PUBLICIDADE

O que é WAF? [Web Application Firewall]

Proteção avançada para aplicações web; saiba o que é WAF quais são os benefícios da tecnologia e modelos disponíveis

21 out 2021 12h11
ver comentários
Publicidade

Defendendo uma camada das aplicações diferente das ferramentas convencionais. Veja abaixo o que é WAF, como a tecnologia funciona na proteção de aplicativos web e quais são os modelos encontrados, baseado na forma de proteção. Os modelos de defesa principais são baseados em rede, host e nuvem.

O que é WAF?
O que é WAF?
Foto: Vitor Pádua/Tecnoblog / Tecnoblog

Protegendo as empresas

O WAF — Web Application Firewall, ou firewall de aplicativo da web — defende o perímetro da Camada 7. Em outras palavras, o WAF é responsável por proteger aplicativos da web essenciais para os negócios de ameaças Zero-day, vulnerabilidades conhecidas ou desconhecidas, bem como uma série de outros ataques de camada de aplicativo.

Conforme as organizações passam por novas iniciativas digitais, expandem para habilitar os negócios, também aumentam a superfície de ataque e geralmente descobrem que novos aplicativos da web e APIs ficam expostos.

Um WAF tem como objetivo ajudar a manter esses aplicativos e o conteúdo acessados por eles em um ambiente mais seguro.

Importância para os negócios

Os esforços de inovação digital estão impulsionando o uso cada vez maior de tecnologias da web, exigindo uma mudança fundamental na maneira como as organizações conduzem seus negócios usando a tecnologia digital.

A inovação bem sucedida é mais do que simplesmente implantar uma nova tecnologia — requer um foco nas necessidades do cliente e uma disposição para abraçar mudanças rápidas, incluindo a rápida adoção e implantação de tecnologias que ajudam as organizações a atender às necessidades dos clientes.

Soluções de nuvem e software como serviço (SaaS), por exemplo, podem ajudar as organizações a acelerar os negócios quando usadas de maneira adequada. No entanto, como a rápida adoção dessas tecnologias aumenta a velocidade das operações de negócios, a segurança pode acabar sendo sacrificada, deixando os aplicativos web em um maior risco.

Ameaças protegidas por WAF

Os aplicativos da web modernos exigem um WAF abrangente para proteger aplicativos importantes contra vários tipos de ameaças, incluindo o Open Web Application Security Project (OWASP top 10), o consenso sobre os riscos de segurança mais críticos para os aplicativos da web. Eles são:

  • Ataques de injeção;
  • Quebra de autenticação;
  • Exposição de dados sensíveis;
  • Entidades externas XML (XXE);
  • Quebra de controle de acessos;
  • Alteração da configuração de segurança;
  • Cross-site scripting (XSS);
  • Execução remota de códigos para invasão;
  • Manipular componentes com vulnerabilidade conhecida;
  • Adulteração de log e monitoração.

Além do OWASP top 10, o WAF protege contra outras ameaças também importantes para os negócios:

  • Bots;
  • Upload malicioso;
  • Vulnerabilidades desconhecidas;
  • ataques Zero-day;
  • DDoS.

Principais modelos de WAF

Baseados em rede

O WAF baseado em rede é, geralmente, feito com a inclusão de hardware. É instalado no local, o que faz o WAF minimizar a latência. É uma opção cara e necessita também do armazenamento e manutenção do equipamento físico instalado no sistema.

Baseados em host

O WAF baseado host ou hospedagem pode ser integrado ao software de uma aplicação. É uma opção mais barata do que o de rede e mais personalizável para as necessidades específicas.

As desvantagens do WAF baseado em hospedagem são o consumo de recursos do servidor local, sua implantação complexa e os custos de manutenção. Esses pontos em geral exigem uma mão de obra de engenharia especializada e podem sair caro também.

Baseados em nuvem

Os modelos baseados em nuvem oferecem uma opção acessível e fácil de implementar. Normalmente, oferecem uma instalação turnkey que é tão simples quanto uma mudança no DNS para redirecionar o tráfego.

WAFs baseados em nuvem têm um custo inicial mínimo, já que os usuários pagam mensalmente ou anualmente pela segurança como serviço. Outro ponto de destaque é oferecer uma solução que será atualizada de forma consistente para proteger contra as ameaças mais recentes, sem qualquer trabalho ou custo adicional para o usuário.

A desvantagem é que usuários transferem a responsabilidade para terceiros, logo, alguns recursos da proteção podem funcionar como uma caixa preta. Basicamente, um WAF baseado em nuvem é um tipo de firewall hospedado em nuvem.

Com informação: Penta Security, Cloudflare, Forti net.

O que é WAF? [Web Application Firewall]

Tecnoblog
Publicidade
Publicidade