Firewalls de aplicativos da Web - ou WAFs - são umtipo relativamente novo de firewall. Eles não apenas bloqueiam ou permitem o tráfego com base em endereços e portas IP. Eles vão além para analisar o tráfego e tomar decisões com base em um conjunto de regras de negócios predefinidas. Como o próprio nome indica, seu principal objetivo é proteger aplicativos baseados na Web. Escolher um firewall de aplicativo da Web pode ser uma tarefa assustadora. Eles existem como um serviço baseado em nuvem ou como um dispositivo, cada um com suas vantagens e deficiências. Por isso, compilamos esta lista dos 10 melhores firewalls de aplicativos da Web. Isso o ajudará a avaliar os recursos do produto de diferentes fornecedores.
Neste artigo, começaremos com umdiscussão sobre firewalls de aplicativos da Web, quais são e para que finalidade servem. Em seguida, compararemos os sistemas baseados na nuvem e nos dispositivos e listaremos os prós e os contras de cada um. Como você verá, é mais do que apenas uma escolha filosófica. Depois que terminarmos de explicar o básico das WAFs, mergulharemos no assunto principal e apresentaremos não uma, mas duas listas. Primeiro, revisaremos o cinco melhores WAFs baseados em nuvem e a seguir, vamos dar uma olhada no melhores cinco aparelhos WAF.
WAFs em poucas palavras
Como declaramos em nossa introdução, uma WebO Application Firewall é um tipo especial de dispositivo. Ele pode ser usado para proteger aplicativos baseados na Web muito melhor do que é possível com firewalls padrão. Um WAF típico protegerá um site contra vários tipos de ataques, como scripts entre sites, envenenamento por cookies, raspagem da Web, violação de parâmetros, estouro de buffer e muitos outros tipos de vulnerabilidades.
Ao contrário dos firewalls tradicionais que baseiamNa decisão de permitir ou bloquear o tráfego em parâmetros simples, como endereço IP ou número da porta, os WAFs baseiam sua decisão principalmente em uma análise aprofundada dos dados HTML. Eles examinam solicitações tentando reconhecer padrões de comportamento malicioso. Eles também descriptografam o tráfego HTTPS para garantir que nenhum código malicioso seja inserido nos pacotes criptografados. Os Firewalls de aplicativos da Web estarão atentos a assinaturas de malware conhecidas, mas também interceptarão qualquer solicitação malformada ou fora do padrão para a melhor proteção possível.
Por si só, um firewall de aplicativos da Web ofereceráum bom grau de proteção, mas é quando você o agrupa a outros sistemas de proteção, como firewalls padrão ou software de proteção contra vírus, que obtém a melhor cobertura contra o maior número de ameaças. Mais do que nunca, os administradores de rede precisam adotar uma abordagem holística para a prevenção de malware.
Baseado em nuvem ou dispositivo?
Existem essencialmente dois tipos de WebFirewalls de aplicativos. WAFs podem ser baseados na nuvem ou executados como um dispositivo. WAFs baseados em nuvem são hospedados pelo fornecedor. Todas as solicitações ao seu site são redirecionadas - através da magia do DNS - para a instância do WAF, onde são verificadas antes de serem encaminhadas para o site real.
WAFs de dispositivo são dispositivos de hardware. São computadores especializados, normalmente sem interface com o usuário, como uma tela e um teclado que executam um sistema operacional personalizado e o software Web Application Firewall. Eles geralmente são instalados no seu datacenter e estão localizados entre o firewall tradicional e os servidores da Web, onde eles interceptam as solicitações enviadas a eles.
Prós e contras dos WAFs baseados em nuvem
No lado positivo, uma solução baseada em nuvem requersem manutenção, pois é tratado pelo fornecedor. Essas soluções geralmente possuem recursos de redundância interna ou alta disponibilidade. O fornecedor também geralmente lida com backups do sistema. Outra vantagem é que o serviço WAF geralmente pode ser emparelhado com outros serviços do mesmo fornecedor. Você pode, por exemplo, combinar os recursos de distribuição de conteúdo e WAF de um único provedor para obter uma solução perfeitamente integrada.
Mas os WAFs baseados em nuvem também têm algumas desvantagens. Um dos mais importantes é que eles podem trancá-lo com um único provedor para muitos serviços. Como todo o tráfego do seu site precisa ser redirecionado para o provedor de nuvem, você quase não tem outra opção a não ser usar outros serviços de segurança, como um firewall tradicional.
Prós e contras da WAF Appliances
A principal vantagem dos equipamentos WAF é que vocêmantenha tudo internamente. Oferece controle total sobre todos os detalhes de sua infraestrutura. Isso também significa que você pode escolher diferentes componentes de diferentes fornecedores.
No lado negativo, usar um aparelho significa quevocê tem que mantê-lo. E você precisará atualizá-lo à medida que seu tráfego aumentar. Usar uma solução de hardware também significa um custo inicial muito mais alto, pois todo o equipamento deve ser adquirido desde o início. Por fim, a escolha é sua, mas você deve permitir que suas necessidades específicas o guiem, em vez de escolher primeiro um tipo de instalação.
Nossos 5 melhores WAFs baseados em nuvem
Nós compilamos uma lista dos cinco melhoresFirewalls de aplicativos da Web baseados em São todos de fornecedores respeitáveis e oferecem grande valor pelo seu dinheiro. Não podemos recomendar um sobre o outro, pois todos são produtos excelentes.
1. Cloudflare WAF
Cloudflare ganhou uma excelente reputação porprotegendo servidores da Web contra ataques DDoS. Sua oferta de serviços também possui um firewall de aplicativos da Web. O serviço já possui uma enorme base de clientes e seus servidores atualmente lidam com quase três milhões de solicitações por segundo. E se você visitar o site da Cloudflare, verá que mais de 400 milhões de regras WAF foram acionadas no último dia.
Um dos principais benefícios do uso de uma nuvemO serviço com uma base de clientes tão ampla é que você pode se beneficiar da inteligência adquirida com outros clientes. Por exemplo, se uma tentativa de ataque for detectada em outro cliente, uma nova assinatura será criada e aplicada a todos os clientes. Outro benefício da solução da Cloudflare é que eles também oferecem entrega de conteúdo e proteção contra DDoS.
2. Akamai Kona Site Defender
Akamai é líder mundial em entrega de conteúdosistemas. Ao longo dos anos, a empresa adicionou mais funcionalidades à sua oferta. O Kona Site Defender, como é chamado o WAF, é um deles. O Web Application Firewall integra proteção DDoS completa. E, é claro, o serviço WAF também pode ser facilmente combinado com outros serviços da Akamai, como a Content Delivery Network. Depois que seu tráfego é redirecionado para a Akamai, você também pode tirar proveito dele e usar quantos serviços precisar.
Devido ao seu tamanho e base de clientes, a Akamai frequentementedescobre novas explorações mais cedo do que outros fornecedores. Como usuário do Kona Site Defender, você se beneficia dessa vantagem competitiva e efetivamente obtém uma proteção mais forte com o bloqueio potencialmente melhor de explorações de dia zero.
3. Silverline F5
O F5 é frequentemente mais conhecido por seu BIG-IPequipamentos do que seus serviços em nuvem. Em poucas palavras, o F5 Silverline é a versão on-line do excelente dispositivo BIG-IP ASM da empresa, revisado abaixo. Está disponível como um serviço gerenciado ou como o F5 se refere como um autoatendimento expresso para proteger aplicativos e dados da Web contra ameaças em constante evolução. As assinaturas podem ter a duração de um ano ou três anos. O suporte ao vivo 24 horas está incluído no serviço.
Uma grande vantagem deste serviço baseado em nuvemé que ele pode proteger uma infraestrutura distribuída ou hospedada na nuvem. A proteção inclui blindagem DDoS da camada 7 e também bloqueia endereços anônimos, como aqueles que fazem parte da rede Tor. O sistema também usa uma lista negra ao vivo de profissionais de phishing e scrapers da web conhecidos. E como essa lista negra é compartilhada por todos os clientes, você se beneficia de qualquer inteligência obtida com outro cliente.
4. Amazon Web Services WAF
Amazon Web Services - ou AWS - é oserviço de hospedagem baseado em nuvem do mercado online universalmente conhecido. Ele capitaliza a enorme infraestrutura distribuída da Amazon para oferecer serviços de hospedagem. Se você é cliente do Amazon Web Services, o AWS WAF pode ser para você. O Amazon Web Service também oferece balanceamento de carga e serviço de entrega de conteúdo.
O modelo de preços do Amazon Web Services WAFé diferente de outros fornecedores. Em vez de pagar uma quantia predefinida todos os meses, você é faturado por cada regra de segurança adicionada ao seu serviço e pelo número de solicitações da Web recebidas a cada mês. A melhor coisa é que você não precisa pagar imediatamente por algum crescimento futuro. Também é muito interessante para organizações com picos sazonais.
5. Incapsula Imperva
Imperva é outro nome comum na segurança de TIcampo. O serviço gerenciado do Incapsula Web Firewall Imperva baseado na nuvem para proteger contra ataques da camada de aplicativo, incluindo todos os 10 principais ataques do Open Web Application Security Project e ameaças de dia zero. O serviço é certificado pela PCI e altamente personalizável. Também é altamente eficaz e bloqueará a maioria das ameaças com o mínimo de falsos positivos.
Incapsula é um dos WAF mais baratos baseados em nuvemsoluções que você pode encontrar. Os planos começam a partir de US $ 300 por mês. Uma grande característica do Incapsula é que, além de uma WAF mais "tradicional", o sistema também pesquisa seus servidores e envia patches para solucionar problemas encontrados, fornecendo uma melhor proteção para seus aplicativos da web. Obviamente, é possível agendar patches a serem aplicados a qualquer momento que você escolher para reduzir seus impactos operacionais.
Os 5 melhores aparelhos WAF
Assim como nossas 5 principais soluções WAF baseadas em nuvemeram todos de fornecedores conhecidos, o mesmo acontece com nossos aparelhos WAF. Eles são de alguns dos fornecedores de equipamentos de segurança mais conceituados. E, assim como nossa lista anterior, esta não tem nada além do melhor. Observe que a maioria dos fornecedores de dispositivos WAF também oferece um serviço baseado em nuvem.
1. Imperva SecureSphere
Imperva é um dos dois fornecedores que a fizeramem ambas as nossas listas. Seu SecureSphere WAF tem como alvo instalações menores. As várias unidades que eles propõem variam na taxa de transferência de 100 Mbps a 10 Gbps, com as menores capazes de processar 440 transações SSL por segundo e as maiores com cerca de 9000. Uma unidade intermediária, o X2020 tem uma taxa de transferência de 500 Mbps, processará 2000 SSL transações por segundo e custará US $ 4200.
Se você escolher um dos modelos de primeira linha, estaráfico feliz em saber que eles podem ser atualizados para o próximo modelo maior. Por exemplo, o X821 pode ser atualizado para um X 10K, dobrando efetivamente sua capacidade. E a atualização requer apenas a compra de patches e licenças de software adequados. Não são necessárias atualizações dispendiosas de hardware.
2. Barracuda Web Application Firewall
Barracuda é outro nome bem respeitado nocampo de segurança de TI. Ele propõe uma excelente solução WAF, perfeitamente adequada para organizações de pequeno e médio porte. Os equipamentos Barracuda são um pouco mais caros que os de seus concorrentes, mas eles vêm com um ano de atualizações gratuitas. E sobre as atualizações, elas ocorrem com frequência, sempre que uma nova ameaça é identificada.
O dispositivo Barracuda WAF também possui alguns recursos extras.características. Por exemplo, oferece armazenamento em cache para entrega mais rápida de conteúdo. O balanceamento de carga entre vários servidores é outro recurso disponível. Você pode até adicionar proteção DDoS completa. Como a maioria dos outros dispositivos WAF, o Barracuda WAAF está disponível em vários tamanhos. Um dispositivo médio como o Modelo 360 custará cerca de US $ 6350 e proporcionará 25 Mbps de taxa de transferência e 2000 transações SSL por segundo.
3. Firewall do aplicativo Citrix Netscaler
O Citrix Netscaler é uma carga imensamente popularaparelho de balanceamento. Se você já os estiver usando, ficará feliz em saber que também pode usá-los como um firewall de aplicativos da Web. A funcionalidade está disponível apenas nos principais dispositivos NetSclaer MPX ou no NetScaler Cloud Service. Além disso, você precisará adquirir a licença Platinum de primeira linha para obtê-la gratuitamente, embora também esteja disponível como opção com a licença Enterprise.
A maior vantagem do NetScaler WAF éque você obtenha balanceamento de carga e segurança de ponta em uma única caixa. Este é um sistema premium e tem um preço premium. Você pode pagar cerca de US $ 4000 pelo modelo menor, o MPX 5550, com uma taxa de transferência de 500 Mbps e até 1500 transações SSL por segundo.
4. Fortinet FortiWeb
O dispositivo FortiWeb da Fortinet é melhoradequado para organizações de pequeno e médio porte. O dispositivo integra WAF, balanceamento de carga e uma funcionalidade de descarregamento SSL. Um dos melhores e mais novos recursos do dispositivo FortiWeb é o aprendizado de máquina em duas etapas, baseado em IA, que melhora a precisão da detecção de ataques. quase cria um firewall de aplicativo da Web "Definir e esquecer"
O dispositivo FortiWeb protegerá seuinfraestrutura a partir das mais recentes vulnerabilidades de aplicativos, bots e URLs suspeitos. E seus mecanismos de detecção de aprendizado de máquina duplo mantêm seus aplicativos protegidos contra todo tipo de ameaças, como injeção SQL, scripts entre sites, estouros de buffer, envenenamento por cookies, fontes maliciosas e ataques DDoS. Existem oito modelos FortiWeb diferentes para escolher, cada um com capacidade crescente. Eles variam do nível de entrada 100D a 25 Mbps ao modelo 4000E superior, com 20Gbps de taxa de transferência.
5. Gerenciador de Segurança de Aplicativos F5 BIG-IP (ASM)
Por último, mas não menos importante, é o dispositivo F5 BIG-IP ASM. Você pode conhecer a F5 como um dos principais concorrentes da Citrix. Eles são conhecidos por seus balanceadores de carga de alto nível. Este é um dispositivo que visa grandes empresas.
A proteção contra ameaças F5 BIG-IP ASM utilizaanálise de ameaças e aprendizado dinâmico, você quase não tem nenhuma configuração para fazer e ainda pode ter certeza de que sua infraestrutura está adequadamente protegida. Outro recurso interessante do F5 BIG-IP ASM é o descarregamento de SSL. O dispositivo manipulará a criptografia e descriptografia SSL em tempo real, permitindo que os servidores da web se concentrem no que fazem de melhor, atendam às páginas da web.
Em conclusão
Com tantos produtos e serviços para escolherde, escolher a solução WAF certa pode ser um punhado. São sistemas caros e geralmente exigem esforços consideráveis - e treinamento - para instalar e configurar corretamente. Provavelmente não é algo que você queira fazer duas vezes apenas para experimentar muitos produtos diferentes. Identifique com precisão suas necessidades e sua projeção de crescimento e as chances de você estar em uma posição melhor para escolher o WAF que melhor lhe convier.
Comentários