O que é Web Application Firewall (WAF)?
O WAF, ou Web Application Firewall, ajuda a proteger as aplicações web com a filtragem e o monitoramento do tráfego HTTP entre a aplicação web e a internet. De modo geral,, o WAF protege as aplicações web contra ataques como falsificação de solicitação entre sites, cross-site-scripting (XSS), inclusão de arquivos e injeção de SQL, entre outros. O WAF é uma defesa de protocolo da camada 7 (no modelo OSI) e não foi desenvolvido para defender contra todos os tipos de ataques. Esse método de mitigação de ataques costuma fazer parte de um conjunto de ferramentas que, juntas, criam uma defesa holística contra diversos vetores de ataque.
Com a implantação de um WAF à frente da aplicação web, é colocado um escudo entre a aplicação e a internet. Enquanto um servidor proxy protege a identidade da máquina cliente com o uso de um intermediário, o WAF é um tipo de proxy reverso que protege o servidor contra a exposição, já que seus clientes passam pelo WAF antes de chegar ao servidor.
O WAF opera por meio de um conjunto de regras normalmente chamadas de "políticas". As políticas têm como objetivo proteger o aplicativo contra vulnerabilidades por meio da filtragem do tráfego mal-intencionado. O valor de um WAF é, em parte, devido à velocidade e facilidade com as quais a modificação de políticas pode ser implantada, permitindo uma resposta mais rápida a variados vetores de ataque. Durante um ataque de DDoS, o rate limiting pode ser implantado rapidamente modificando-se as políticas do WAF.
Qual é a diferença entre um WAF com lista de bloqueios e um WAF com lista de permissões?
O WAF que opera com uma lista de bloqueios (modelo de segurança negativo) protege contra ataques conhecidos. Imagine que o WAF com lista de bloqueios é como um segurança de boate com instruções para impedir a entrada de pessoas que não atendam às recomendações de traje. Em contrapartida, o WAF com lista de permissões (modelo de segurança positivo) só admite o tráfego que foi pré-aprovado. É como o segurança de uma festa exclusiva que só deixa entrar as pessoas que estão na lista de convidados. Tanto as listas de bloqueios quanto as listas de permissões têm suas vantagens e seus inconvenientes; por isso, muitos WAFs oferecem um modelo de segurança híbrido, que usa os dois tipos de listas.
O que são WAFs baseados na rede, em hospedagem e na nuvem?
O WAF pode ser implantado de três formas diferentes, cada uma delas com suas vantagens e seus inconvenientes:
- O WAF baseado na rede é, geralmente, baseado em hardware. Como é instalado no local, o WAF minimiza a latência, mas é a opção mais cara e requer também o armazenamento e a manutenção do equipamento físico.
- O WAF baseado em hospedagem pode ser totalmente integrado ao software de uma aplicação. A solução é mais barata do que o WAF na rede e mais personalizável. As desvantagens do WAF baseado em hospedagem são o consumo de recursos do servidor local, sua implantação complexa e os custos de manutenção. Esses componentes em geral exigem mão de obra de engenharia e podem sair caro.
- O WAF na nuvem é uma opção economicamente acessível e muito fácil de implantar; geralmente, oferece uma instalação sem configuração ("turnkey"), tão simples quanto uma alteração no DNS para redirecionar tráfego. Os WAFs na nuvem têm um custo inicial mínimo, pois os usuários pagam mensalmente ou anualmente pela segurança como um serviço. Os WAFs na nuvem podem também oferecer uma solução que é constantemente atualizada para proteger contra as ameaças mais recentes, sem trabalho ou custo adicionais para o usuário. A desvantagem do WAF na nuvem é que os usuários transferem a responsabilidade a um terceiro. Assim, algumas das suas funcionalidades podem ser uma caixa preta para os usuários. Conheça a solução de WAF na nuvem da Cloudflare.