Che cos’è un WAF? | Il Web Application Firewall nei dettagli

Un WAF crea uno scudo tra un'app Web e Internet, contribuendo a mitigare molti attacchi comuni.

Share facebook icon linkedin icon twitter icon email icon

WAF

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire un web application firewall
  • Illustrare la differenza tra i WAF basati su blocklist e allowlist
  • Comprendere vantaggi e svantaggi di waf basati su rete, su host e su cloud

Che cos’è un Web Application Firewall (WAF)?

Un Web Application Firewall, letteralmente firewall per applicazioni web, o WAF, consente di proteggere le applicazioni Web filtrando e monitorando il traffico HTTP tra un'applicazione web e Internet. In genere protegge le applicazioni da attacchi quali cross-site forgery (CRS), cross-site-scripting (XSS), inclusione di file e SQL injection, tra gli altri. Un WAF è una difesa del livello 7 del protocollo (secondo il modello OSI) e non è concepito per contrastare tutti i tipi di attacchi. Questo metodo di mitigazione di solito fa parte di una suite di strumenti che insieme creano una difesa olistica contro una serie di vettori di attacco.


Anteporre un WAF a un'applicazione equivale a porre uno scudo tra essa e Internet. Mentre un server proxy protegge l'identità di una macchina client utilizzando un intermediario, un WAF funge da proxy inverso, facendo passare i client attraverso il WAF prima che raggiungano il server, proteggendo così quest’ultimo.


Un WAF opera attraverso un insieme di regole in genere dette criteri o policy. Tali criteri mirano a proteggere dalle vulnerabilità applicative filtrando il traffico dannoso. Il valore di un WAF dipende in parte dalla velocità e facilità con cui è possibile implementare la modifica dei criteri, consentendo una reazione più rapida ai vari vettori di attacco; durante un attacco DDoS, modificando i criteri WAF è possibile implementare velocemente il rate limiting.

Come funziona un WAF DDOS

Qual è la differenza tra i WAF basati su blocklist e quelli basati su allowlist?

Un WAF che opera sulla base di una blocklist (modello di sicurezza negativo) protegge contro attacchi noti. È possibile pensare a un WAF basato su blocklist come al buttafuori di un club incaricato di impedire l'ingresso agli ospiti che non rispettano il codice di abbigliamento. Al contrario, un WAF basato su allowlist (modello di sicurezza positivo) ammette solo traffico che è stato previamente approvato. Può essere paragonato al buttafuori di una festa esclusiva, che ammette solo le persone incluse nella lista. Sia le blocklist che le allowlist hanno vantaggi e svantaggi, pertanto molti WAF offrono un modello di sicurezza ibrido, che implementa entrambi.

In cosa si distinguono i WAF basati su rete, su host e su cloud?

Un WAF può essere implementato in tre modi diversi, ognuno dei quali con i suoi vantaggi e svantaggi:

  • Un WAF basato su rete è generalmente implementato mediante hardware. Ha il vantaggio di ridurre al minimo la latenza essendo installato localmente. Tuttavia i WAF basati su rete rappresentano l'opzione più costosa e richiedono inoltre un certo spazio fisico e la manutenzione delle apparecchiature.
  • Un WAF basato su host può essere completamente integrato nel software di un'applicazione. Questa soluzione è meno costosa di un WAF basato su rete e offre maggiore personalizzazione. L'inconveniente di un WAF basato su host è il consumo di risorse del server locale, la complessità di implementazione e i costi di manutenzione. Queste componenti infatti richiedono in genere l'impiego di risorse ingegneristiche e possono risultare abbastanza onerose.
  • I WAF basati su cloud offrono un'opzione conveniente, molto facile da implementare; di solito prevedono un'installazione chiavi in mano, in cui basta una modifica del DNS per reindirizzare il traffico. I WAF basati su cloud hanno pure un costo iniziale minimo, poiché gli utenti pagano un canone mensile o annuale per avere la sicurezza come un servizio. I WAF basati su cloud possono inoltre offrire il vantaggio di una soluzione costantemente aggiornata e capace di proteggere dalle minacce più recenti senza alcun intervento aggiuntivo o costi a carico dell'utente. Lo svantaggio di un WAF basato su cloud è che gli utenti affidano la responsabilità a terzi, pertanto alcune funzionalità del WAF possono risultare sconosciute o incomprensibili. Approfondimento sulla soluzione Cloudflare del WAF basato su cloud.