1 of 20
2 of 20
3 of 20
4 of 20
5 of 20
6 of 20
7 of 20
8 of 20
9 of 20
10 of 20
11 of 20
12 of 20
13 of 20
14 of 20
15 of 20
16 of 20
17 of 20
18 of 20
19 of 20
20 of 20

Como escolher um WAF: O Guia Completo

O que é um WAF?

Um WAF (Web Application Firewall) protege aplicações e dados, monitorando e filtrando o tráfego que entra e sai da aplicação para impedir o tráfego malicioso. Além disso, protege contra a extração não autorizada de dados e registra informações de requisições, que podem ser utilizadas ​​em compliance e análise de dados.

Os WAFs protegem contra quais ameaças?

Embora os WAFs protejam contra uma variedade de ataques na camada de aplicações, um dos seus casos de uso mais importantes é proteger as aplicações das ameaças OWASP Top 10. Em seu site, o OWASP (Open Web Application Security Project) descreve sua lista de Top 10 ameaças como “um documento padrão de conscientização para desenvolvedores e para a segurança de aplicações web, que representa um amplo consenso sobre os riscos de segurança mais críticos para aplicações web.”

Essas ameaças incluem vulnerabilidades que podem levar a tipos específicos de ataques, como injections, ou à práticas que podem ser exploradas para acessar e manipular dados, como quebra de controle de acessos e registro de segurança, e falhas no monitoramento.

Outras ameaças listadas no OWASP Top 10 são:

  • falhas de identificação e autenticação

  • falhas criptográficas

  • configurações de segurança incorretas

  • falhas no software e na integridade de dados

  • componentes vulneráveis ​​e desatualizados

Além disso, WAFs mais avançados também podem proteger diferentes vetores de ataque, como os baseados em API, e defender contra ameaças emergentes e de zero-day.

Além de proteger dados e aplicações, os WAFs podem ajudar as empresas com compliance, redução de custos e melhoria da inteligência de dados. O PCI-DSS (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento) recomenda que todas as empresas que aceitam pagamentos com cartão de crédito implementem um WAF como parte de seu programa de segurança, o que significa que e-commerces, aplicações financeiras e outros negócios digitais que desejam aceitar pagamentos das principais empresas de cartão de crédito devem utilizar um WAF, caso contrário terão que enfrentar multas regulatórias e outras penalidades. E, como os WAFs bloqueiam requisições maliciosas que chegam às aplicações, eles podem reduzir os custos de cloud e melhorar a qualidade da inteligência de negócios, garantindo que as empresas que medem conversões, vendas e outras ações do usuário estejam medindo apenas dados de requisições legítimas. Isso pode causar um grande impacto, já que relatórios recentes mostram que mais de 25% do tráfego da web agora é gerado por bots ruins.

Tipos de modelos de implementação de WAF

Existem três tipos de modelos de implementação de WAF: baseado em hardware, baseado em software e baseado em cloud.

WAFs baseados em hardware (também chamados de WAFs baseados em rede) são dispositivos on-premises, instalados em uma rede privada chamada LAN (Local Area Network). Esse tipo de WAF é instalado em uma peça física de hardware, junto com um sistema operacional, e suporta configurações e atualizações de software.

Como esses WAFs são fisicamente instalados no hardware, a compra, a instalação, o armazenamento, as atualizações e a manutenção contínua do WAF devem ser realizadas pela empresa que o utiliza. Isso pode ser muito caro inicialmente e não oferece flexibilidade para empresas que desejam atualizar para cloud ou para uma infraestrutura de edge para obter mais escalabilidade. O lado positivo é que WAFs baseados em hardware geralmente oferecem configuração granular e tendem a ter alto desempenho em condições normais, já que sua proximidade física com o servidor resulta em baixa latência de rede. No entanto, durante ataques automatizados, o desempenho pode ser prejudicado porque o hardware não pode ser facilmente escalado assim como ocorre com as soluções definidas por software, e o alto volume de requisições pode ser maior do que o servidor suporta.

Por sua vez, WAFs baseados em software (também conhecidos como WAFs baseados em host) são integrados ao software de uma aplicação, permitindo que o WAF viaje para onde quer que a aplicação esteja – em on-premises ou cloud – e forneça alta flexibilidade de implementação. Além disso, como não há um hardware para comprar ou manter, os WAFs baseados em software costumam ser geralmente mais baratos inicialmente e oferecem níveis moderados de personalização. No entanto, a sua implementação pode ser desafiadora. WAFs baseados em software são geralmente implementados junto a componentes de aplicações web em containers ou em máquinas virtuais e competem pelos recursos locais. Isso leva a custos de engenharia mais altos, uma vez que as equipes terão que orquestrar e gerenciar cuidadosamente muitos componentes de infraestrutura, geralmente em diferentes ambientes de aplicativos.

WAFs baseados em cloud, também oferecidos como SaaS (Software-as-a-Service), são uma terceira opção – geralmente, muito fácil de implementar. Os usuários pagam pela utilização do serviço por mês ou anualmente, o que minimiza os custos iniciais, e ficam fora dos balanços financeiros como um custo OPEX. Neste modelo, o WAF está localizado inteiramente na cloud e é gerenciado e atualizado pelo provedor de cloud, reduzindo significativamente a carga sobre as equipes DevSecOps internas, já que não há sistema operacional, máquinas virtuais ou containers para manter. A instalação é geralmente turnkey, com um redirecionamento de DNS simples para canalizar o tráfego por meio de um ponto de presença (PoP) WAF em cloud. Como o tráfego da web deve ser roteado através de um data center em cloud, a latência aumenta de acordo com a distância adicional que uma requisição deve percorrer. Cloud WAFs geralmente têm alta escalabilidade (sujeito à capacidade do provedor de serviço WAF), mas menos flexibilidade e personalização em comparação com WAFs baseados em hardware e software.

A mais nova categoria de WAF, os edge WAFs, fornece recursos WAF no edge, mais perto de onde os dados são gerados ou necessários, o que faz com que tenha um desempenho muito melhor. Os provedores de edge WAF têm edge nodes distribuídos geograficamente e estão localizados próximo aos usuários finais, permitindo respostas com menor latência do que as de um cloud WAF localizado em um data center centralizado.

Com edge WAFs, a implementação é tão simples quanto a de um cloud WAF, geralmente exigindo apenas alterações de DNS para começar, e é possível oferecer proteção para aplicativos executados on-premises ou junto com o WAF no edge. Além disso, quando um WAF faz parte de uma plataforma de desenvolvimento no edge, a proteção imediata do produto pode ser estendida com conjuntos de regras programáveis, ​​que podem ser personalizados para as necessidades específicas do seu negócio. Alguns provedores de plataforma de edge com WAFs integrados oferecem capacidade de computação serverless, permitindo que os desenvolvedores executem segurança personalizada ou lógica de negócios, além dos recursos de proteção prontos para uso.

Métodos de detecção WAF

Embora todos os WAFs sejam projetados para filtrar o tráfego malicioso, seus métodos para proteger as aplicações são diferentes. Enquanto WAFs baseados em assinatura dependem de listas de ataques conhecidos para evitar ameaças, WAFs baseados em scoring (ou em regras) usam conjuntos de regras simples para identificar tanto ameaças conhecidas quanto desconhecidas e bloqueá-las de acordo com os níveis de sensibilidade desejados.

WAF baseado em assinatura

WAFs baseados em assinatura utilizam os dados relativos a ataques anteriores para filtrar o tráfego que corresponde a padrões de ataque conhecidos. Cada vez que um novo ataque é detectado, provedores de cibersegurança criam uma assinatura contendo componentes do padrão de ataque. A assinatura é, então, adicionada ao WAF, que irá compará-la com cada nova requisição, podendo tanto bloquear quanto gerar um alerta para quaisquer requisições que correspondam à assinatura.

Como consequência, WAFs baseados em assinatura devem ser constantemente atualizados para que sua relevância seja mantida. Essas atualizações geram milhares de assinaturas, que devem ser comparadas a cada nova requisição, resultando em uso intensivo de recursos e redução de desempenho à medida que as requisições são processadas.

WAFs baseados em assinatura:
  • geralmente usam modelos de segurança negativos que admitem acesso por padrão, com exceção dos que correspondem a assinaturas específicas

  • bloqueiam apenas padrões de ataque conhecidos

  • devem ser constantemente atualizados conforme o surgimento de novos padrões

  • podem aumentar significativamente a latência e o uso de recursos

WAF baseado em regras ou scoring

WAFs modernos foram desenvolvidos para evitar os problemas de desempenho e utilização inerente às listas de assinaturas, substituindo-as por um conjunto de regras inteligentes. Essas regras se baseiam em algoritmos para analisar a sintaxe de numerosos padrões de ataque, que são condensados em um simples conjunto de regras, de alto desempenho, como os operadores do dicionário SQL para ataques de Injection, e para atribuir um scoring ou um número de pontos quando essas regras são atendidas – nesse caso, palavras como UNION, INSERT ou TABLE aumentariam o scoring de uma requisição. Se esse scoring ultrapassar determinado limite – que pode ser ajustado de acordo com a sensibilidade desejada – ela será bloqueada.

Como resultado, o scoring de WAFs minimiza o uso de recursos e evita os problemas de latência dos métodos baseados em assinatura. Além disso, pode ser usado para bloquear variações nos padrões de ataques antes de serem explorados por hackers. Com o modelo de segurança negativo usado por WAFs baseados em assinatura, as requisições são consideradas seguras até que se prove o contrário; por sua vez, WAFs baseados em scoring incorporam métodos de segurança positiva, que bloqueiam por padrão quaisquer requisições acima de determinado limite. Isso permite o bloqueio de ameaças emergentes e de zero-day antes mesmo de uma assinatura de ataque ser conhecida e registrada.

WAFs baseados em scoring:
  • condensam padrões de ataque em regras simples e de desempenho

  • geralmente utilizam ambos os comportamentos, negativos e positivos, para aumentar a segurança

  • requerem menos recursos e tempo de processamento do que WAFs baseados em assinatura

  • protegem contra os ataques emergentes e zero-day

  • exigem menos atualização manual de políticas, resultando em economia de custos para SecOps

O que torna um WAF eficaz?

Basicamente, a eficácia de qualquer WAF depende de sua capacidade de determinar com precisão quais requisições representam um risco legítimo para a segurança de uma aplicação. Os falsos negativos, que não reconhecem as ameaças, podem dar aos invasores uma posição segura em uma aplicação, enquanto os falsos positivos podem prejudicar os resultados financeiros de uma empresa ao evitar requisições legítimas, resultando em oportunidades perdidas, usuários frustrados e danos à reputação.

Além de seus problemas de desempenho, WAFs baseados em assinatura podem retornar uma alta incidência de falsos negativos devido ao uso de modelos de segurança negativos, que permitem o acesso por padrão, a menos que uma tentativa siga as definições pré-definidas de comportamento malicioso do WAF. Como resultado, as aplicações são vulneráveis ​​a ameaças emergentes, como ataques zero-day, além de hackers poderem facilmente manipular strings conhecidas ou padrões de expressão para entrar nas aplicações.

WAFs eficazes devem, acima de tudo, ser flexíveis o suficiente para acompanhar o ritmo dos negócios, e isso hoje significa acompanhar o desenvolvimento de aplicações. Um WAF precisa ser programável para aliviar a sobrecarga das atualizações à medida que os aplicativos protegem, desenvolvem e implementam em diferentes ambientes e geografias. APIs de gerenciamento robustas e outros elementos programáveis, como funções serverless, fornecem às equipes de DevSecOps a capacidade de mover as alterações nos aplicativos para o mercado com mais rapidez e fornecer mais segurança do que nunca.

O que procurar em um WAF?

Embora a escolha de um WAF eficaz seja a chave para evitar ataques e manter os falsos positivos ao mínimo, os requisitos exclusivos da economia hiperconectada de hoje também devem ser considerados. A priorização dessas qualidades pode garantir que o seu negócio invista em uma solução que proporcione agilidade para se adaptar às mudanças da sua empresa e do cenário digital.

  • Flexibilidade

Nos últimos dois anos, muitas empresas mudaram de infraestrutura on-premises para infraestrutura baseada em cloud, a fim de se adaptar ao trabalho remoto e a outras mudanças causadas pela quarentena e pelas restrições relacionadas à pandemia. Como resultado, as empresas que dependiam do WAF baseado em hardware precisaram adquirir soluções inteiramente novas que pudessem ser usadas em cloud, agravando os já altos custos dos WAFs baseados em hardware. Portanto, ao escolher um WAF com maior flexibilidade, os responsáveis pelas decisões de TI, ganham mais agilidade para que seus negócios se adaptem às novas e mutáveis ​​circunstâncias.

  • Alta performance

Os usuários de hoje estão cada vez mais intolerantes a aplicações que carregam lentamente, e mesmo com uma melhoria de 0,1s na velocidade móvel, isso impacta significativamente as visualizações de página, as taxas de conversão e rejeição e o valor do pedido, de acordo com o estudo Milliseconds Make Millions do Google e da Deliotte. WAFs baseados em assinatura devem comparar cada requisição com milhares de assinaturas de ataque, o que pode adicionar latência e consumir recursos adicionais e resultar na degradação do desempenho. É por isso que a escolha de soluções de segurança que não sacrifiquem o desempenho em detrimento da segurança pode garantir que sua empresa permaneça competitiva.

  • Proteção contra DDoS e ataques baseados em API

As APIs estão cada vez mais sendo usadas para integrar rapidamente novas funcionalidades e conectar diferentes serviços em aplicações modernas. No entanto, os ataques baseados em API são cada vez mais comuns; em 2020, a Radware viu 98% das organizações sofrerem ataques baseados em API. Além disso, os ataques DDoS aumentaram consideravelmente desde o início da pandemia e têm como alvo novos setores de negócios, fazendo com que seja crítico que o seu WAF ofereça proteção API e seja parte de uma plataforma integrada, com proteção DDoS multicamadas.

  • Fácil de usar e manter

De acordo com o estudo do IDG 2021 Security Priorities Study, 90% das equipes de segurança sentem que não estão conseguindo lidar com os riscos do cenário de ameaças de hoje. E essa tendência não dá sinais de que vai parar logo. Na verdade, uma escassez contínua de profissionais SecOps altamente qualificados está tornando mais difícil do que nunca formar equipes de segurança com funcionários qualificados e experientes, conforme o estudo 2021 ISC Cybersecurity Workforce Study. As empresas podem reduzir essa pressão escolhendo um WAF que seja fácil de configurar e que não exija manutenção constante.

  • Custo-benefício

Ao definir o preço de um WAF, as empresas devem considerar não apenas o custo da solução, mas o modelo de preço e os custos associados, como manutenção e suporte contínuos. Um modelo de precificação pré-pago alivia a pressão financeira dos altos custos iniciais. Além disso, a escolha de um WAF que usa uma abordagem baseada em regras pode reduzir os custos contínuos, evitando o uso elevado de recursos e a atualização constante de uma abordagem baseada em assinatura.

Recursos e benefícios do Web Application Firewall da Azion

A plataforma de edge da Azion oferece um WAF fácil de usar, projetado para entregar segurança no edge, ao mesmo tempo que garante o alto desempenho necessário para aplicações edge-native. Em vez de depender de estratégias de segurança negativas que deixam as empresas vulneráveis ​​a ameaças emergentes e zero-day, o Web Application Firewall usa um sistema baseado em scoring e se integra às soluções analíticas da Azion, bem como a SIEM de terceiros e soluções Big Data para fornecer observabilidade e insights em tempo real sobre ameaças.

Os clientes podem usar o Web Application Firewall para proteger suas aplicações em qualquer lugar: on-premises, multi-cloud, cloud híbrida e na rede de edge globalmente distribuída da Azion. E com um tier gratuito e precificação pré-paga, os clientes podem implementá-lo sem medo de ficarem presos a uma solução que não é adequada para seus negócios.

Para fornecer flexibilidade para atender às necessidades de negócios do futuro, o WAF da Azion permite regras e políticas personalizadas com controle granular sobre a sensibilidade de cada categoria de proteção contra ameaças. Além disso, o WAF programático da Azion permite a criação e a atualização de regras automatizadas usando APIs pré-construídas sofisticadas e o Edge Firewall Rules Engine. Atualizações de regras e patches virtuais podem ser implementados sem esforço no edge usando o Azion Edge Functions, diminuindo o atrito entre desenvolvedores e equipes de segurança.

Nosso poderoso Web Application Firewall é integrado ao restante do nosso moderno portfólio de segurança no edge, o Azion Edge Firewall, que inclui WAF, DDoS Protection e Network Layer Protection para oferecer a melhor segurança multicamada e defesa em profundidade.

O Edge Firewall da Azion oferece:
  • proteção contra as ameaças OWASP Top 10

  • limitação de taxa para proteção contra ataques baseados em API e ATO

  • DDoS Protection de 5 Gbps incluída e planos disponíveis de 20 Gbps, 50 Gbps e Gbps ilimitados

  • Origin Shield add-on para proteger a infraestrutura de origem contra acesso não autorizado

  • personalização para atender a vários requisitos de compliance

  • monitoramento de ameaças de segurança em tempo real com Real-Time Metrics e Edge Pulse

  • segurança zero-trust por meio de allowed rules e um modelo de segurança positivo

  • patching virtual para minimizar a necessidade de alterações de código personalizado

Para conhecer o que o WAF e o Edge Firewall da Azion podem fazer por sua equipe, entre em contato com nosso time de especialistas ou faça uma conta grátis e teste ainda hoje.

Acelere a modernização da sua aplicação agora.