Os firewalls existem há anos, mas os Firewalls de aplicativos da Web são muito mais novos e, apesar do nome, muito diferentes!
Então, em primeiro lugar, o que é um WAF? O que ele faz e por que eu preciso de um (ou não)?
Em resumo, um firewall normal abrirá portas para permitir que o tráfego do mundo externo acesso ao seu site/aplicativo da Web.
Um WAF verificará o tráfego que passa por essas portas abertas para garantir que você não esteja sendo invadido pelo seu site/aplicativo.
O ataque
O hacking no nível dos aplicativos da Web é agora uma forma muito comum de ataque. De fato, os 10 principais tipos de ataque à Web estão listados (e atualizados) neste site independente chamado OWASP aqui .
Todos os WAFs que valem a pena protegerão você contra essas ameaças.
Normalmente, um servidor de aplicativos Web faz alguma coisa! Talvez acesse alguns dados úteis e os apresente ao usuário de uma forma agradável e inteligente. Seja o que for…
Talvez isso seja bastante óbvio, mas os dados tendem a ser armazenados em bancos de dados em servidores de banco de dados que tendem a estar mais profundos na rede e, portanto, mais difíceis de atacar. É mais fácil atacar um aplicativo da Web voltado para o público que você sabe que tem acesso aos dados internos que deseja.
A instalação de um firewall de aplicativo pode ajudar a proteger seus aplicativos da Web e, mais importante, os dados aos quais o aplicativo tem acesso.
Na verdade, eles não apenas podem ajudar a evitar um ataque, mas muitos podem até mesmo ajudar a reduzir a perda de dados caso um ataque seja bem-sucedido. (veja aqui, por exemplo)
Com a iminência do GDPR, o WAF agora é uma parte essencial da arquitetura de segurança da Web. (o que é interessante é que ele tem sido essencial para o PCIDSS há algum tempo).
Então é fácil comprar um, certo?… Não, não, não
Vamos comprar o maior WAF que pudermos encontrar! Não é uma boa ideia.
Muitas são caras, complexas e as implementações malfeitas podem prejudicar o aplicativo.
De fato, depois de conversar com alguns consultores de segurança sobre os líderes do mercado, eles consideram que muitos estão configurados como não bloqueadores, o que significa que não bloqueiam um ataque, apenas observe-o e diga que você tem um! Talvez você tenha usado isso para marcar as caixas certas antes?
Por que eles não são bloqueados? Simplesmente porque são muito complexos e muitas organizações não têm as habilidades necessárias para configurá-los. Eles também abrangem vários pois tendem a ficar entre os aplicativos e as equipes de rede.
Às vezes, eles os configuram corretamente no início, mas, quando ocorre uma alteração no aplicativo, ele é interrompido e eles entram em pânico e passam a não bloquear ou adicionam muitas regras à você pode usar a lista branca para que ela seja tão útil quanto um bule de chocolate.
Lição – Não compre um carro de F1 para ir às lojas (a menos que você saiba dirigir um carro de F1). Você provavelmente vai bater o carro ou não vai usá-lo.
Nosso argumento de venda – Não compre nosso WAF
especialmente se você precisar do produto mais configurável do mercado.
Não compre nosso WAF se você for uma grande empresa com grandes orçamentos e uma equipe de WAF. (Aliás, se você for uma empresa, verifique se o seu WAF está configurado para não bloquear 😉 ) Caso contrário, entre em contato conosco 🙂
Mas considere o nosso WAF se você precisar de proteção líder do setor em um formato que você possa entender, configurar, gerenciar e manter.
Considere o nosso WAF se você tiver aplicativos da Web disponíveis externamente que tenham acesso a dados de clientes e se tiver obrigações, de acordo com o GDPR, de proteger esses dados.
Se você não precisa de um, não compre, mas se precisar, compre algo que faça o trabalho necessário em um nível que seja gerenciável pelo tempo e pelas habilidades organizacionais disponíveis.
Próximo Saiba mais sobre o WAF
Para ajudar você a saber mais sobre o WAF, configuramos um ambiente de teste de WAF completo, incluindo um servidor de aplicativos, um WAF e uma ferramenta de simulação de ataque.
Esse test drive pode ser provisionado on-line em poucos minutos – você pode então experimentar e, se tiver coragem, até mesmo apontá-lo para o seu site público para testes.
Faça um test drive aqui
Saiba mais sobre nosso WAF jetNEXUS WAF
