Edge Firewall
O Azion Edge Firewall é um produto de segurança que protege desde a camada de rede até a camada de aplicação. Em um único local, seu time de segurança encontra os recursos mais avançados para proteger suas aplicações contra todos os tipos de ataque.
Com o Edge Firewall, você amplia o perímetro de segurança até o edge da rede, uma vez que suas regras de controle de acesso são processadas diretamente na Azion Edge Network, mais perto dos usuários, evitando que requisições indesejadas cheguem a sua origem ou que tenham acesso às suas aplicações.
Por ser programável, modularizado e extensível, permite que você escolha os módulos que se adequam às suas necessidades.
Você pode disponibilizar e executar seu próprio código fonte de proteção direto na rede distribuída da Azion. Isso favorece o usuário final e a própria aplicação, pois o usuário tem acesso a uma aplicação protegida e com baixa latência. Ataques complexos podem ser evitados estendendo o perímetro de proteção para o edge.
Com o Edge Firewall você pode:
- criar allowlists (regras permitidas), blocklists (listas de bloqueio) e greylists (listas cinzas) com base no endereço IP/CIDR, ASN ou geolocalização do usuário;
- proteger suas aplicações da rede Tor e outras fontes de tráfego malicioso, como botnets, malwares, proxies, etc;
- limitar a taxa de acessos à aplicação usando critérios complexos e vários buckets;
- mitigar ataques Denial of Service (ataque distribuído de negação de serviço, DoS e DDoS);
- proteger aplicações de ameaças OWASP Top 10;
- implementar técnicas de mitigação de bot, incluindo listas de bloqueio, fingerprinting, proteção contra adulteração, prevenção contra ataques de brute force, rate limiting avançada, desafio humano, etc;
- adicionar seu código fonte de proteção ou de controle de acesso ao seu conteúdo para ser executado no Edge Firewall;
- integrar perfeitamente Functions com curadoria Azion ou produtos de terceiros para serem executados no Edge Firewall, estendendo funcionalidades nativas da plataforma com soluções prontas para a reputação de IP, fingerprinting, token JWT, credential stuffing, tentativas de account takeover, price scraping e contact scraping etc.
1. Como funciona
Ao utilizar a Azion como sua plataforma de edge computing, você pode criar configurações de segurança no Edge Firewall para proteger suas aplicações.
As configurações de Edge Firewall, chamadas de Rule Sets, são conjuntos de regras de segurança que devem ser aplicadas a um grupo de domínios.
Você pode compartilhar a mesma Rule Set entre todas as aplicações que adotarem a mesma política de segurança.
Uma Rule Set do Edge Firewall é composta por uma seleção de domínios onde deve ser aplicada, por módulos que devem ser aplicados e pelas regras de segurança configuradas em Rules Engine.
Os módulos do Edge Firewall habilitam as seguintes funcionalidades que você irá utilizar:
DDoS Protection
Edge Functions
Network Layer Protection
Web Application Firewall
Você precisa de, no mínimo, um módulo ativado para poder utilizar o produto e, para garantir a segurança de suas aplicações em todas as camadas, recomendamos que você ative todos.
Após ativar os módulos desejados, você deve configurar suas regras de segurança no Rules Engine. As regras que você configurar serão executadas sequencialmente até que a requisição seja bloqueada, penalizada ou até que todas suas regras sejam processadas, quando então a requisição é liberada. O fluxo de dados de sua requisição só passa para sua edge application se nenhuma de suas regras de Edge Firewall bloquear ou rejeitar a requisição, garantindo que requisições maliciosas não alcancem a sua aplicação.
Cada regra é composta por condições - Criteria - e comportamentos - Behaviors. Os comportamentos só serão executados se as condições forem satisfeitas. Por exemplo, você pode configurar regras para bloquear requisições que vierem de IPs que estiverem em uma Blocklist ou mesmo compor regras, para excluir IPs que estiverem em uma Whitelist. Neste exemplo, “bloquear” é o comportamento - Behavior, enquanto o IP da requisição estiver na Blocklist e não estiver presente na Whitelist é a condição - Criteria.
As condições e comportamentos disponíveis no Edge Firewall dependem dos módulos que você tiver ativado na Rule Set.
2. Módulos do Edge Firewall
O Azion Edge Firewall possui os seguintes módulos para que você possa construir suas edge applications de alta performance, escalabilidade e segurança com muito mais simplicidade e livre de tarefas operacionais.
DDoS Protection
O módulo de DDoS Protection protege seu conteúdo e aplicações contra ataques do tipo Distributed Denial of Service (DDoS), pois detecta ataques usando algoritimos avançados que são executados na rede distribuída da Azion. Essa rede distribuída está conectada a diversos centros de mitigação de uma forma que conseguimos garantir a mitigação durante ataques de larga escala, tanto em nível de rede quanto de aplicação.
Por meio de uma moderna abordagem de detecção e mitigação de ataques das camadas de rede, transporte e aplicação, reduzimos o downtime sem impactar na performance de seu serviço.
Edge Functions
Edge Functions são componentes da plataforma Edge Computing da Azion que permitem a implementação de funções serverless em suas aplicações, desonerando sua infraestrutura, executando funções mais próximas do usuário, garantindo a agilidade e a escalabilidade necessárias para atender seus objetivos de negócio.
Você poderá se beneficiar de uma arquitetura baseada em microsserviços, criando facilmente funções executadas mais próximas aos usuários.
Você também poderá escrever seu próprio código fonte de segurança e fazer o seu deploy para que seja executado na Edge Location perto do usuário ou, ainda, escolher entre soluções prontas para uso tornando, assim, mais simples a sua implementação, que pode ser feita em poucos passos.
É possível usar soluções de segurança para proteger dados sensíveis de detecção, identificação e gerenciamento de bots (botnets), abrangendo a proteção de sites, aplicações, APIs e aplicativos móveis contra ataques, na Edge Network.
Você também pode utilizar Edge Functions para configurar um serviço de reputação de IP que abrange proteção de sites, aplicações, APIs e aplicativos móveis, bem como adulteração de parâmetros da web e adulteração de cookies.
Network Layer Protection
Este módulo possibilita a criação de filtros por endereços de IP/CIDR, ASN ou por países (geolocation) através da configuração de Network Lists e da definição de regras de negócio que validarão critérios de bloqueio ou de liberação, conforme a sua necessidade, especificados no Rules Engine de seu Edge Firewall.
Atuando nas camadas 3 e 4 do modelo OSI, o Network Layer Protection é uma ferramenta poderosa que consiste em uma opção segura e eficiente de proteger seu negócio contra ataques e acessos de usuários indesejados. Estende o período de proteção desde o Edge da rede, perto do usuário final.
Add-on Origin Shield
Com este add-on do Azion Edge Firewall, você poderá criar um perímetro de segurança para a sua infraestrutura de origem, seja ela um provedor de cloud, hosting ou mesmo o seu próprio datacenter. Com este serviço, sua origem poderá restringir o acesso apenas de endereços IP’s específicos da nossa rede e bloquear qualquer outro acesso à sua origem.
Permite que o acesso só possa ser feito através de edge nodes da Azion, pois eles vão levar a aplicação para perto do usuário final com toda performance e segurança.
Web Application Firewall
Web Application Firewall (WAF) protege as suas aplicações contra ameaças como SQL Injections, Remote File Inclusion (RFI), Cross-Site Scripting (XSS) e muito mais. O WAF analisa as requisições HTTP e HTTPS, detecta e bloqueia ameaças antes que elas alcancem a sua infraestrutura e sem impactar na performance de suas aplicações.
Atua na camada 7 ao nível da aplicação e é baseado em scoring, ou seja, cada requisição é comparada com um conjunto bem rigoroso e detalhado de padrões de aplicação e recebe uma pontuação - score - que é associada a uma determinada família de ameaças. De acordo com a pontuação que essa requisição tem, ela pode ser liberada ou bloqueada. Isso ocorre direto no Edge Node da Azion, antes que a ameaça atinja a sua origem ou cause qualquer tipo de dano. É possível customizar a sensibilidade desejada e ter um bloqueio diferenciado para cada família de ameaça.
3. Leia também
- Rules Engine
- Network Lists
- Web Application Firewall (WAF)
- Permissões de Acesso
- Mecanismos de mitigação e ataques DDoS
- Edge Functions no Edge Firewall
- Como criar e configurar uma edge function em seu Edge Firewall
Não encontrou o que procurava? Abra um ticket.