Configuración de sitios del WAF de última generación

El WAF de última generación de Fastly está desplegado en todo tipo de entornos y organizaciones y ha sido galardonado nada menos que cinco veces</u>. Uno de los motivos por los que las empresas preocupadas por la seguridad eligen el WAF de última generación de Fastly es por nuestra funcionalidad SmartParse</u>, que ofrece una protección líder contra ataques sin por ello provocar interrupciones en el servicio. Otra de las grandes razones es la flexibilidad que damos a los esquemas de despliegue, que permite a los desarrolladores trabajar en una plataforma unificada que se adapta a la estructura organizativa de la empresa.

Sabemos que, para proteger las aplicaciones más importantes de nuestros clientes, es fundamental que puedan desplegar el WAF de última generación de la manera que más les convenga. El WAF se puede integrar fácilmente con Kubernetes</u>, entornos sin servidores</u>, el edge de Fastly</u> y multitud de otras tecnologías</u>. Dado que Fastly no requiere una arquitectura en concreto para proteger tus aplicaciones, tú decides qué tipo de arquitectura es la que más le conviene a tu empresa.

En este artículo queremos mostrarte algunas de las opciones que tienen nuestros clientes al configurar sitios</u> del WAF de última generación para su organización</u>. Veamos algunos de los patrones de diseño más habituales a la hora de gestionar organizaciones y sitios. 

Vale la pena subrayar que el WAF de última generación de Fastly es ideal para mantener la seguridad de las aplicaciones de los clientes sin tener que realizar muchos ajustes ni configuraciones. Antes de adentrarnos en los ejemplos, una de las mecánicas que suele pasarse por alto (pero que hace que nuestro WAF de última generación funcione tan bien) es que la configuración que el WAF relaciona con la aplicación de un cliente no se basa en el encabezado del host HTTP. Así, se pueden agrupar múltiples aplicaciones distintas en una sola configuración de sitio con respecto al WAF de última generación. Gracias a esta flexibilidad, el personal de seguridad puede gestionar el estado de la seguridad de su grupo de aplicaciones, reducir los recursos dedicados a la gestión de la configuración y, por ende, reducir el coste de implementar y mantener el WAF. La vida de tu equipo de seguridad será más fácil, puesto que no tendrá que estar configurando y ajustando una por una decenas (o incluso centenares) de instancias del WAF, como podría pasar con un WAF antiguo.

Dicho esto, veamos las distintas opciones que se te presentan.

1.er patrón: un sitio en la organización

Esta es la disposición típica de todo cliente nuevo de Fastly: con un solo sitio, los usuarios del WAF de última generación pueden gestionar todos los ajustes en un único panel. Se pueden configurar reglas para realizar pruebas añadiendo condiciones, como pueden ser la dirección IP de una oficina o contrastar un encabezado HTTP con una regla de peticiones del WAF de última generación. Con una regla así, solamente el tráfico que coincidiera con los criterios de prueba pasaría por la acción definida en la regla para peticiones del WAF de última generación.

Posibles ventajas:

• fácil configuración en bloque para todo el tráfico;

• visibilidad de todo el tráfico mediante los paneles personalizables del sitio;

• los entornos de desarrollo, ensayo y producción pueden tener la misma configuración para mantener el correcto control de versiones;

• es el patrón que requiere menos personal de gestión.

Posibles inconvenientes:

• los límites al número total de reglas de limitación de volumen están al nivel del sitio</u>;

• para tener visibilidad detallada, es preciso añadir señales a las peticiones.

2.º patrón: sitios separados por aplicación

A menudo, los clientes terminan agrupando aplicaciones por funcionalidad en sitios separados del WAF. En este patrón, si se aplica una configuración a un sitio en concreto, eso afectará a todo su grupo de aplicaciones, pero no a los sitios del WAF de última generación de otros grupos. Así, se puede mantener la misma configuración para aplicaciones sin importar su fase de desarrollo, lo cual puede ayudar a los desarrolladores a detectar problemas antes de que lleguen a producción. Los clientes también pueden agrupar las aplicaciones más importantes en un sitio propio del WAF de última generación, a la vez que agrupan otras aplicaciones internas de diversa índole en otro sitio del WAF para que gocen de la protección general del mismo. Así, la configuración del WAF que tengan para sus aplicaciones clave no influirá en los ajustes que den a las aplicaciones internas, ni viceversa. 

Posibles ventajas:

• permite establecer configuraciones por aplicación, incluido un gran número de reglas de limitación de volumen;

• reduce al mínimo el riesgo de descontrol de versiones entre las fases de desarrollo, ensayo y producción;

• la vista de organización ofrece muchas estadísticas del sitio;

• los desarrolladores pueden involucrarse directamente en la detección de ataques mediante la IU del WAF de última generación;

• no hay riesgo de que el trabajo del responsable de una aplicación afecte al resto, ya que los roles se asignan por sitio individual.

Posibles inconvenientes:

• las aplicaciones que tienen funciones similares se gestionan de manera independiente (excepto las reglas de la organización);

• para ver cada aplicación, es necesario navegar al sitio correspondiente.

3.er patrón: un sitio por fase del ciclo de la aplicación

Con la informática ágil, la expectativa es que haya algo parecido a entornos de desarrollo, ensayo y producción, y se anima a desplegar en cada una de estas fases (siempre y cuando no se hayan detectado problemas). El WAF de última generación de Fastly también está preparado para esta estructura, con un sitio del WAF de última generación dedicado a aplicaciones distintas por cada fase de desarrollo.

Posibles ventajas:

• se anima al personal a realizar configuraciones tanto en desarrollo como en ensayo y producción;

• las aplicaciones con funciones parecidas se pueden agrupar para evitar, en la medida de lo posible, tener que implementar las mismas reglas en distintos sitios;

• los desarrolladores pueden involucrarse directamente en la detección de ataques mediante la IU del WAF de última generación.

Posibles inconvenientes:

• este diseño conlleva, por su naturaleza, divergencias en las configuraciones de los distintos sitios;

• la presencia de un gran número de aplicaciones hará que haya muchos sitios del WAF de última generación distintos, lo cual dificultará la visibilidad en la IU.

Ejemplos

Un solo equipo de desarrollo (1.er patrón)

Para los clientes que quieren estar protegidos ante tráfico malicioso sin dedicar mucho tiempo a las herramientas de seguridad, contar con un único sitio es una opción ideal. Los clientes encontrarán su visibilidad y su configuración de seguridad en un solo sitio y, si necesitan realizar cualquier ajuste, bastará con efectuar un cambio en el mismo.

Un solo equipo de seguridad, sin que los desarrolladores se involucren en la seguridad de la aplicación (2.º patrón)

Normalmente, cuando hay un equipo dedicado a la seguridad de las aplicaciones, los sitios del WAF de última generación se pueden agrupar por función. Por ejemplo, lo ideal para una plataforma de comercio electrónico que ofrezca tiendas online a sus clientes sería agrupar todos los sitios de sus clientes en un solo sitio del WAF de última generación. Así, es muy fácil aplicar ciertas configuraciones a un grupo de clientes de la plataforma cuya función sea parecida, mientras que podría haber otras aplicaciones de la plataforma de comercio electrónico agrupadas en torno a otros sitios del WAF de última generación. En este caso, el equipo de seguridad podría llegar a pertenecer a un proveedor de servicios gestionados que tuviera más contacto directo con los clientes.

Para aplicaciones internas, es importante definir el contrato social entre desarrolladores y personal de seguridad, puesto que, si las fases de desarrollo, ensayo y producción se encuentran en un mismo sitio del WAF de última generación, los desarrolladores deberán tener una manera de hacerse oír cuando haga falta realizar ciertos ajustes.

Empresa grande con muchos equipos de aplicaciones (3.er patrón)

Cuando coexisten múltiples equipos independientes que se encargan de la seguridad de sus respectivas aplicaciones, lo lógico es que cada uno tenga su propio sitio del WAF de última generación por cada aplicación, de modo que los más conocedores de cada una lleven las configuraciones de seguridad correspondientes. Este modelo se adapta al crecimiento de grandes empresas u organizaciones con muchos departamentos y equipos de desarrollo. La opción ideal para los equipos de desarrollo más ágiles es la tercera, mientras que organizaciones que busquen configuraciones parecidas entre aplicaciones tenderán a decantarse por la segunda.

Resumen

Las tres opciones de despliegues que acabamos de repasar son ejemplos de despliegues reales que ya se están viendo. También se dan con frecuencia los planteamientos híbridos, que combinan las distintas opciones para adaptarse a un cliente en particular y a la estructura de su organización. Por lo general, siempre es más fácil comenzar por lo sencillo e ir avanzando hacia lo más complejo, no al revés. 

Los clientes de Fastly que busquen dedicar los mínimos recursos a la gestión de la configuración de su seguridad, tanto del WAF de última generación como del edge de Fastly, pueden consultar el servicio de seguridad gestionada de Fastly</u>. 

En Fastly siempre estamos dispuestos a ayudar a nuestros clientes con las dificultades de seguridad más apremiantes. Escríbenos y cuéntanos cómo podemos hacerte la vida más fácil</u>.