Glosario: Términos y definiciones de ciberseguridad

¿Qué es un cortafuegos de aplicaciones web (WAF)?

Un firewall de aplicação web (WAF) protege a las aplicações web de una variedad de ataques a la capa de aplicação , como secuencias de comandos entre sitios (XSS) , inyección SQL y poisoning de cookies , entre otros. Los ataques a las aplicaciones son la principal causa de infracciones : son la puerta de entrada a sus valiosos datos. Con el WAF correcto instalado, puede bloquear la variedad de ataques que buscan exfiltrar esos datos comprometiendo sus sistemas.

¿Cómo funciona un cortafuegos de aplicación web (WAF)?

Un WAF protege sus aplicaciones web filtrando, monitorizando y bloqueando el tráfico HTTP/S malicioso que llega a la aplicação web, e impide que datos no autorizados salgan de ella. Esto se logra mediante el cumplimiento de un conjunto de políticas que ayudan a determinar qué tráfico es malicioso y cuál es seguro. Así como un servidor proxy actúa como intermediario para proteger la identidad de un cliente, un WAF funciona de manera similar pero a la inversa (se denomina proxy inverso) y actúa como intermediario que protege al servidor de aplicaciones web de un cliente potencialmente malicioso.

Un WAF puede ser un software, un dispositivo o un servicio prestado. Las políticas se pueden personalizar para satisfacer las necesidades exclusivas de su aplicación o conjunto de aplicaciones web. Aunque muchos WAF requieren actualizar las políticas regularmente para abordar nuevas vulnerabilidades, los avances en el aprendizaje automático permiten a algunos WAF actualizarse automáticamente. Esta automatización es cada vez importante, dado que el panorama de amenazas sigue creciendo en complejidad y ambigüedad.

Los servidores proxy inversos, que se ubican entre los clientes (como los navegadores web) y los servidores back-end (como los servidores de aplicação u otros servidores web), también se pueden utilizar para almacenar en caché las respuestas de los servidores back-end. Esto puede mejorar el rendimiento de la aplicación web al reducir los tiempos de respuesta de los recursos a los que se accede con frecuencia y al aliviar la carga en los servidores back-end. Las respuestas almacenadas en caché se pueden servir más rápidamente que las respuestas generadas dinámicamente desde servidores back-end. El almacenamiento en caché de proxy inverso también puede generar una mejor escalabilidad y utilización de recursos, especialmente durante períodos de alto tráfico o cuando se sirve contenido estático.

La diferencia entre un cortafuegos de aplicaciones web (WAF), un sistema de prevención de intrusos (IPS) y un cortafuegos de última generación (NGFW)

Un IPS es un sistema de prevención de intrusiones, un WAF es un cortafuegos de aplicaciones web y un NGFW es un cortafuegos de última generación. ¿Cuál es la diferencia entre ellos?

Un IPS es un producto de seguridad con un enfoque más amplio. Normalmente se basa en firmas y políticas, lo que significa que puede comprobar vulnerabilidades y vectores de ataque conocidos en función de una base de datos de firmas y en las políticas establecidas. El IPS establece una norma basada en esta base de datos y estas políticas y luego envía alertas si el tráfico se desvía de la norma. Las firmas y las políticas van creciendo a medida que se conocen nuevas vulnerabilidades. En general, el IPS protege el tráfico a través de una gama de protocolos como DNS, SMTP, TELNET, RDP, SSH y FTP. El IPS normalmente opera y protege las capas 3 y 4. Las capas de red y de sesión, aunque algunos pueden ofrecer una protección limitada en la capa de aplicación (capa 7).

Un cortafuegos de aplicación web (WAF) protege la capa de aplicación y está diseñado específicamente para analizar cada petición HTTP/S en dicha capa. Por lo general es consciente del usuario, la sesión y la aplicación y conoce las aplicaciones web que hay detrás y los servicios que ofrecen. Por ello se puede considerar al WAF como un intermediario entre el usuario y la propia aplicación, que analiza todas las comunicaciones antes de que lleguen a la aplicación o al usuario. Los WAF tradicionales garantizan que solo se puedan realizar las acciones permitidas (en función de la política de seguridad). Para muchas organizaciones, las WAF son una primera línea de defensa fiable para las aplicaciones, especialmente para protegerse contra el OWASP Top 10 (la lista de las 10 vulnerabilidades en las aplicaciones más comunes). Entre ellas, están las siguientes:

  • Ataques de inyección
  • Pérdida de autentificación
  • Exposición de datos sensibles
  • Entidades externas XML (XXE)
  • Interrupción del control de acceso
  • Configuración de seguridad defectuosa
  • XSS (cross-site scripting)
  • Deserialización desprotegida

Obtener el libro electrónico sobre cómo prepararse para el OWASP Top 10

Vea este breve vídeo sobre IPS vs WAF

Un cortafuegos de última generación (NGFW) vigila el tráfico que sale a Internet (a través de sitios web, cuentas de correo electrónico y SaaS). En pocas palabras, protege al usuario (frente a la aplicación web). El NGFW obliga a cumplir las políticas basadas en el usuario y agrega contexto a las políticas de seguridad, aparte de otras funciones como el filtrado de URL, antivirus/anti-malware, y potencialmente, sus propios sistemas de prevención de intrusos (IPS). Mientras que el WAF suele ser un proxy inverso (utilizado por los servidores), el NGFW suele ser un proxy de avance (utilizado por clientes como navegador).

Las diferentes formas de implementar un WAF

Un WAF puede implementarse de varias formas; todo depende de dónde ubique las aplicaciones, de los servicios necesarios, de cómo quiera gestionar y del nivel de flexibilidad y rendimiento de la arquitectura que necesite. ¿Quiere gestionarlo usted mismo o quiere subcontratar esa gestión? ¿Prefiere un WAF en la nube o en sus instalaciones? Podrá decidir cómo implementar el WAF en función de todo esto. A continuación se enumeran las distintas opciones.

Modos de implementación del WAF:
  • Basado en la nube + Administrado completamente como un servicio: es una fantástica opción si lo que busca es colocar un WAF delante de sus aplicaciones con rapidez y sin complicarse (sobre todo si su seguridad interna y recursos informáticos son limitados)
  • Basado en la nube + Autogestionado: obtiene toda la flexibilidad y portabilidad de las políticas de seguridad de la nube y mantiene la gestión del control de tráfico y de las políticas de seguridad
  • Basado en la nube + Autoprovisto: es la manera más fácil de empezar con un WAF en la nube, se implementa la política de seguridad de forma sencilla y rentable
  • Advanced WAF en las instalaciones (dispositivo virtual o de hardware): esto satisface los requisitos más exigentes de implementación, en los que la flexibilidad, el rendimiento y la seguridad más avanzada son fundamentales

Aquí tienes una guía para ayudarte a elegir qué WAF y modo de implementación son adecuados para ti .

Obtenga más información sobre WAF y cómo proteger sus aplicaciones con la tecnología Advanced WAF de F5.  F5 también ofrece F5 NGINX App Protect, una moderna aplicação WAF que funciona con F5 NGINX Plus , F5 NGINX Ingress Controller y otros servidores. NGINX Plus también ofrece una solución de almacenamiento en caché enormemente escalable y un proxy inverso para ofrecer contenido estático y que cambia con poca frecuencia a una amplia variedad de clientes de una manera optimizada y confiable. El servidor de almacenamiento en caché NGINX Plus también puede manejar respuestas dinámicas devueltas desde lenguajes de scripting utilizando protocolos como FastCGI, SCGI y uwsgi.