Un WAF mejor y más rápido
En Fastly, uno de nuestros cometidos es repensar el firewall de aplicaciones web con un objetivo claro: la protección proactiva de aplicaciones en producción ante amenazas conocidas y desconocidas, pero eso solo es el principio. El WAF de última generación de Fastly aprovecha los avances realizados por proveedores antiguos y, al mismo tiempo, supera sus carencias, sobre todo aquellas que se experimentan en los primeros compases de la adopción.
En cuanto a las experiencias con WAF antiguos, podemos dividir a los posibles usuarios en dos grupos: por un lado, los que no quieren volver a oír hablar de los WAF por dificultades que hayan vivido, como un largo periodo de configuración y unos requisitos constantes de mantenimiento que obligan a contar con equipos de recursos y conjuntos de reglas; por el otro, los que sí tienen un WAF pero les cuesta crecer incorporando otras aplicaciones y arquitecturas, como pueden ser híbridas y multinube, que precisan de configuraciones complejas y ajustes de reglas.
Esto ya lo vivimos en primera persona, ya que los fundadores de nuestro WAF de última generación eran profesionales que dirigían equipos de producto, ingeniería y seguridad en Etsy. Con Fastly, se propusieron resolver el desafío de defender todas las aplicaciones (modernas y antiguas) desarrollando una tecnología ajena a las dificultades que planteaban las estrategias de WAF existentes:
Meses de trabajo para instalar un producto
Transacciones web legítimas interrumpidas como falsos positivos
Análisis perdidos en un mar de datos, sin utilidad práctica, con la consiguiente desinformación de los equipos de ingeniería y operaciones
Con tal de vencer la desilusión que existía en torno a los WAF, el objetivo principal de nuestros fundadores era garantizar cuatro ventajas clave que no veían en las soluciones antiguas:
Puesta en marcha rápida y gran escalabilidad
Eficacia visible a las primeras de cambio
Capacitación de equipos interdisciplinares
Mayor visibilidad
Puesta en marcha rápida y gran escalabilidad
Con otros WAF, la instalación puede llevar meses de trabajo por parte de equipos interdisciplinares, lo cual impide su rápida utilización. Entre la complejidad de los despliegues, la creación de conjuntos de reglas de expresiones regulares y los distintos ajustes, ningún otro WAF promete una puesta en marcha rápida, sino más bien al contrario. Muchos proveedores antiguos llevan décadas con la misma solución y, como nos podemos imaginar, no siempre están al día de las últimas innovaciones.
En cambio, en Fastly hemos hecho que el primer paso de tu trayectoria como cliente, la instalación, sea fácil y rápida. De hecho, ver el tiempo que tardan los nuevos clientes en poner a sus primeros agentes en línea se ha convertido en un juego para nosotros. El récord actual es de menos de un minuto, mientras que la media apenas supera la hora. Puedes automatizar la instalación y las actualizaciones con suma facilidad utilizando paquetes, repositorios públicos y herramientas de gestión de configuraciones como Terraform, Chef, Puppet, Ansible y Salt.
Eficacia visible a las primeras de cambio
Una vez que tengas instalado el WAF, lo siguiente es ponerlo en marcha y comprobar su eficacia, pero en los WAF antiguos eso no siempre ha sido fácil y, a modo de recurso, se han usado las pruebas en entornos aislados. Los entornos aislados ofrecen una manera rápida y eficiente de ver lo bien (o mal) que funciona una nueva tecnología, pero no reflejan del todo el tráfico de producción y, por tanto, no indican la efectividad del WAF en sitios web en producción. Si hablamos de soluciones de WAF comunes y basadas en aplicaciones, los entornos aislados no te avisan de la complejidad que puedan añadir certificados de SSL, cambios en el DNS o ajustes de reglas para falsos positivos.
Para validar el WAF, puedes realizar una prueba de concepto (POC) con tráfico de producción, lo cual te dará información real acerca de cómo el despliegue afecta al tráfico y protege tus aplicaciones. El WAF de última generación facilita la decisión de pasar al modo de bloqueo, ya que los análisis indicarán un aumento de la protección sin la consiguiente generación de falsos positivos. Casi un 90 % de los clientes del WAF de última generación de Fastly trabaja en modo de bloqueo total, lo cual pone de manifiesto lo lejos que hemos llegado para que puedas generar valor antes.
Capacitación de equipos interdisciplinares
Los WAF son herramientas diseñadas para los profesionales de la seguridad, pero su influencia también toca a los departamentos de operaciones. Equipos como los de DevOps o ingeniería de fiabilidad de sitios (SRE) suelen quedar fuera del ámbito de los análisis de WAF antiguos, lo cual da lugar a interrogantes en torno al impacto que tienen en el tráfico, y no sin razón: Amazon indica que un retraso de tan solo 100 ms afectó nada menos que a un 1 % de las ventas, mientras que Google afirma que, en situaciones más extremas, tras 3 segundos, se abandonan el 53 % de las sesiones. Hay mucho en juego, y cada milisegundo cuenta.
Está claro que el despliegue de un WAF afectará a la latencia, pero la cuestión es en qué medida y cómo se puede saber. Si bien persiste la creencia de que los WAF provocan cuellos de botella y una latencia importante, la última generación ofrece datos y una latencia mínima a cambio de protección. Sin ir más lejos, el WAF de última generación de Fastly solamente añade entre 2 y 3 milisegundos de latencia y, a la vez, aporta información sobre sistemas bajo su influencia, como la CPU, el uso de memoria, los tiempos de respuesta, los tamaños de las respuestas y mucho más. Esta visibilidad añadida resta preocupación por el impacto y permite hablar sobre eficacia con conocimiento de causa.
Mayor visibilidad
Un despliegue rápido solo vale la pena si obtienes datos enseguida (si lo piensas bien, se puede instalar casi cualquier cosa en poco tiempo sin que haga nada). La mayoría de los responsables que han trabajo con WAF se quejan de dos aspectos de la calidad de datos del WAF:
Modo de aprendizaje: impide a los equipos obtener datos de inmediato, ya que el WAF intenta predecir patrones de tráfico y los equipos se ven obligados a descartar los falsos positivos, proceso que se repite cada vez que se realiza un cambio en la aplicación.
Falta de visibilidad en las decisiones de bloqueo: la falta de información y visibilidad en torno a las decisiones de bloquear mina la confianza entre los operadores de la herramienta. Los equipos terminan evaluando la causa de fondo de un error sin contar con la explicación de la propia herramienta que lo señaló.
La clave para limar estas asperezas es la transparencia. Los WAF de última generación ofrecen información práctica de seguridad a todos los equipos, puesto que comparten las cargas útiles de peticiones que influyeron en la decisión de marcar una IP como maliciosa mediante las herramientas que ya usan estos (Slack, Jira, Datadog, PagerDuty, Splunk, etc.). Al gozar de acceso autónomo a los datos, los equipos tienen la confianza necesaria para pasar del modo de aprendizaje al modo de bloqueo total, y es ahí donde los WAF muestran todo su valor (visita nuestra página de clientes para leer más en este sentido desde sus perspectivas).
Puntual, sin salirse del presupuesto y antes de lo previsto: la realidad del WAF de última generación de Fastly
Los equipos de seguridad, que suelen ir desbordados de trabajo, se apuntan un tanto si logran realizar una POC breve con instalación fácil y rápida generación de valor, y la consiguen justamente de la mano de la nueva generación de WAF. Tu entorno ya es más seguro desde el primer día (no al cabo de meses), con bloqueo activo, información clara y datos prácticos, todo lo cual te permite centrarte en otras áreas clave. Si tenemos alguna certeza en el terreno de la seguridad es que nunca faltan cosas por proteger. Escríbenos si quieres más información. ¡No descartes ser tú quien vuelva a batir el récord de tiempo de instalación!