Avançar para o conteúdo principal
Ver todos os produtos
Calcular
Armazenamento
Trabalho em rede
Bases de dados
Serviços
Ferramentas do desenvolvedor
Indústrias
Preços
Comunidade
Envolva-se Conosco
Explorar Blog
Categorias
13
  1. Visão Geral da Nuvem
    51
  2. Calcular
    29
  3. Contentores (Kubernetes, Docker)
    37
  4. Bases de dados
    23
  5. Ferramentas do desenvolvedor
    44
  6. Linode
    263
  7. Linux
    69
  8. Multicloud
    4
  9. Trabalho em rede
    33
  10. Código Aberto
    6
  11. Rede Parceiro
    7
  12. Segurança
    66
  13. Armazenamento
    24
Autores 59
  1. Alex Leung 9
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 2
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 7
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jorge Gaona 1
  26. Jonathan Hill 2
  27. Justin Mitchel 4
  28. James Steel 5
  29. Jamie Sherkness 8
  30. Linode 70
  31. Linode Events 8
  32. The Linode Security Team 122
  33. The Linode Network & Security Teams 1
  34. LINQ 1
  35. Leslie Salazar 1
  36. Michelle Berg 1
  37. Mitch Donaberger 1
  38. Mike Fischler 1
  39. Mike Maney 10
  40. Maddie Presland 21
  41. Mike Quatrani 4
  42. Nathan Melehan 2
  43. Nigel Poulton 1
  44. Philip McGuinness 1
  45. Prasoon Pushkar 1
  46. Peter Sari 2
  47. Rick Myers 7
  48. Richard Tubb 1
  49. Sal Carrasco 1
  50. Salman Iqbal 1
  51. Stuart Macleod 1
  52. Shawn Michels 1
  53. Sander Rodenhuis 1
  54. Linode Support 14
  55. Tom Asaro 18
  56. Travis Baka 2
  57. Talia Nassi 17
  58. Tim Vereecke 2
  59. Yuri Goldfeld 1
BlogSegurançaNivelar a Segurança da Aplicação com uma Firewall de Aplicação Web

Nivelar a Segurança da Aplicação com uma Firewall de Aplicação Web

Maddie Presland
Maddie Presland
16 de Março de 2023
Cabeçalho de visão geral da aplicação Web Firewall

Para aplicações de todos os tamanhos em funcionamento na nuvem, a segurança é um modelo de responsabilidade partilhada. O seu fornecedor da nuvem assegura um nível de segurança ao nível da rede e do anfitrião, mas quando se trata de proteger as suas cargas de trabalho, cada desenvolvedor precisa de compreender as camadas de segurança que estão disponíveis.

O que é um WAF?

Um firewall de aplicativo da web (WAF) evita que tráfego malicioso interaja com um aplicativo e protege os dados contra acesso não autorizado. Não deve ser confundido com nosso Cloud Firewall que cria uma camada de proteção no nível TCP/IP, o objetivo de um firewall de aplicação web é criar regras ajustadas e detecção de comportamento para proteger que tipo de tráfego pode realmente atingir a camada de aplicação. Os aplicativos da Web são vulneráveis a ataques como scripts entre sites e injeções de SQL que podem ignorar configurações de segurança mais amplas no nível da rede.

Cloud Firewall - Diagrama WAF
Nosso Cloud Firewall é a proteção de nível de camada 3 (rede), enquanto um WAF é a proteção de nível de camada 7 (aplicativo). Observe que você pode ter WAFs de rede, baseados em nuvem ou baseados em host. O exemplo acima se assemelha a um WAF baseado em host com o firewall residente na pilha de aplicativos.

Aqui está uma comparação do mundo real. Um WAF é semelhante ao papel da segurança de um edifício quando se entra num edifício como hóspede. A segurança prossegue para...

  • Informe-se sobre o seu propósito de entrada
  • Admite ou nega o acesso a áreas específicas do edifício com um crachá ou passe de convidado
  • Esteja em alerta para qualquer comportamento suspeito enquanto estiver no edifício
  • Recolha o seu crachá à saída
  • Nota quando saiu

Para uma aplicação com um WAF, o guarda de segurança representa o comportamento e os objectivos básicos do WAF, mas para monitorizar o tráfego da Web.

Quando utilizar um WAF

À medida que a sua aplicação evolui, poderá começar a manusear um volume maior de dados e diferentes classes de dados sensíveis. Aqui estão algumas questões importantes a considerar ao analisar a melhoria da segurança da sua aplicação e decidir como deve implementar as suas soluções de segurança.

  • Como é que a sua aplicação utiliza os dados?
  • Que tipo de dados está a tratar?
  • Que outras redes têm acesso aos dados que trata?
  • O que aconteceria aos seus utilizadores se houvesse uma violação de dados?

Isto é especialmente relevante para o tratamento de informação pessoal identificável (PII). As IIP podem ser um único dado, como um número de identificação do passaporte, ou vários dados que podem revelar a identidade de uma pessoa, tais como a combinação do nome completo de alguém e a data de nascimento.

Um WAF nem sempre é necessário. Se tiver uma aplicação simples que não lide com quaisquer transacções financeiras, apenas recolhe o e-mail de um utilizador, e requer senhas encriptadas para aceder ao conteúdo, provavelmente não é essencial que execute um WAF. Pegue num calendário básico ou numa aplicação de agendamento de compromissos; um WAF não garantiria ainda mais esta informação básica.

Se estiver a executar uma pequena aplicação com uma quantidade moderada de transacções PII, a implementação de um WAF pode ser valiosa. Mesmo um volume de transacções moderado tem o potencial de ser especificamente visado por maus agentes. Além disso, se houver alguma expectativa de escalar a sua aplicação, ter um WAF em vigor irá assegurar os dados do seu utilizador e reduzir o nível de esforço para aumentar o seu volume de transacções no futuro. 

Para o comércio electrónico de alto volume ou outras aplicações que processam e armazenam grandes quantidades de informação sensível, é necessária mais segurança. Isto inclui a implementação de um WAF robusto. Este tipo de aplicações são as que mais se podem pensar quando se trata de dados que necessitam de protecção poderosa: instituições financeiras, fornecedores de cuidados de saúde, e entidades governamentais.

Selecção de um WAF

A escolha de um WAF depende de dois factores-chave: o nível de conformidade exigido pelos dados tratados pela sua aplicação, e se a sua carga de trabalho é mais adequada para uma solução auto-gerida do que entregar todo o controlo a uma empresa de segurança de confiança que tenha a perícia e as competências necessárias.

Tal como outros serviços tecnológicos, as soluções WAF são uma mistura de soluções auto-geridas e geridas pelo fornecedor. Existem WAFs de código aberto gratuitos que requerem gestão e actualizações, o que é um bom ajuste para os programadores que querem um nível de controlo mais fino. 

As maiores cargas de trabalho e aplicações que lidam com dados sensíveis beneficiam de soluções geridas pelo fornecedor que são activamente actualizadas com base nas mais recentes informações sobre ameaças e potenciais vulnerabilidades. As empresas de ciber-segurança responsáveis listam e mantêm os seus níveis de conformidade, o que determinará se os seus produtos estão em conformidade quando interagirem com a sua aplicação. Esta é a mesma consideração para a escolha de um fornecedor de nuvem para alojar a aplicação e os próprios dados.

Diferentes soluções WAF incluem características adicionais como a profundidade da monitorização, incluindo a capacidade de obter actualizações em tempo real), retenção de registos, e integrações com o resto da sua pilha de tecnologia ou de negócios.

Encontrar a solução WAF correcta

Oferecemos diferentes níveis de soluções WAF para que possa encontrar a combinação certa quer esteja apenas a começar com uma solução auto-gerida de fonte aberta, quer a sua aplicação exija uma protecção poderosa.

Para um WAF bastante básico que protege a sua aplicação de grandes ataques e proporciona alguma monitorização, o Haltdos Community WAF é um excelente local para começar. Haltdos é uma solução auto-gerida com uma GUI intuitiva onde pode ver o volume de pedidos recebidos, os endereços IP, e os IPs de ataque de topo para monitorizar os riscos.

Implantar através do Linode Marketplace | Instalar em um recurso existente | Saber mais

Para cargas de trabalho corporativas e aplicativos maiores que lidam com PII, o software da Akamai App & API Protector protege aplicativos e redes de API contra uma ampla variedade de ameaças, incluindo vulnerabilidades no Top 10 de segurança de API da OWASP . App & API Protector usa análise de aprendizado de máquina e dados das equipes de mitigação e inteligência de ameaças da Akamai para reforçar a segurança continuamente, acompanhando ameaças, padrões e demandas de segurança.

Descarregar Relatório WAAP Gartner | Saiba mais

Você também pode gostar...

Uma sala de aspeto sinistro que está quase toda às escuras, sendo apenas visível o chão. O texto diz: "No escuro sobre as APIs das Sombras?"
Fotografia de Alex Leung.

No escuro sobre as APIs Sombra?

31 de outubro de 2024
por Alex Leung
As APIs obscuras não são normalmente um risco em que se pense ao desenvolver APIs. Veja exemplos do mundo real para entender as ameaças que elas representam.
Segurança
Ilustração de uma janela de browser em ângulo que mostra o cursor do rato junto ao símbolo do cadeado de segurança do endereço de um sítio Web. O texto diz: "Lábios soltos também podem afundar sítios Web", com as palavras "afundar" e "sítios Web" destacadas a negrito.
Fotografia de Alex Leung.

Lábios soltos também podem afundar sites

21 de outubro de 2024
por Alex Leung
Este blogue analisa a forma como os números de versão expostos na sua pilha tecnológica podem conduzir a vulnerabilidades graves e o que pode fazer para reforçar a segurança.
Segurança
Ilustração com o texto "Preste atenção aos seus subdomínios que não são de produção"
Fotografia de Alex Leung.

Preste atenção aos subdomínios que não são de produção

17 de outubro de 2024
por Alex Leung
As equipas de segurança concentram-se frequentemente no domínio de produção principal de uma organização. Saiba por que é importante prestar atenção aos subdomínios que não são de produção.
Segurança

Comentários

Deixe uma resposta

O seu endereço de correio electrónico não será publicado. Os campos obrigatórios estão marcados com *