¿Qué es un firewall de aplicaciones web (WAF)?

Un firewall de aplicaciones web (WAF) es una solución de seguridad especializada que actúa como barrera entre una aplicación e internet y protege el servidor al detectar y bloquear el tráfico HTTP y HTTPS malicioso que entra y sale de un servicio web. 

Una vez configurado y en funcionamiento, un WAF ayuda a prevenir los ataques a la capa de la aplicación (capa 7) que, como la inyección de código SQL, el scripting entre sitios (XSS), las violaciones del protocolo HTTP y otras amenazas importantes según OWASP, pretenden aprovecharse de las vulnerabilidades de la aplicación.

¿Cómo funciona un WAF?

Un WAF suele actuar como un proxy inverso entre internet y las aplicaciones web protegidas. No obstante, un WAF se puede desplegar de varias formas en función de los requisitos de seguridad: de forma integrada, en la nube o en el entorno local, por poner algunos ejemplos. Independientemente del método de despliegue, un WAF inspecciona todo el tráfico entrante antes de que llegue a los servidores de las aplicaciones para defenderlas antes posibles amenazas.

Los WAF están disponibles en varios formatos:

• Software: se instalan directamente en tu servidor web o se integran en el código de tu aplicación, lo cual aporta flexibilidad y contribuye a reducir costes.

• Dispositivos: hardware creado para este propósito que se despliega y se gestiona con facilidad. Los dispositivos ofrecen capacidad de procesamiento dedicada para gestionar los picos de tráfico.

• Como servicio: un proveedor externo protege tus aplicaciones web sin necesidad de hardware en tus instalaciones, hace el mantenimiento por ti y se encarga de ampliar el servicio a medida que aumenta el tráfico.

El principal cometido de un WAF es analizar la comunicación entre clientes y servidores por HTTP. Para ello, examina componentes clave en todos los tipos de peticiones, como los encabezados, los cuerpos y los parámetros de consulta. El WAF identifica el tráfico HTTP que coincide con patrones de ataque conocidos o incumple las reglas de seguridad establecidas. A continuación, bloquea las peticiones peligrosas de manera proactiva antes de que estas lleguen a la aplicación para mantenerla bien protegida.

Políticas del WAF

Los WAF no constituyen una protección contra todo tipo de amenazas y ataques. En realidad, forman parte de un conjunto de herramientas que protegen las aplicaciones y los sitios web. Para determinar qué clase de tráfico es seguro o malicioso o cuál se debe permitir o bloquear, usan unas reglas llamadas «políticas».

Las empresas y las personas que utilizan un WAF pueden personalizar sus políticas de acuerdo con sus necesidades particulares. La actualización de políticas se puede realizar al momento e incluso de manera automática. Esta es una de las principales ventajas de los WAF: como es tan fácil modificar las políticas, se responde más rápidamente a varias clases de ataques.

Estos son los métodos de detección que suelen emplear los WAF para imponer las políticas:

• Expresiones regulares (regex): identifican patrones concretos dentro del tráfico para bloquear los elementos maliciosos de forma efectiva.

• Modelos de puntuación: estos modelos asignan puntuaciones de riesgo al tráfico entrante a partir de criterios predefinidos. El WAF evalúa estas puntuaciones para determinar si tiene que permitir, bloquear o seguir inspeccionando el tráfico, por lo que sus respuestas a las amenazas tienen más matices.

• SmartParse: este método analiza estructuras de datos complejas dentro de las peticiones para identificar patrones de ataque avanzados que pueden eludir las técnicas de detección convencionales. También mejora la capacidad del WAF para detectar y prevenir amenazas sofisticadas.

¿WAF o NGFW?

Ya sabes qué es un WAF y cómo funciona, pero puede que en algún momento te topes con otros términos, como es el caso de «NGFW». Comprender en qué se diferencian estas herramientas te ayudará a elegir la solución que mejor se ajuste a tus necesidades en materia de seguridad. Vamos a ver en qué consisten para que no haya dudas al respecto.

• WAF (firewall de aplicaciones web): inspecciona las peticiones en tiempo real y se sitúa entre tus servidores web y el tráfico entrante. Este tipo de inspección impide el aprovechamiento de vulnerabilidades comunes y bloquea la actividad sospechosa antes de que llegue a tus aplicaciones. Aunque un WAF suele desplegarse como un proxy inverso, lo cierto es que se puede configurar de varias formas en función de las necesidades en lo relativo a la seguridad.

• NGFW (firewall de última generación): combina las funcionalidades de un firewall con control de estado tradicional y otras más avanzadas en un único sistema. Además de filtrar por puerto y dirección, puede identificar el tráfico en función de los patrones de uso y no solo de los puertos. También se sirve de la información sobre amenazas que proporciona la red global del proveedor correspondiente y puede inspeccionar tráfico cifrado.

En definitiva, un WAF se centra en proteger las aplicaciones web, mientras que un NGFW cuenta con funcionalidades más avanzadas para ofrecer una protección exhaustiva de la red. Como son bastante diferentes, existe la posibilidad de tener uno de cada para cubrir toda una infraestructura y cortar el paso a amenazas que vienen de distintas direcciones.

¿Cómo se puede desplegar un WAF?

Los WAF se pueden implementar principalmente de tres formas: de manera local, en la nube y de forma híbrida. Veámoslas más a fondo.

• WAF locales

Los WAF locales, también denominados «WAF de dispositivo», son de uso común. Al principio, todos los WAF eran locales, y muchas empresas siguen usándolos para proteger sus flujos de trabajo, sobre todo en aplicaciones más antiguas.

• WAF basados en la nube

Los WAF basados en la nube están alojados por proveedores y proporcionan protección de una manera rápida y práctica. Estas soluciones han ganado en popularidad por lo fáciles que son de desplegar y por su capacidad para bloquear amenazas sin necesidad de gestionar software en el entorno local. Estos WAF son ideales para organizaciones que tienen recursos de TI limitados o que carecen de supervisión total de su infraestructura. Al adoptar un WAF basado en la nube, una empresa puede reducir los costes asociados a la gestión de software y disfrutar de una gran protección para sus aplicaciones y API.

• Despliegue en el edge

Los WAF desplegados en el borde de una red de distribución de contenidos (CDN) están más cerca del origen del tráfico. Esta ubicación estratégica permite bloquear las amenazas antes de que lleguen a la red, lo que aporta un extra de seguridad. Desplegar un WAF en el edge resulta especialmente útil para reducir la latencia, puesto que el tráfico se inspecciona y se filtra más cerca de los usuarios. Así, el rendimiento general aumenta y las aplicaciones web están mejor protegidas frente a posibles amenazas.

• WAF híbridos

Por último, los WAF híbridos son una combinación de despliegues en la nube y locales. Esto ofrece visibilidad de las peticiones web que se envían a las aplicaciones y las API en cualquier entorno.

Los despliegues híbridos protegen tanto las aplicaciones modernas descentralizadas como las aplicaciones antiguas que no se han adaptado a la nube. Además, este modelo saca partido de la combinación del entorno local y en la nube y muestra telemetría de seguridad de producción en una consola central de gestión. Así, se obtiene una visión amplia de todos los despliegues de producción del WAF mediante informes y paneles intuitivos.

Con independencia del método de despliegue elegido, el proveedor del WAF también proporciona una API que permite a los clientes suministrar datos e indicadores de seguridad a herramientas de gestión de información e incidentes de seguridad (SIEM) o herramientas de respuesta, automatización y orquestación de seguridad (SOAR) de terceros.

¿Qué es la WAAP?

El término protección de API y aplicaciones web (WAAP) describe los servicios basados en la nube que están pensados para proteger las API y aplicaciones web vulnerables frente a todo tipo de ataques. Los servicios de WAAP ofrecen una serie de funcionalidades de protección basadas en la inspección efectiva de peticiones web antes de que estas alcancen el punto de conexión de la API o la aplicación.

La WAAP se centra en la protección de la capa de la aplicación (capa 7) del modelo OSI y se lleva a cabo en el borde externo de la red. Los servicios de WAAP en la nube suelen reunir las funcionalidades de mitigación de bots, WAF, protección de API y protección contra DDoS.

¿Cuándo se debe usar un WAF?

Un WAF no puede faltar en ninguna estrategia de seguridad integral. Aunque no es la panacea, puede ser muy beneficioso en distintos contextos. Veamos algunos de los motivos por los que merece la pena desplegar un WAF.

1. Proteger frente a los 10 principales ataques según OWASP

La lista de los 10 principales ataques según OWASP destaca los riesgos más graves para la seguridad de las aplicaciones web, como errores de inyección que pueden sobrescribir datos o revelar información delicada. Un WAF supervisa constantemente el tráfico en busca de ataques que se aprovechan de vulnerabilidades, como los de scripting entre sitios (XSS) y los de inyección de código SQL. A continuación, coteja el tráfico con una lista exhaustiva de conjuntos de reglas en tiempo real. 

2. Desplegar nuevas aplicaciones web

Poner una nueva aplicación al alcance del público conlleva riesgos que tu equipo puede identificar a medida que corrige errores. Un WAF supervisa de cerca todo el tráfico para detectar anomalías y ataques en tiempo real con el objetivo de filtrar o bloquear a los atacantes antes de que pongan en peligro los datos de la aplicación.

3. Bloquear los intentos de apropiación de cuentas

El robo de credenciales es un riesgo mayúsculo para cualquier organización. Cuando esto ocurre, los datos se pueden utilizar una y otra vez para acceder a cuentas en numerosas plataformas. Un WAF inspecciona todas las peticiones en busca de patrones que puedan indicar que alguien está tratando de adivinar las credenciales de una cuenta. Y, mediante filtros de limitación de volumen personalizados, identifica y bloquea las direcciones IP tras varios inicios de sesión fallidos.

4. Cumplir la normativa

Las empresas que trabajan con información confidencial de clientes deben cumplir normativas como la PCI DSS, que se aplica al sector de las tarjetas de pago. La versión 4.0 de esta normativa estipula que es obligatorio utilizar un WAF para proteger las aplicaciones orientadas a internet. La detección de ataques y las medidas de prevención se evalúan con frecuencia mediante auditorías. Un WAF genera pruebas relacionadas con la supervisión del tráfico en tiempo real y el bloqueo de amenazas conocidas. Esto permite demostrar a los auditores que se cumplen las normativas y exime a tu empresa en caso de que se produzca una fuga de datos.

5. Impedir los accesos no autorizados 

Una limitación de volumen bien ajustada impide los inicios de sesión por la fuerza bruta y bloquea la carga de archivos con fines maliciosos. Un WAF permite configurar reglas de tráfico al milímetro para impedir los intentos de acceso sin autorización; por ejemplo, al tratar de iniciar sesión varias veces sin éxito desde una dirección IP. Además, sus filtros ralentizan o bloquean los picos de tráfico desde fuentes específicas para asegurarse de que tus aplicaciones sigan ofreciendo una respuesta a la altura por mucha carga que tengan. 

6. Proteger frente a DDoS

Aunque un WAF no es una solución de mitigación de DDoS en sí, puede detectar los primeros indicios de los ataques distribuidos. Al analizar los patrones de tráfico, identifica comportamientos anómalos, como volúmenes de peticiones a URL concretas que son mayores de lo normal. Acto seguido, filtra y bloquea el tráfico de las fuentes que ha identificado para mitigar los vectores de ataque de inmediato. Como el WAF se dedica a derivar el tráfico malicioso, tus servidores web no llegan a sobrecargarse, lo que da más tiempo a tus equipos para poner en marcha mecanismos de protección frente a DDoS especializados.

WAF de Fastly

Cuando vayas a elegir un proveedor de WAF, lo suyo es que te decantes por uno que ofrezca cobertura global, detección total y opciones de integración a la medida de las infraestructuras modernas. El WAF de última generación de Fastly está diseñado desde cero para marcar todas estas casillas. Como se vale de la plataforma de edge cloud más grande del mundo, se encuentra a solo unos milisegundos de cualquier usuario.

Este posicionamiento estratégico permite a Fastly proteger sitios web y aplicaciones más rápido que un WAF convencional. Inspeccionar el tráfico más cerca de los usuarios finales ayuda a limitar el alcance de las amenazas y bloquear los ataques antes de que lleguen a los servidores de origen.

Te preguntarás cuáles son las ventajas del WAF de última generación de Fastly.

• Protección integral: Fastly detecta y bloquea las 10 principales vulnerabilidades de las aplicaciones web según OWASP, así como amenazas que puedes definir mediante unas reglas muy sencillas.

• Respuesta rápida: gracias a su red global de POP, el WAF de última generación de Fastly lleva a cabo las inspecciones con una latencia ultrabaja, por lo que ofrece una experiencia de uso excepcional incluso si se produce un ataque.

• Configuración flexible: puedes personalizar reglas, páginas de respuesta y mucho más desde la interfaz de Fastly, que es facilísima de usar y no te hará pasar de una ventana a otra.

• Análisis en tiempo real: el panel y la API de identificación proactiva de problemas de Fastly te proporcionan información valiosa sobre el tráfico y los eventos de seguridad.

• Integración sencilla: el WAF de última generación, la CDN y los servicios de informática en el edge de Fastly trabajan mano a mano para ofrecer seguridad, rendimiento y funcionalidades de distribución unificadas.

Infórmate sobre el WAF de última generación de Fastly y su protección avanzada para tus aplicaciones, API y microservicios, sus opciones de despliegue flexibles y sus funcionalidades de detección de vanguardia.