¡Hay diferentes tipos de firewall de aplicaciones web (WAF)! Conocerlos es el primer paso antes de desplegar un WAF para su empresa.
En un blog pasado, explicamos qué es un firewall de aplicaciones web, por qué es tan importante para los negocios y contra qué ciberamenazas puede protegerlo. Sin embargo, algo que no mencionamos en dicho artículo es que hay diferentes tipos de firewalls de aplicaciones web (WAF). Conocer las diferencias entre todos es importante para determinar el mejor modelo para su organización y cómo implementarlo.
Sin más preámbulos, he aquí los diferentes tipos de WAF que existen.
¿Qué tipos de firewalls de aplicaciones web (WAF) existen?
Los firewalls de aplicaciones web (WAF) pueden distinguirse según cómo operan y su modelo de despliegue. En dicho caso, ¿cuál es el tipo de WAF más conveniente? Depende de dónde se desplieguen sus aplicaciones, los servicios requeridos, cómo se desea administrar, y el nivel de flexibilidad y rendimiento que requiera de la arquitectura.
Tipos de WAF según funcionamiento: Blocklist vs. Allowlist
Dependiendo de cómo operen, los firewalls de aplicaciones web (WAF) pueden clasificarse en dos grupos: Blocklist y Allowlist. El primero está basado en un modelo de seguridad negativo. Está diseñado para bloquear ciertos endpoints, o tipos de tráfico, y permitir todos los demás. El segundo funciona de forma opuesta.
Basado en un modelo de seguridad positivo, los Allowlist WAF bloquean todo el tráfico. Depende del administrador del firewall determinar qué tráfico tiene aprobación para pasar. Debido a que esta configuración minimiza los riesgos causados por políticas de firewall mal configuradas, los Allowlist WAF son considerados más seguros.
También puede interesarle: ¿Qué es el typosquatting?
Solo hay una contraindicación. Los Allowlist WAF no funcionan muy bien en escenarios en los que no se puede anticipar todos los tipos válidos de tráfico y endpoints.
Por fortuna, no hay por qué escoger. Dadas las ventajas y desventajas de cada tipo, cada vez más firewalls de aplicaciones web (WAF) operan desde un modelo híbrido.
Tipos de WAF según despliegue
Según su despliegue, un WAF puede estar basado en red, software o la nube.
¿Cuáles son las ventajas y desventajas de los WAF basados en red?
La gran ventaja de los WAF basados en red es que suelen estar basados en hardware.
Ya que se instalan on-premise lo más cerca posible de la aplicación que protegen, esto reduce la latencia. Adicionalmente, la mayoría de los principales proveedores de WAF basados en red permiten replicar reglas y configuraciones en varios dispositivos. Lo anterior posibilita la implantación, configuración y gestión a gran escala.
El mayor inconveniente de este tipo de WAF es su costo. El desembolso inicial y su mantenimiento puede ser bastante elevado, lo que lo hace inviable para PYME.
¿Cuáles son las ventajas y desventajas de los WAF basados en host?
Los WAF basados en host pueden estar integrados en el propio código de la aplicación. Esto puede implicar un menor coste, además de mayores opciones de personalización y escalabilidad. No obstante, este tipo de WAF pueden ser un reto de gestión.
Al fin y al cabo, requiere bibliotecas de aplicaciones y depende de los recursos del servidor local para funcionar eficazmente. En consecuencia, pueden ser necesarios más recursos de personal. Estos incluyen desarrolladores y DevOps/DevSecOps.
¿Cuáles son las ventajas y desventajas de los WAF basados en la nube?
Los WAF alojados en la nube ofrecen una solución de bajo costo. Tampoco requieren muchos recursos. Como si no fuera suficiente, son fáciles de implementar. Están disponibles mediante suscripción. A menudo sólo requieren un simple cambio en el sistema de nombres de dominio (DNS) o proxy para redirigir el tráfico de aplicaciones.
Como señala Oracle, un WAF basado en la nube debe soportar varios entornos de alojamiento de aplicaciones web. Esto incluye entornos locales, en la nube, híbridos y multinube. En otras palabras, puede proteger el perímetro de una red frente al tráfico malicioso. No importa el número de proveedores de infraestructura que se utilicen.
La principal desventaja de este tipo de WAF es que solo tiene sentido cuando hay aplicaciones que se despliegan en la nube. Adicionalmente, incluso si el WAF proporciona una plataforma para proteger todas las aplicaciones y API, estar al tanto de todas las amenazas en un sistema tan complejo puede ser todo un desafío.
¿Cómo se hace la implementación de un firewall de aplicaciones web (WAF)?
La elección del tipo de WAF más adecuado dependerá de múltiples factores. Estos incluyen el tamaño de la corporación, el presupuesto, la complejidad de la aplicación web y los recursos técnicos disponibles. Dependiendo de cómo quiera integrar el WAF en su stack de aplicaciones web, Palo Alto Networks señala tres aproximamientos:
-
Puente transparente: en este modo, el WAF está conectado a los mismos puertos que las aplicaciones web que protege. Desde la perspectiva de las aplicaciones y los clientes, no hay un firewall. Sin embargo, este trabaja tras bambalinas para permitir que el WAF intercepte y regule el tráfico.
-
Proxy inverso transparente: las aplicaciones web detectan el firewall, pero permanece invisible para los clientes. El WAF acepta el tráfico en los puertos y direcciones que aparecen como aplicaciones a endpoints externos. A pesar de ello, las aplicaciones operan en diferentes puertos y direcciones internas. El WAF inspecciona el tráfico y decide si reenviarlo a dichos puertos y direcciones.
-
Proxy inverso: los clientes envían solicitudes a un WAF que opere en puertos y direcciones empleadas para ejecutar un servicio proxy. Luego, las solicitudes son reenviadas a las aplicaciones. Es similar al proxy inverso transparente, con la diferencia de que los clientes son conscientes de la existencia del servidor proxy.
Lectura recomendada: ¿Qué son los Combo Lists? Prepárese frente esta amenaza
El modelo del puente transparente es el más sencillo de implementar, ya que requiere la menor cantidad de conexiones de red, direcciones y configuraciones de puertos. Sin embargo, no aísla las aplicaciones web del WAF en la capa de red. Los modelos de proxy inverso transparente y proxy inverso proveen más aislamiento y una mayor habilidad para inspeccionar tráfico antes de que alcance a las aplicaciones.
En lo que respecta a dónde hospedarlos, Palo Alto Networks plantea lo siguiente:
-
Basado en la nube como un servicio totalmente gestionado: el WAF se ejecuta en la nube como un servicio totalmente gestionado. Los usuarios solo tienen que encenderlo y configurar las políticas de firewall. No se requiere gestión.
-
Basado en la nube y autogestionado: el WAF se ejecuta en la nube, pero los usuarios son responsables de desplegarlo, configurarlo y gestionarlo.
-
Basado en la nube y autoprovisionado: el WAF se ejecuta en la nube. Si bien los usuarios deben configurarlo y gestionarlo, automáticamente recibe políticas de red que coincidan con el entorno de nube. Este aproximamiento es un punto medio entre la opción totalmente gestionada y la autogestionada.
-
WAF on-premises avanzado: se almacena en una infraestructura on-premise. Lo anterior involucra más configuración. También se debe poseer el espacio físico para el host. Lo positivo de este enfoque es que provee el mayor control.
-
WAF basado en host con o sin agentes: se ejecuta en un servidor host o contenedor de aplicaciones. Se puede requerir que los usuarios desplieguen agentes en cada servidor para hospedar el WAF, pero hay enfoques sin agentes.
Ahora que sabe que no todos los firewalls de aplicaciones web (WAF) son iguales, puede tomar los primeros pasos para adoptar esta tecnología. Debe tener en cuenta los diversos aspectos de su organización antes de adquirir y desplegar un firewall de aplicaciones web (WAF). Si lo hace adecuadamente, podrá proteger su entorno de TI.
