Che cos’è un WAF? | Il Web Application Firewall nei dettagli

Un WAF è una difesa di livello 7 del protocollo (secondo il modello OSI) e non è concepito per contrastare tutti i tipi di attacchi. Questo metodo di mitigazione di solito fa parte di una suite di strumenti che insieme creano una difesa olistica contro una serie di vettori di attacco.

Anteporre un WAF a un'applicazione equivale a porre uno scudo tra essa e Internet. Mentre un server proxy protegge l'identità di una macchina client utilizzando un intermediario, un WAF funge da proxy inverso, facendo passare i client attraverso il WAF prima che raggiungano il server, proteggendo così quest’ultimo.

Un WAF opera attraverso un insieme di regole in genere dette criteri o policy. Tali criteri mirano a proteggere dalle vulnerabilità applicative filtrando il traffico dannoso. Il valore di un WAF dipende in parte dalla velocità e facilità con cui è possibile implementare la modifica dei criteri, consentendo una reazione più rapida ai vari vettori di attacco; durante un attacco DDoS, modificando i criteri WAF è possibile implementare velocemente la limitazione della frequenza.

Qual è la differenza tra i WAF basati su blocklist e quelli basati su allowlist?

Un WAF che opera sulla base di una blocklist (modello di sicurezza negativo) protegge contro attacchi noti. È possibile pensare a un WAF basato su blocklist come al buttafuori di un club incaricato di impedire l'ingresso agli ospiti che non rispettano il codice di abbigliamento. Al contrario, un WAF basato su allowlist (modello di sicurezza positivo) ammette solo traffico che è stato previamente approvato. Può essere paragonato al buttafuori di una festa esclusiva, che ammette solo le persone incluse nella lista. Sia le blocklist che le allowlist hanno vantaggi e svantaggi, pertanto molti WAF offrono un modello di sicurezza ibrido, che implementa entrambi.

In cosa si distinguono i WAF basati su rete, su host e su cloud?

Un WAF può essere implementato in tre modi diversi, ognuno dei quali con i suoi vantaggi e svantaggi:

• Un WAF basato su rete è generalmente implementato mediante hardware. Ha il vantaggio di ridurre al minimo la latenza essendo installato localmente. Tuttavia i WAF basati su rete rappresentano l'opzione più costosa e richiedono inoltre un certo spazio fisico e la manutenzione delle apparecchiature.
• Un WAF basato su host può essere completamente integrato nel software di un'applicazione. Questa soluzione è meno costosa di un WAF basato su rete e offre maggiore personalizzazione. L'inconveniente di un WAF basato su host è il consumo di risorse del server locale, la complessità di implementazione e i costi di manutenzione. Queste componenti infatti richiedono in genere l'impiego di risorse ingegneristiche e possono risultare abbastanza onerose.
• I WAF basati su cloud offrono un'opzione economicamente vantaggiosa, molto facile da implementare; di solito prevedono un'installazione chiavi in mano, in cui basta una modifica del DNS per reindirizzare il traffico. I WAF basati su cloud hanno inoltre un costo iniziale minimo, poiché gli utenti pagano un canone mensile o annuale, per avere una sicurezza as-a-service. I WAF basati su cloud possono inoltre offrire il vantaggio di una soluzione costantemente aggiornata e capace di proteggere dalle minacce più recenti senza alcun intervento aggiuntivo o costi a carico dell'utente. Lo svantaggio di un WAF basato su cloud è che gli utenti affidano la responsabilità a terzi, pertanto alcune funzionalità del WAF possono risultare sconosciute o incomprensibili. (Un WAF basato su cloud è un tipo di firewall cloud. Scopri di più sui firewall cloud.)

Scopri come una connettività cloud consente alle aziende di proteggere i propri siti Web con una soluzione WAF basata su cloud.