Os firewalls são, em termos de tecnologia, tão antigos quanto as montanhas. Houve mais firewalls de “próxima geração” do que gêneros musicais nos 40 anos em que eles existem. Em sua essência, eles permitem ou negam pacotes que entram ou saem de uma rede e, por mais útil que isso seja, pouco mais. Cada geração acrescenta algo novo à combinação de políticas que decide o que “passa pela porta”, mas um segurança mais bem informado ainda é apenas um segurança. A identificação do usuário, a detecção de intrusão, a hora do dia, os calçados, o uso da largura de banda, o estilo do cabelo ou o estado da sessão TCP ainda não determinam se algo é seguro ou confiável.
Você pode contar com o nosso “consertador”, que sabe (ou pelo menos pode aprender) muito mais sobre nossos clientes e o que eles podem estar fazendo: o Web Application Firewall, ou WAF. Esqueça quem tem permissão para entrar, um WAF especifica quais comportamentos são aceitáveis e quais não são quando você está dentro do perímetro. Com um WAF, as funções do aplicativo e a entrada e saída são o que é permitido ou negado, não o acesso.
Essa é claramente uma abordagem mais sofisticada e aprofundada do que uma escolha binária entre permitir ou negar. Ela permite o controle refinado e a implementação da política de segurança de uma forma mais significativa e, ousamos dizer, natural. Se um site da Web fornecer apenas informações para leitura ou download, um WAF permitirá que você garanta que nenhum arquivo seja carregado nos servidores que o fornecem. Seus servidores podem estar usando um backend SQL, mas isso não é motivo para que os clientes incluam consultas SQL nas solicitações. Em suma, um WAF protegerá você de um usuário mal-intencionado, que o firewall da sua “rede” já deixou passar, pois ele não tem como saber a diferença entre ele e um usuário benigno.
O módulo WAF, disponível com a versão do nosso balanceador de carga avançado ALB-X, é o primeiro que lançamos como um contêiner do Docker. Essa é uma direção nova e empolgante e, de acordo com nossa filosofia, a mais simples possível. Não há necessidade de você entender os meandros do Docker ou dos contêineres para usá-lo. Como se trata de um contêiner, o WAF pode ser instalado e atualizado independentemente do software ALB-X, sem necessidade de reinicialização. Você também pode executar vários contêineres WAF para aplicar políticas diferentes a serviços diferentes e melhorar o isolamento. Resumindo, você tem muita flexibilidade para explorar com essa abordagem.
Nesse sentido, há várias opções de implementação disponíveis, dependendo se você deseja proteger o tráfego não criptografado ou criptografado (HTTPS) (que deve ser descriptografado para permitir a inspeção). Com o HTTPS, você pode optar por criptografar novamente o tráfego antes de enviá-lo para um servidor real.
O módulo WAF oferece proteção contra aplicativos baseados na Web mal codificados e suas vulnerabilidades, mas, na verdade, ele não deve ser considerado uma solução completa para códigos mal escritos com brechas; trate a causa, não os sintomas. Não se esqueça de que uma abordagem conjunta e aprofundada é a melhor defesa. Cookies adequadamente formulados, regras de gerenciamento de tráfego flightPATH, cabeçalhos e restrições HTTP apropriados e outras ferramentas combinadas são muito superiores a uma única parede aparentemente impenetrável. Proteja tudo o que você puder e a verdadeira segurança poderá vir em seguida.
Considere pacotes e tráfego (endereços IP e portas), protocolos, aplicativos, serviços e transações. Confie demais nas proteções de um único elemento e você provavelmente terá problemas. Na mesma linha de cautela, tenha em mente o seguinte;
- Por mais que esteja ciente do aplicativo, um WAF não pode fazer muita coisa, pois não está ciente de como o seu aplicativo funciona ou do ideal que você tem de como ele deve funcionar.
- O WAF usa uma “base de regras” comum que se baseia em várias suposições que podem não ser apropriadas para o seu aplicativo (por exemplo, uploads de arquivos não são permitidos) – teste adequadamente usando o modo Detect padrão antes de implementá-lo na produção.
- Inovações mais recentes, como AJAX, HTML5 e outras, podem não ser levadas em conta ou protegidas
Como é a norma com a maioria dos recursos do ALB-X, o grande benefício de sua implementação no ALB-X é que só precisamos fazer isso em um local central para proteger todos os nossos servidores. Não precisamos depender de desenvolvedores ou de reconfigurações de servidores da Web. A atualização do conjunto de regras do WAF (a lista de comportamentos inaceitáveis) também requer apenas alguns cliques e só precisa ser feita uma vez, independentemente de quantos você estiver executando.
Mais informações sobre o WAF podem ser encontradas aqui – outro novo desenvolvimento empolgante que recomendamos que você confira. Você encontra um guia de instalação detalhado aqui.
Faça um test drive on-line agora
Um Web Application Firewall permite o controle refinado e a implementação da política de segurança, incluindo o gerenciamento do que é permitido ou negado nas funções e entradas e saídas do aplicativo.
