Web application firewall (WAF)

Un web application firewall(WAF) protegge le applicazioni Web da una varietà di attacchi a livello di applicazione come cross-site scripting (XSS), SQL injection e cookie poisoning, tra gli altri. Gli attacchi alle app sono la causa principale delle violazioni: sono la porta di accesso ai tuoi preziosi dati. Con il giusto WAF in atto, puoi bloccare la serie di attacchi che mirano a esfiltrare quei dati compromettendo i tuoi sistemi.

Come funziona un web application firewall (WAF)?

Un WAF protegge le tue app Web filtrando, monitorando e bloccando qualsiasi traffico HTTP/S dannoso che viaggia verso l’applicazione Web e impedisce a qualsiasi dato non autorizzato di lasciare l’app. Lo fa aderendo a una serie di policy che aiutano a determinare quale traffico è dannoso e quale traffico è sicuro. Proprio come un server proxy funge da intermediario per proteggere l’identità di un client, un WAF funziona in modo simile ma al contrario, chiamato proxy inverso, fungendo da intermediario che protegge il server dell’app Web da un client potenzialmente dannoso.

I WAF possono presentarsi sotto forma di software, appliance o forniti come servizio. Le policy possono essere personalizzate per soddisfare le esigenze specifiche della tua applicazione web o set di applicazioni web. Sebbene molti WAF richiedano di aggiornare regolarmente le policy per affrontare nuove vulnerabilità, i progressi nell’apprendimento automatico consentono ad alcuni WAF di aggiornarsi automaticamente. Questa automazione sta diventando sempre più critica man mano che il panorama delle minacce continua a crescere in complessità e ambiguità.

I proxy inversi, che si trovano tra i client (come i browser web) e i server backend (come i server applicativi o altri server web), possono anche essere utilizzati per memorizzare nella cache le risposte dai server backend. Ciò può migliorare le prestazioni delle app web riducendo i tempi di risposta per le risorse a cui si accede di frequente e alleggerendo il carico sui server backend. Le risposte memorizzate nella cache possono essere fornite più rapidamente rispetto alle risposte generate dinamicamente dai server backend. La memorizzazione nella cache del proxy inverso può anche portare a una migliore scalabilità e utilizzo delle risorse, specialmente durante periodi di traffico elevato o quando si forniscono contenuti statici.

Differenza tra un firewall per applicazioni Web (WAF), un sistema di prevenzione delle intrusioni (IPS) e un firewall di nuova generazione (NGFW)
Un IPS è un sistema di prevenzione delle intrusioni, un WAF è un firewall per applicazioni Web e un NGFW è un firewall di nuova generazione. Qual è la differenza tra tutti loro?

Un IPS è un prodotto di sicurezza più ampiamente focalizzato. In genere è basato su firme e policy, il che significa che può verificare vulnerabilità note e vettori di attacco in base a un database di firme e policy stabilite. L’IPS stabilisce uno standard basato sul database e sulle policy, quindi invia avvisi quando il traffico si discosta dallo standard. Le firme e le policy aumentano nel tempo man mano che vengono note nuove vulnerabilità. In generale, l’IPS protegge il traffico su una gamma di tipi di protocollo come DNS, SMTP, TELNET, RDP, SSH e FTP. L’IPS in genere gestisce e protegge i livelli 3 e 4. I livelli di rete e sessione, sebbene alcuni possano offrire una protezione limitata al livello dell’applicazione (livello 7).

Un firewall per applicazioni Web (WAF) protegge il livello applicativo ed è specificamente progettato per analizzare ogni richiesta HTTP/S a livello applicativo. È in genere consapevole dell’utente, della sessione e dell’applicazione, consapevole delle app Web dietro di esso e dei servizi che offrono. Per questo motivo, puoi pensare a un WAF come all’intermediario tra l’utente e l’app stessa, analizzando tutte le comunicazioni prima che raggiungano l’app o l’utente. I WAF tradizionali assicurano che possano essere eseguite solo le azioni consentite (in base alla policy di sicurezza). Per molte organizzazioni, i WAF sono una prima linea di difesa affidabile per le applicazioni, in particolare per proteggersi dalle OWASP Top 10, l’elenco fondamentale delle vulnerabilità delle applicazioni più visibili. Questa Top 10 include attualmente:

  • Attacchi di iniezione
  • Autenticazione non funzionante
  • Esposizione di dati sensibili
  • Entità esterne XML (XXE)
  • Controllo di accesso non funzionante
  • Errori di configurazione della sicurezza
  • Cross Site Scripting (XSS)
  • Deserializzazione non sicura
  • Ottieni l’e-book su come prepararti per la top 10 OWASP

Guarda questo breve video su IPS vs WAF

Un firewall di nuova generazione (NGFW) monitora il traffico in uscita verso Internet, attraverso siti Web, account di posta elettronica e SaaS. In parole povere, protegge l’utente (rispetto all’applicazione Web). Un NGFW applicherà policy basate sull’utente e aggiungerà contesto alle policy di sicurezza oltre ad aggiungere funzionalità come il filtraggio URL, antivirus/antimalware e potenzialmente i propri sistemi di prevenzione delle intrusioni (IPS). Mentre un WAF è in genere un proxy inverso (utilizzato dai server), gli NGFW sono spesso proxy in avanti (utilizzati dai client come un browser).

I diversi modi per distribuire un WAF

Un WAF può essere distribuito in diversi modi: tutto dipende da dove vengono distribuite le applicazioni, dai servizi necessari, da come si desidera gestirlo e dal livello di flessibilità architettonica e prestazioni richieste. Si desidera gestirlo da soli o esternalizzare tale gestione?È un modello migliore avere un’opzione basata su cloud o vuoi che il tuo WAF sia on-premise? Il modo in cui vuoi distribuire ti aiuterà a determinare quale WAF è giusto per te. Di seguito sono riportate le tue opzioni.Modalità di distribuzione WAF:

  • Basato su cloud + Fully Managed as a Service: questa è un’ottima opzione se hai bisogno del modo più rapido e senza problemi per ottenere WAF di fronte alle tue app (soprattutto se hai risorse IT/di sicurezza interne limitate)
  • Basato su cloud + SelfManaged: ottieni tutta la flessibilità e la portabilità delle policy di sicurezza del cloud mantenendo comunque il controllo della gestione del traffico e delle impostazioni delle policy di sicurezza
  • Basato su cloud + con provisioning automatico: questo è il modo più semplice per iniziare con un WAF nel cloud, distribuendo policy di sicurezza in modo semplice ed economico
  • WAF avanzato on-premise (appliance virtuale o hardware): questo soddisfa i requisiti di distribuzione più esigenti in cui flessibilità, prestazioni e problemi di sicurezza più avanzati sono critici per la missione