Web Application Firewall (WAF)

Un WAF crea uno scudo tra un'app Web e Internet; tale scudo può aiutare a mitigare molti attacchi comuni.

Share facebook icon linkedin icon twitter icon email icon

WAF

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire un web application firewall
  • Illustrare la differenza tra i WAF basati su blacklist e quelli basati su whitelist
  • Comprendere vantaggi e svantaggi di waf basati su rete, su host e su cloud

Che cos’è un Web Application Firewall (WAF)?

Un Web Application Firewall, letteralmente firewall per applicazioni Web, o WAF, consente di proteggere le applicazioni Web filtrando e monitorando il traffico HTTP tra un'applicazione Web e Internet. In genere protegge le applicazioni Web da attacchi quali cross-site forgery (CRS), cross-site-scripting (XSS), inclusione di file e SQL injection, tra gli altri. Un WAF è una difesa del livello 7 del protocollo (secondo il modello OSI) e non è concepito per contrastare tutti i tipi di attacchi. Questo metodo di mitigazione dell'attacco di solito fa parte di una suite di strumenti che insieme creano una difesa olistica contro una serie di vettori di attacco.


Anteponendo un WAF a un'applicazione Web equivale a frapporre uno scudo tra l'applicazione Web e Internet. Mentre un server proxy protegge l'identità di una macchina client utilizzando un intermediario, un WAF funge da proxy inverso, facendo passare i client attraverso il WAF prima di raggiungere il server, proteggendo così quest’ultimo.


Un WAF opera attraverso un insieme di regole in genere dette criteri o policy. Tali criteri mirano a proteggere dalle vulnerabilità applicative filtrando il traffico dannoso. Il valore di un WAF dipende in parte dalla velocità e facilità con cui è possibile implementare la modifica dei criteri, consentendo una reazione più rapida ai vari vettori di attacco; durante un attacco DDoS, il rate limiting può essere rapidamente implementato modificando i criteri WAF.

DDOS: come funziona un WAF

Qual è la differenza tra i WAF basati su blacklist e quelli basati su whitelist?

Un WAF che opera sulla base di una blacklist (modello di sicurezza negativo) protegge contro attacchi noti. Si pensi a un WAF basato su blacklist come a un buttafuori di un club incaricato di negare l'ingresso agli ospiti che non rispettano il cosiddetto codice di abbigliamento. Al contrario, un WAF basato su whitelist (modello di sicurezza positivo) ammette solo traffico che è stato pre-approvato. Può essere paragonato a un buttafuori a una festa esclusiva, che ammette solo le persone incluse nella lista. Sia le blacklist che le whitelist hanno vantaggi e svantaggi, pertanto molti WAF offrono un modello di sicurezza ibrido, che implementa entrambi.

Cosa sono i WAF basati su rete, su host e su cloud?

Un WAF può essere implementato in tre modi diversi, ciascuno dei quali ha pro e contro:

  • Un WAF basato su rete è generalmente implementato mediante hardware. Essendo installati localmente riducono al minimo la latenza, tuttavia i WAF basati su rete sono l'opzione più costosa e richiedono inoltre uno spazio per la custodia e la manutenzione delle apparecchiature fisiche.
  • Un WAF basato su host può essere completamente integrato nel software di un'applicazione. Questa soluzione è meno costosa di un WAF basato su rete e offre maggiore personalizzazione. L'inconveniente di un WAF basato su host è il consumo di risorse del server locale, la complessità di implementazione e i costi di manutenzione. Queste componenti infatti richiedono in genere un certo tempo di progettazione e possono essere abbastanza costose.
  • I WAF basati su cloud offrono un'opzione conveniente, molto facile da implementare; di solito offrono un'installazione chiavi in ​​mano, in cui basta un modifica del DNS per reindirizzare il traffico. I WAF basati su cloud hanno pure un costo iniziale minimo, dove gli utenti pagano un contributo mensile o annuale per la sicurezza come servizio. I WAF basati su cloud possono inoltre offrire una soluzione costantemente aggiornata per proteggere dalle minacce più recenti senza alcun intervento aggiuntivo o costo a carico dell'utente. Lo svantaggio di un WAF basato su cloud è che gli utenti affidano la responsabilità a terzi, pertanto alcune funzionalità del WAF vanno prese a scatola chiusa. Approfondimento sulla soluzione Cloudflare del WAF basato su cloud.