Los WAF (Web Applications Firewalls) son cortafuegos útiles para proteger un servidor web de cualquier tipo de ataque cibernético. Hoy en día su implementación es indispensable para un número cada vez mayor de organizaciones que ofrecen productos o servicios en línea. Por ejemplo: desarrolladores de aplicaciones móviles, proveedores de redes sociales y bancos digitales. Los WAF pueden ayudarte a proteger datos confidenciales, registros de clientes y datos de tarjetas de pago y evitar, así, filtraciones.
Las organizaciones suelen almacenar gran parte de sus datos confidenciales en una base de datos (backend) a la que se puede acceder a través de aplicaciones web. Las empresas emplean cada vez más aplicaciones móviles y dispositivos IoT para facilitar las interacciones comerciales y muchas transacciones en línea se producen en la capa de aplicación. Los atacantes a menudo atacan las aplicaciones para llegar a estos datos.
De manera que es importante contar con un WAF, pero se recomienda combinarlo con otras medidas de seguridad: sistemas de detección de intrusiones (IDS), sistemas de prevención de intrusiones (IPS) y cortafuegos tradicionales, para lograr un modelo de seguridad de defensa en profundidad.
Tecnología WAF
Un WAF puede estar integrado en plugins de software del lado del servidor o en dispositivos de hardware, o bien, puede ofrecerse como servicio para filtrar el tráfico. Los WAF pueden proteger las aplicaciones web de puntos finales maliciosos o comprometidos y funcionar como proxies inversos (a diferencia de un servidor proxy, que protege a los usuarios de sitios web maliciosos).
Los WAF garantizan la seguridad, pues interceptan y examinan cada solicitud HTTP y HTTPS. El tráfico ilegítimo puede comprobarse mediante diversas técnicas, como la huella digital de dispositivos, el análisis de dispositivos de entrada y los desafíos CAPTCHA, y si no parecen legítimos, pueden bloquearse.
Los WAF están precargados con reglas de seguridad que pueden detectar y bloquear muchos patrones de ataque conocidos, entre los que se suelen incluir las principales vulnerabilidades de seguridad de aplicaciones web mantenidas por el Open Web Application Security Project (OWASP).
Además, la organización puede definir reglas y políticas de seguridad personalizadas que se ajusten a la lógica empresarial de su aplicación. La configuración y personalización de un WAF puede requerir conocimientos especiales.
Tres tipos de WAF
- WAF basado en Hardware
Un WAF basado en hardware se despliega a través de un dispositivo de hardware instalado localmente dentro de la red de área local (LAN), cerca de los servidores web y de aplicaciones. Dentro del dispositivo se ejecuta un sistema operativo que permite configurar y actualizar el software.
La mayor ventaja de un WAF basado en hardware es su rapidez y alto rendimiento. Debido a su proximidad física al servidor, rastrea y filtra los paquetes de datos hacia y desde el sitio web con una latencia muy baja. El mayor inconveniente es que poseer y mantener máquinas de hardware no es barato. Desde la adquisición e instalación hasta el almacenamiento y el mantenimiento, los WAF basados en hardware están asociados a costos más elevados en comparación con otros tipos de WAF.
- WAF basado en Software
Un WAF basado en software se instala en una máquina virtual (VM) en lugar de un dispositivo de hardware físico. Todos los componentes del WAF son esencialmente los mismos que los de un WAF de hardware. La única diferencia es que los usuarios necesitan tener su propio hipervisor para ejecutar la máquina virtual.
Un WAF basado en hardware es como consumir café en una cafetería, mientras que un WAF basado en software es como obtenerlo a través de un drive-thru, donde el cliente trae su propio lugar (es decir, el coche) para el consumo.
La principal ventaja de un WAF basado en software es la flexibilidad. No sólo puede utilizarse dentro de un sistema local, sino que la máquina virtual también puede desplegarse en la nube, conectándose a servidores web y de aplicaciones basados en la nube. Un WAF de software también es una opción más barata en comparación con los WAF de hardware. Sin embargo, el mayor inconveniente es que, al ejecutarse en una máquina virtual, se experimenta una mayor latencia durante el proceso de supervisión y filtrado, por lo que es menos rápido que un WAF de hardware.
- WAF basado en la nube
Un WAF basado en la nube es una nueva generación de WAF que proporciona y gestiona directamente un proveedor de servicios en forma de SaaS (software como servicio). A diferencia de un WAF basado en software, los componentes del WAF están ubicados por completo en la nube, de modo que el usuario no necesita instalar nada localmente ni en ninguna máquina virtual.
La mayor ventaja es la simplicidad. El usuario no necesita instalar ningún software físicamente y sólo tiene que inscribirse en un plan de suscripción. El proveedor de servicios proporciona toda la optimización y las actualizaciones para que el usuario no tenga que gestionar el WAF por sí mismo. Por otro lado, la desventaja es que, dado que el proveedor de servicios gestiona por completo el WAF, no hay mucho margen para la personalización.
Tal vez quieras leer: ¿Cómo Escoger una WAF perfecto para tu Empresa?
Escríbenos a ventas@accessq.com.mx o en la Ciudad de México: // +52 55 1654 9001 y un especialista te dará más información sobre implementar WAF en tu empresa.