfico con muchas solicitudes por segundo, lo que dificulta que el WAF siga el ritmo del tráfico. Adicionalmente, en comparación con las aplicaciones web, Las API suelen tener patrones de tráfico más predecibles y coherentes, Facilitar a los atacantes la identificación de vulnerabilidades y el lanzamiento de ataques.

Recientemente, Un grupo de investigación en seguridad publicó un nuevo método para eludir varios firewalls de aplicaciones web, incluyendo Palo Alto, F5, Servicios web de Amazon, Cloudflare (en inglés), e Imperva. Los proveedores especificados reconocieron (Según los investigadores) la divulgación y realizó cambios en sus productos’ Procesos de inspección de SQL para admitir la sintaxis JSON.

Soluciones

1. Anomalías especificadas por la API

Para superar los desafíos mencionados anteriormente, un WAF debe estar diseñado específicamente para manejar el tráfico de API. Esto puede incluir la identificación y protección del tráfico de la API mediante una variedad de técnicas, incluyendo análisis basados en firmas o algoritmos de aprendizaje automático que pueden detectar anomalías en los patrones de tráfico. Es posible que un WAF también deba integrarse con otras herramientas de seguridad, como puertas de enlace de API, para proporcionar una solución de seguridad más completa.

En general, proteger el tráfico de API con un WAF requiere un enfoque diferente al de la seguridad tradicional de las aplicaciones web. Un WAF debe estar diseñado específicamente para manejar protocolos de comunicación y patrones de tráfico específicos de la API para identificar y defenderse con precisión de las amenazas de seguridad.

2. WAF integrados

Para hacer frente a estos desafíos, un WAF debe crearse específicamente para aplicaciones web nativas de la nube. Esto puede implicar la implementación de un WAF como parte de la arquitectura de la aplicación en lugar de como una solución basada en el perímetro. Adicionalmente, Es posible que los WAF deban integrarse con otras herramientas de seguridad nativas de la nube, como plataformas de seguridad de contenedores y puertas de enlace de API, para proporcionar una solución de seguridad más completa.

Los WAF pueden seguir desempeñando un papel importante en la protección de las aplicaciones web nativas de la nube, Sin embargo, es posible que deban adaptarse y mejorarse para abordar los desafíos de seguridad únicos de los entornos nativos de la nube.

3. WAF y defensa en profundidad

Un WAF debe considerarse una capa de un enfoque de seguridad de varias capas, junto con otras herramientas de seguridad como sistemas de detección y prevención de intrusos, Pasarelas de API seguras, Protección de endpoints, Cortafuegos de red, y controles de acceso. Mediante la implementación de múltiples capas de controles de seguridad, Las organizaciones pueden crear una postura de seguridad más sólida y defenderse mejor contra diversas amenazas.

El uso de un WAF como parte de una estrategia de defensa en profundidad puede ayudar a prevenir una amplia variedad de ataques a aplicaciones web y reducir el riesgo de filtraciones de datos y otros incidentes de seguridad. Un WAF ayuda a proporcionar visibilidad del tráfico de aplicaciones web, Permitir a las organizaciones supervisar y analizar los patrones de tráfico e identificar posibles amenazas a la seguridad. Esto es especialmente importante en entornos de nube donde las aplicaciones web y las API pueden volverse más distribuidas y complejas.

Mediante la integración de WAF con otras herramientas de seguridad, como puertas de enlace de API y gestión de eventos e información de seguridad. (SIEM) Sistemas, Las organizaciones pueden crear una solución de seguridad más completa que les brinde una mayor visibilidad y control sobre su entorno en la nube.

4. WAF distribuidos

Un WAF distribuido (Firewall de aplicaciones web) es la respuesta al reto de proteger los microservicios distribuidos basados en la nube. Para aplicaciones monolíticas tradicionales, se puede implementar un solo WAF en el perímetro de la red para proteger toda la aplicación. Sin embargo, en entornos de microservicios distribuidos basados en la nube, Las aplicaciones se dividen en, Componentes modulares, cada uno con su propia API y requisitos de seguridad. Esto puede dificultar la protección de todos los componentes con un solo WAF, ya que cada componente puede requerir diferentes políticas y configuraciones de seguridad.

Se desarrolló un WAF distribuido para abordar este desafío al proporcionar una solución de seguridad distribuida y escalable para microservicios basados en la nube. Un WAF distribuido consta de varias instancias de un WAF implementadas en diferentes ubicaciones, como centros de datos y regiones en la nube. Cada instancia de WAF se puede configurar con su propia política de seguridad y configuración adaptada a las necesidades específicas de los microservicios que protege.

Mediante la implementación de varias instancias de WAF en diferentes ubicaciones, Las organizaciones pueden implementar una solución de seguridad más completa y escalable que pueda adaptarse a las necesidades cambiantes de los entornos de microservicios. Un WAF distribuido también puede mejorar la resiliencia y la disponibilidad, ya que puede seguir funcionando incluso si fallan una o más instancias.

Adicionalmente, Los WAF distribuidos se pueden integrar con otras herramientas de seguridad, como puertas de enlace API y sistemas SIEM, para proporcionar una solución de seguridad más completa para microservicios basados en la nube. Por ejemplo, una puerta de enlace de API se puede utilizar para administrar el acceso a microservicios, un WAF distribuido se puede utilizar para protegerse contra ataques a aplicaciones web, y se puede lograr visibilidad del tráfico de aplicaciones web.

Conclusión

Firewalls de aplicaciones web (Wafs) desempeñan un papel importante en la defensa de las aplicaciones web de los ataques originados en Internet, incluidas las inyecciones SQL, Secuencias de comandos entre sitios (XSS), y falsificación de solicitudes entre sitios (CSRF). Sin embargo, Las aplicaciones web nativas de la nube y las API plantean desafíos particulares para los WAF debido a su naturaleza compleja y distribuida, lo que dificulta que los WAF detecten y mitiguen adecuadamente los riesgos de seguridad.

Para hacer frente a estos desafíos, Los WAF deben diseñarse específicamente para aplicaciones web nativas de la nube e integrarse con otras herramientas de seguridad nativas de la nube, incluidas las plataformas de seguridad de contenedores y las puertas de enlace de API. Adicionalmente, Los WAF deben considerarse como una capa de un enfoque de seguridad de varias capas, incluyendo otras herramientas de seguridad como sistemas de detección y prevención de intrusiones, Puertas de enlace de API seguras, Protección de endpoints, Cortafuegos de red, y controles de acceso.

Mediante la integración de WAF con otras herramientas de seguridad y la implementación de múltiples capas de controles de seguridad, Las organizaciones pueden crear una solución de seguridad más completa que proporcione más visibilidad y control sobre su entorno en la nube.