Per le applicazioni di tutte le dimensioni eseguite nel cloud, la sicurezza è un modello di responsabilità condivisa. Il cloud provider garantisce un livello di sicurezza a livello di rete e di host, ma quando si tratta di proteggere i carichi di lavoro, ogni sviluppatore deve conoscere i livelli di sicurezza disponibili.
Che cos'è un WAF?
Un web application firewall (WAF) impedisce al traffico dannoso di interagire con un'applicazione e protegge i dati da accessi non autorizzati. Da non confondere con il nostro Cloud Firewall che crea un livello di protezione a livello TCP/IP, lo scopo di un firewall per applicazioni web è quello di creare regole e rilevamento dei comportamenti per proteggere il tipo di traffico che può effettivamente raggiungere il livello dell'applicazione. Le applicazioni Web sono vulnerabili ad attacchi come il cross-site scripting e le iniezioni SQL, che possono aggirare le configurazioni di sicurezza più ampie a livello di rete.
Ecco un confronto con il mondo reale. Un WAF è simile al ruolo della sicurezza di un edificio quando si entra come ospiti. La sicurezza procede a...
- Informarsi sullo scopo dell'ingresso
- Ammettere o negare l'accesso a specifiche aree dell'edificio con un badge o un pass per gli ospiti.
- State attenti a qualsiasi comportamento sospetto mentre siete nell'edificio.
- Ritirate il badge all'uscita
- Annotare quando si è usciti
Per un'applicazione con un WAF, la guardia di sicurezza rappresenta il comportamento e gli obiettivi di base del WAF, ma per il monitoraggio del traffico web.
Quando utilizzare un WAF
Con l'evoluzione della vostra applicazione, potreste iniziare a gestire un volume maggiore di dati e diverse classi di dati sensibili. Ecco alcune domande importanti da considerare per migliorare la sicurezza dell'applicazione e decidere come implementare le soluzioni di sicurezza.
- In che modo la vostra applicazione utilizza i dati?
- Che tipo di dati state gestendo?
- Quali altre reti hanno accesso ai dati che gestite?
- Cosa accadrebbe ai vostri utenti in caso di violazione dei dati?
Ciò è particolarmente importante per la gestione delle informazioni personali identificabili (PII). Le PII possono essere costituite da un singolo dato, come il numero identificativo di un passaporto, o da più dati che possono rivelare l'identità di una persona, come la combinazione di nome e cognome e data di nascita.
Un WAF non è sempre necessario. Se disponete di un'applicazione semplice che non tratta transazioni finanziarie, raccoglie solo l'e-mail dell'utente e richiede password crittografate per accedere ai contenuti, probabilmente non è essenziale eseguire un WAF. Prendiamo ad esempio un'applicazione di base per la pianificazione di calendari o appuntamenti; un WAF non servirebbe a proteggere ulteriormente queste informazioni di base.
Se si esegue un'applicazione di piccole dimensioni con un numero moderato di transazioni PII, l'implementazione di un WAF può essere utile. Anche un volume moderato di transazioni può potenzialmente essere preso di mira in modo specifico da malintenzionati. Inoltre, se si prevede di scalare l'applicazione, la presenza di un WAF proteggerà i dati degli utenti e ridurrà gli sforzi per aumentare il volume delle transazioni in futuro.
Per l'e-commerce ad alto volume o per altre applicazioni che elaborano e memorizzano grandi quantità di informazioni sensibili, è necessaria una maggiore sicurezza. Ciò include l'implementazione di un robusto WAF. Questo tipo di applicazioni sono quelle più pesanti che si possono immaginare quando si parla di dati che necessitano di una protezione efficace: istituzioni finanziarie, fornitori di servizi sanitari ed enti governativi.
Selezione di un WAF
La scelta di un WAF dipende da due fattori chiave: il livello di conformità richiesto dai dati gestiti dall'applicazione e il fatto che il carico di lavoro sia più adatto a una soluzione autogestita piuttosto che affidare tutto il controllo a un'azienda di sicurezza fidata che dispone delle competenze e delle conformità necessarie.
Proprio come altri servizi tecnologici, le soluzioni WAF sono un mix di soluzioni autogestite e gestite dai fornitori. Esistono WAF open source gratuiti che richiedono gestione e aggiornamenti, il che si adatta bene agli sviluppatori che desiderano un livello di controllo più preciso.
I carichi di lavoro più grandi e le applicazioni che gestiscono dati sensibili traggono vantaggio dalle soluzioni gestite dal fornitore che vengono aggiornate attivamente in base alle informazioni più recenti sulle minacce e sulle potenziali vulnerabilità. Le aziende di cybersicurezza affidabili elencano e mantengono i loro livelli di conformità, il che determinerà se i loro prodotti sono conformi quando interagiscono con la vostra applicazione. La stessa considerazione vale per la scelta di un provider cloud per ospitare l'applicazione e i dati stessi.
Le diverse soluzioni WAF includono caratteristiche aggiuntive come la profondità del monitoraggio (compresa la possibilità di ottenere aggiornamenti in tempo reale), la conservazione dei log e le integrazioni con il resto dello stack tecnologico o aziendale.
Trovare la giusta soluzione WAF
Offriamo diversi livelli di soluzioni WAF in modo che possiate trovare l'abbinamento giusto sia che abbiate appena iniziato con una soluzione open source autogestita, sia che la vostra applicazione richieda una protezione potente.
Per un WAF di base che protegga le applicazioni da attacchi importanti e fornisca un certo monitoraggio, il WAF comunitario Haltdos è un ottimo punto di partenza. Haltdos è una soluzione autogestita con un'interfaccia grafica intuitiva che consente di visualizzare il volume delle richieste in entrata, gli indirizzi IP e i principali IP di attacco da monitorare per individuare eventuali rischi.
Distribuzione tramite Linode Marketplace | Installazione su una risorsa esistente | Per saperne di più
Per i carichi di lavoro aziendali e le applicazioni più grandi che gestiscono PII, App & API Protector di Akamai protegge le applicazioni e le reti API da un'ampia gamma di minacce, comprese le vulnerabilità della OWASP API Security Top 10. App & API Protector utilizza l'analisi dell'apprendimento automatico e i dati dei team di threat intelligence e mitigazione di Akamai per rafforzare la sicurezza su base continuativa, tenendo il passo con le minacce, gli standard e le richieste di sicurezza.
Commenti