WAF: Porque sua aplicação Web precisa de um

Descubra o que é um WAF (Web Application Firewall) e saiba porque a sua empresa precisa de um para proteger seu site ou aplicativo contra hackers, spammers, DDoS, e demais vulnerabilidades.

Podemos dizer que a adoção da nuvem é um cenário cada vez mais comum no mundo da tecnologia, há muitas aplicações se transformando e até se aventurando já há algum tempo a funcionar somente via web. A pergunta que não quer calar é: Empresas conceituadas no mundo digital podem ser atacadas e ter informações roubadas?

O que posso dizer é que sim, e isso pode acontecer a qualquer momento, e então vem a segunda pergunta: Como eu posso publicar minha aplicação e ter meus dados disponibilizados para acesso pela internet de forma segura? É o que vamos conferir a seguir!

O que é o Web Application Firewall (WAF)?

O WAF tem como objetivo de inspecionar todo tráfego de entrada em busca de ameaças e atividades maliciosas. Ele protege os aplicativos publicados na Web, de ataques filtrando e monitorando o tráfego HTTP entre a aplicação e a internet.

O WAF irá protegê-lo contra ataques DDoS de nível de aplicativo HTTP / FTP / camada 7 e pode ser implementado como uma solução de hardware e software on premisses ou então em nuvem como SAAS ou IAAS.

Benefícios

Todo WAF normalmente oferece proteção contra as dez ameaças de segurança mais exploradas, identificadas pela organização OWASP (Open Web Application Security Project). Esta lista de tempos em tempos sofre mudanças, abaixo estão:

Injection;
Broken Authentication and Session Management;
Sensitive Data Exposure;
XML External Entities (XEE);
Broken Access Control;
Security Misconfiguration;
Cross-Site Scripting;
Insecure Deserialization;
Using Components With Known Vulnerabilities;
Insufficient Logging And Monitoring.

Também é foco de proteção, vulnerabilidades em frameworks de linguagem de programação (Exemplo PHP) e CMS conhecidos como Joomla e WordPress, ou seja, se o site contém vulnerabilidades por usar uma dessas ferramentas, ele pode ser protegido.

Outro benefício importante é a velocidade de acesso e a economia de infraestrutura, pois como o WAF é posicionado a frente da aplicação ele gera cache, reduzindo o tempo de resposta da página para usuários válidos e lícitos, também é uma possibilidade ativar o recurso de bloqueio de ataques DDOS, já que o serviço pode estender para datacenters distribuídos ao redor do mundo.

Conclusão

Seja você proprietário de um negócio online ou site, sempre é importante garantir a proteção de suas informações, a solução WAF é de implementação simples e pode ser ativada em qualquer tamanho de site ou Web Application, bastando decidir se o melhor cenário é em nuvem ou on premisses. Sua gestão e monitoramento contínuo é extremamente importante para a redução e o controle dos ataques.

CRISTIANO RIBEIRO

Profissional graduado em ciências da computação, com experiência de mais de 16 anos em suporte à TI infraestrutura e segurança seguindo as práticas do ITIL. Possui diversas certificações, dentre elas em produtos Cyberoam, Sophos, Kaspersky, Microsoft Office 365, Windows Server e SAM. Atualmente também está envolvido no desenvolvimento de soluções contidas nos serviços gerenciados de segurança na Wtsnet.