O que é WAF? | O Web Application Firewall explicado

O que é Web Application Firewall (WAF)?

O WAF, ou firewall de aplicativos web, ajuda a proteger os aplicativos web ao filtrar e o monitorar o tráfego HTTP entre o aplicativo web e a internet. De modo geral, o WAF protege os aplicativos web contra ataques como falsificação de solicitação entre sites, cross-site-scripting (XSS), inclusão de arquivo e injeção de SQL, entre outros. O WAF é uma defesa de protocolo da camada 7 (no modelo OSI) e não foi desenvolvido para fins de defesa contra todos os tipos de ataques. Esse método de mitigação de ataques costuma fazer parte de um conjunto de ferramentas que, juntas, criam uma defesa holística contra diversos vetores de ataque.

Com a implantação de um WAF à frente da aplicação web, é colocado um escudo entre a aplicação e a internet. Enquanto um servidor proxy protege a identidade da máquina cliente com o uso de um intermediário, o WAF é um tipo de proxy reverso que protege o servidor contra a exposição, já que seus clientes passam pelo WAF antes de chegar ao servidor.

O WAF funciona por meio de um conjunto de regras normalmente chamadas de "políticas". As políticas têm como objetivo proteger o aplicativo contra vulnerabilidades filtrando o tráfego malicioso. O valor de um WAF deve-se, em parte, à velocidade e à facilidade com que a modificação das políticas pode ser implantada, permitindo uma resposta mais rápida a variados vetores de ataque. Durante um ataque DDoS, o rate limiting pode ser implantado rapidamente modificando-se as políticas do WAF.

Qual é a diferença entre um WAF com lista de bloqueios e um WAF com lista de permissões?

O WAF que opera com uma lista de bloqueios (modelo de segurança negativo) protege contra ataques conhecidos. Imagine que o WAF com lista de bloqueios é como um segurança de boate com instruções para impedir a entrada de pessoas que não atendam às recomendações de traje. Em contrapartida, o WAF com lista de permissões (modelo de segurança positivo) só admite o tráfego que foi pré-aprovado. É como o segurança de uma festa exclusiva que só deixa entrar as pessoas que estão na lista de convidados. Tanto as listas de bloqueios quanto as listas de permissões têm suas vantagens e seus inconvenientes; por isso, muitos WAFs oferecem um modelo de segurança híbrido, que usa os dois tipos de listas.

O que são WAFs baseados na rede, em hospedagem e na nuvem?

O WAF pode ser implantado de três formas diferentes, cada uma delas com suas vantagens e desvantagens:

• O WAF baseado na rede é, geralmente, baseado em hardware. Como é instalado no local, o WAF minimiza a latência, mas é a opção mais cara e requer também o armazenamento e a manutenção do equipamento físico.
• O WAF baseado em hospedagem pode ser totalmente integrado ao software de uma aplicação. A solução é mais barata do que o WAF na rede e mais personalizável. As desvantagens do WAF baseado em hospedagem são o consumo de recursos do servidor local, sua implantação complexa e os custos de manutenção. Esses componentes em geral exigem mão de obra de engenharia e podem sair caro.
• Os WAFs baseados em nuvem oferecem uma opção acessível muito fácil de implementar; eles geralmente oferecem uma instalação pronta para uso que é tão simples quanto uma mudança no DNS para redirecionar o tráfego. Os WAFs baseados em nuvem também têm um custo inicial mínimo, pois os usuários pagam mensalmente ou anualmente pela segurança como serviço. Os WAFs baseados em nuvem também podem oferecer uma solução que é consistentemente atualizada para proteger contra as mais recentes ameaças sem nenhum trabalho ou custo adicional para o usuário. A desvantagem de um WAF baseado em nuvem é que os usuários deixam a responsabilidade para terceiros, portanto, alguns recursos do WAF podem ser uma caixa preta para eles. (Um WAF baseado em nuvem é um tipo de firewall em nuvem; saiba mais sobre firewalls em nuvem.)

Conheça a solução de WAF na nuvem da Cloudflare.