Los cortafuegos existen desde hace años, pero los cortafuegos de aplicaciones web son mucho más recientes y, a pesar del nombre, ¡muy diferentes!
En primer lugar, ¿qué es un WAF? ¿Qué hace y por qué lo necesito (o no)?
Sencillamente, un cortafuegos normal abrirá puertos para permitir que el tráfico del mundo exterior el acceso a tu sitio web/aplicación web.
Un WAF comprobará el tráfico que pasa por estos puertos abiertos para asegurarse de que no es alguien que está pirateando tu sitio/aplicación.
El ataque
El pirateo a nivel de aplicación web es ahora una forma muy común de ataque. De hecho, los 10 principales tipos de ataque web se enumeran (y actualizan) en este sitio independiente llamado OWASP aquí .
Todos los WAF que se precien protegerán contra estas amenazas.
Normalmente, ¡un servidor de aplicaciones web hace algo! Tal vez accede a algunos datos útiles y los presenta al usuario de una forma bonita e inteligente. Lo que sea…
Puede que sea bastante obvio, pero los datos tienden a almacenarse en bases de datos en servidores de bases de datos que suelen estar a mayor profundidad en la red, por lo que son más difíciles de atacar. Es más fácil atacar una aplicación web de cara al público que sabes que tiene acceso a los datos internos que quieres.
Instalar un cortafuegos de aplicaciones puede ayudarte a proteger tus aplicaciones web y, lo que es más importante, los datos a los que la aplicación tiene acceso.
De hecho, no sólo pueden ayudar a prevenir un ataque, sino que muchos pueden incluso ayudar a reducir la pérdida de datos en caso de que un ataque tenga éxito. (ver aquí un ejemplo)
Con el GDPR en ciernes, un WAF es ahora una parte esencial de la arquitectura de seguridad web. (Bastante interesante, ya hace tiempo que es esencial para el PCIDSS)
¿Así que no hay que pensárselo dos veces para conseguir uno?
Salgamos a comprar el WAF más grande y más malo que tengamos a mano. No es una buena idea.
Muchos son caros, complejos y una mala implementación puede romper la aplicación.
De hecho, tras hablar con algunos consultores de seguridad sobre los líderes del mercado, consideran que muchos están configurados como no bloqueantes, lo que significa que no bloquean un ataque, sino que simplemente ¡¡obsérvalo y di que tienes uno!! ¿Quizá esto se utilizaba antes para marcar las casillas correctas?
¿Por qué no se bloquean? Sencillamente porque son demasiado complejos y muchas organizaciones no tienen los conocimientos necesarios para configurarlos. Además, abarcan múltiples ya que suelen situarse entre los equipos de aplicaciones y de redes.
A veces los tienen configurados correctamente al principio, pero luego se produce un cambio en la aplicación y se rompe, por lo que entran en pánico y pasan a no bloquear o añaden montones de reglas a la lista blanca para que sea útil como una tetera de chocolate. la lista blanca para que sea tan útil como una tetera de chocolate.
Lección – No compres un coche de F1 para ir de compras (a menos que sepas conducir un coche de F1) . Probablemente lo estrellarás o no lo usarás.
Nuestro discurso – No compres nuestro WAF
especialmente si necesitas el producto más configurable del mercado.
No compres nuestro WAF si eres una gran empresa con grandes presupuestos y un equipo WAF. (Por cierto, si eres una empresa, comprueba que tu WAF está configurado para no bloquear 😉 ) Si no es así, llámanos 🙂
Pero – Considera nuestro WAF si necesitas una protección líder del sector en un formato formato que puedas entender, configurar, gestionar y mantener.
Considera nuestro WAF si tienes aplicaciones web disponibles externamente que tienen acceso a datos de clientes y tienes obligaciones en virtud del GDPR para proteger estos datos.
Si no lo necesitas, no lo compres, pero si lo necesitas, compra algo que haga el trabajo que se le pide a un nivel que sea manejable por el tiempo de organización y las habilidades disponibles.
Siguiente Infórmate sobre WAF
Para ayudarte a aprender más sobre WAF, hemos configurado un entorno de prueba WAF completo que incluye un servidor de aplicaciones, un WAF y una herramienta de simulación de ataques.
Esta unidad de prueba puede activarse en línea en unos minutos; entonces puedes probarla y, si te sientes valiente, incluso dirigirla a tu sitio web público para probarla.
Haz una prueba de conducción aquí
Más información sobre nuestro WAF WAF jetNEXUS
