O web aplikacijama sve više ovisi cjelokupno funkcioniranje organizacije jer ispadi, spori rad ili sigurnosni incidenti izravno ugrožavaju poslovne procese i prihode. Sigurna i jednostavna objava javnih servisa ujedno je i prilika partnerima da prošire portfelj svojih sigurnosnih usluga. No, kako izabrati idealno Web Application Firewall (WAF) rješenje?
U prošlom blogu objasnili smo zašto organizacije trebaju WAF. Sada moramo odgovoriti na pitanje koji WAF izabrati i što sve treba uzeti u obzir prilikom izbora optimalnog rješenja, neovisno jeste li korisnik ili partner koji razmatra prodaju WAF rješenja ili temelji usluge na WAF-u.
Ključne funkcionalnosti
1. Tehnička podrška
Razina i kvaliteta tehničke podrške obično postane jasna tek nakon određenog razdoblja korištenja rješenja. Loša podrška može rezultirati smanjenom dostupnošću i dugoročnim problemima s performansama, što će poništiti eventualne uštede kod nabave. Stoga je vrlo važno da WAF rješenje uključuje smislenu i dostupnu tehničku podršku (24/7/365 Support). Svaki IT menadžer zna koliko je ovo važna stavka, pa se valja raspitati koliko je vendor uistinu dostupan kada stvari “zapnu”.
2. Fleksibilnost instalacije
Mogućnosti instalacije moraju uključiti različite opcije odnosno lokacije: bare metal softver, virtualna mašina (on-prem ili u javnom cloudu), potpuno upravljani ili samostalno upravljani WAF-as-a-service (SaaS). Ovisno o zahtjevima organizacije, regulativama ili lokaciji podataka/servera, korisnik može birati način instalacije.
3. SaaS konzola za upravljanje
Kombiniranje ovih različitih lokacija i formata mora i dalje biti upravljano kroz isto upravljačko sučelje, idealno kroz SaaS konzolu koju ne moramo zasebno instalirati ili održavati (patching i slično). Jednostavnost konfiguracije je ključna, a SaaS konzola je važna kako bi se administrator mogao posvetiti sigurnosti javnog servisa – a ne gubiti vrijeme na održavanje infrastrukture.
4. Načini objave servisa i povezivanja infrastrukture
Tradicionalni pristup objavi web servisa oslanja se na postojeće firewall rješenje, gdje se otvaraju dolazni portovi (najčešće 443) prema serverima ili prema lokalnom WAF rješenju (reverse proxy). Takav pristup je neskalabilan i podložan pogreškama: što kada se aplikacija sastoji od više servera ili kada se aplikacije “namnože”? Održavanje pravila – da ne govorimo TLS certifikata – postaje sve zahtjevnije i složenije, a time i nesigurnije.
Kod mnogih WAF ponuđača, često je i preusmjeravanja DNS zapisa aplikacije na WAF u cloudu. Tako su korisnici aplikacije upućeni na WAF, a u pozadini se vrši spajanje na originalni web server. I u takvom slučaju potrebno je voditi računa o dolaznim pravilima na firewallu koji štiti server te koordinirati svaku promjenu u arhitekturi aplikacije. Dodatno, sigurnost takve DNS-bazirane objave javnog servisa moguće je često lako zaobići kontaktirajući direktno “originalni” server.
Ovakvi načini povezivanja dodatno su problematični u doba kada su aplikacije “raspršene” u niz točaka ili mikroservisa. Stoga je praktičniji način povezivanja kroz softverski upravljane IPSec tunele – od lokalnog data centra i on-premise servera, preko kolociranih servera, pa sve do javnog clouda. WAF platforma tako omogućuje sigurnu i centraliziranu objavu servisa. Sve to uz jednostavno SD-WAN povezivanje svih točaka gdje se nalaze serveri ili podaci. Ovakvo povezivanje znači i da nema otvaranja dolaznih portova, što dodatno pojednostavljuje infrastrukturu.
5. Vrag je u detaljima: skrivena ograničenja i “mala slova”
Na kraju, kod odabira WAF platforme, valja obratiti pozornost na niz detalja koji se mogu pokazati kao vrlo ograničavajući kod kasnijeg korištenja rješenja. Takvi detalji su obično skriveni u “malim slovima”, na primjer:
- Uvid u telemetriju aplikacija i logove – Logovi mogu biti korisni za otklanjanje problema, identificiranje “uskih grla”, izvještavanje i analitiku preko alata trećih strana. Za developere i administratore infrastrukture, nedostatak uvida u logove može biti veliki problem.
- Ograničenja u volumenu prometa (veličina uploada, downloada, broj zahtjeva na sekundu, itd.)
- Ograničenja u broju dediciranih javnih IP adresa
- Ograničenja broja WAF sigurnosnih pravila
- Mogućnosti arbitrarnog prepisivanja HTTP headera u zahtjevima i odgovorima – Fleksibilnost u integraciji s backend aplikacijama je ključna.
- Broj domena i poddomena, upravljanje TLS certifikatima za DNS zapise (FQDN)
- DDoS zaštita – Ograničenja u volumenu prometa
- Upravljanje botovima kako bi zaustavili scraping, “srkanje” webshop inventara i slično. Najčešće ponuđači uključuju osnovnu bot zaštitu, bez strojnog učenja koje je u stanju prepoznati napredne bot tehnike.
- Web API zaštita uz automatsku detekciju API prometa i uvide o korištenju API end-pointova.
- DNS firewall i global load balancing
Najviša razina fleksibilnosti uz F5
F5 Distributed Cloud nudi sve navedeno i više od toga. Na primjer, najviše opcija postavljanja – on-premises, virtualni ili hardverski uređaj, SaaS, upravljani SaaS – javnu objavu servisa od DNS redirekcije do SD-WAN povezivanja, i to uz najnapredniju WAF zaštitu od modernih prijetnji.
Zanima vas više informacija? Trebate pomoć pri izboru optimalnog WAF modela? Kontaktirajte nas.