Contenido

Web Application Firewall (WAF).................................................................................................2

¿Qué es un firewall de aplicaciones web (WAF)?............................................................2
¿Cuál es la diferencia entre WAF de lista negra y lista blanca?.....................................2
¿Qué son los WAF basados en la red, en el host y en la nube?....................................3
Características técnicas........................................................................................................3
Solución Factible...................................................................................................................4
MAYOR PROTECCIÓN ANTE ATAQUES EN LA WEB............................................4
SEGURIDAD QUE SE INTEGRA CON EL MODO EN QUE DESARROLLA SUS
APLICACIONES................................................................................................................4
FACILIDAD DE IMPLEMENTACIÓN Y MANTENIMIENTO.......................................4
VISIBILIDAD DEL TRÁFICO WEB MEJORADA.........................................................4
PROTECCIÓN RENTABLE PARA APLICACIONES WEB.......................................5
MAYOR SEGURIDAD CON REGLAS ADMINISTRADAS.........................................5
Costos de AWS WAF de Amazon..............................................................................................5
Web Application Firewall (WAF)

¿Qué es un firewall de aplicaciones web (WAF)?

Un firewall de aplicaciones web o WAF ayuda a proteger las aplicaciones web

al filtrar y monitorear el tráfico HTTP entre una aplicación web e Internet. Por lo
general protege las aplicaciones web de ataques tales como la falsificación de
cross-site , cross-site-scripting (XSS) , la inclusión de archivos, y la inyección
de SQL , entre otros. Un WAF es un protocolo de capa 7 de defensa (en
el modelo OSI ), y no está diseñado para defenderse de todo tipo de
ataques. Este método de mitigación de ataques generalmente forma parte de
un conjunto de herramientas que juntas crean una defensa holística contra una
variedad de vectores de ataque.

Al desplegar un WAF frente a una aplicación web, se coloca un escudo entre la

aplicación web e Internet. Mientras que un servidor proxy protege la identidad
de una máquina cliente mediante el uso de un intermediario, un WAF es un tipo
de proxy inverso , que protege al servidor de la exposición al hacer que los
clientes pasen por el WAF antes de llegar al servidor.

Un WAF opera a través de un conjunto de reglas a menudo llamadas

políticas. Estas políticas tienen como objetivo proteger contra vulnerabilidades
en la aplicación al filtrar el tráfico malicioso.El valor de un WAF proviene en
parte de la velocidad y facilidad con que se puede implementar la modificación
de la política, lo que permite una respuesta más rápida a los vectores de
ataque variables; durante un ataque DDoS , la limitación de velocidad puede
implementarse rápidamente modificando las políticas WAF.

¿Cuál es la diferencia entre WAF de lista negra y lista blanca?

Un WAF que opera basado en una lista negra (modelo de seguridad negativo)
protege contra ataques conocidos. Piense en una lista negra WAF como un
portero del club instruido para negar la admisión a los invitados que no cumplan
con el código de vestimenta. Por el contrario, un WAF basado en una lista
blanca (modelo de seguridad positivo) solo admite tráfico que ha sido aprobado
previamente. Esto es como el gorila en una fiesta exclusiva, solo admite
personas que están en la lista. Tanto las listas negras como las listas blancas
tienen sus ventajas e inconvenientes, por lo que muchos WAF ofrecen un
modelo de seguridad híbrido, que implementa ambos.

¿Qué son los WAF basados en la red, en el host y en la nube?

Un WAF se puede implementar de tres maneras diferentes, cada una con sus
propios beneficios y defectos:

 Un WAF basado en la red generalmente está basado en hardware. Dado

que se instalan localmente, minimizan la latencia, pero los WAF basados
en red son la opción más costosa y también requieren el
almacenamiento y mantenimiento de equipos físicos.
 Un WAF basado en host puede integrarse completamente en el software
de una aplicación. Esta solución es menos costosa que un WAF basado
en la red y ofrece más personalización. La desventaja de un WAF
basado en host es el consumo de recursos del servidor local, la
complejidad de la implementación y los costos de mantenimiento. Estos
componentes generalmente requieren tiempo de ingeniería y pueden ser
costosos.
 Los WAF basados en la nube ofrecen una opción asequible que es muy
fácil de implementar; Por lo general, ofrecen una instalación llave en
mano que es tan simple como un cambio en el DNS para redirigir el
tráfico. Los WAF basados en la nube también tienen un costo inicial
mínimo, ya que los usuarios pagan mensualmente o anualmente por la
seguridad como servicio. Los WAF basados en la nube también pueden
ofrecer una solución que se actualiza constantemente para proteger
contra las amenazas más recientes sin ningún trabajo o costo adicional
por parte del usuario. El inconveniente de un WAF basado en la nube es
que los usuarios traspasan la responsabilidad a un tercero, por lo tanto,
algunas características del WAF pueden ser una caja negra para ellos.

Características técnicas

  Protege todo tipo de aplicaciones (en data centers, en instalaciones

propias) frente a ataques especializados, también ante aquellos que
utilizan tráfico cifrado.

  Solución gestionada no intrusiva y transparente para el cliente.

  Fácil implementación que sólo precisa de un desvío DNS.

  Aprendizaje automático y personalizado gracias a la inteligencia

global de la plataforma y reglas de usuario a medida.
   Protección avanzada que entiende la lógica web y aplica la seguridad
específica que un IPS o NGFW no pueden proporcionar.

  Visibilidad en tiempo real de los ataques y de las acciones de

protección aplicadas a través de un portal de servicio.

Solución Factible

La solución más factible podría ser un WAF basado en la nube, ya que se

podrían evitar los costos de una solución de hardware que es la más costosa.
Un WAF basado en la nube muy conocido es el AWS de Amazon que tiene los
siguientes beneficios:

MAYOR PROTECCIÓN ANTE ATAQUES EN LA WEB

AWS WAF protege las aplicaciones web de ataques al filtrar el tráfico en

función de las reglas que cree. Por ejemplo, puede filtrar las solicitudes web por
direcciones IP, encabezados HTTP o cadenas URI, lo que permite bloquear
patrones de ataque comunes, como la inyección de código SQL y las
secuencias de comandos entre sitios.

SEGURIDAD QUE SE INTEGRA CON EL MODO EN QUE DESARROLLA

SUS APLICACIONES

Todas las características de AWS WAF se pueden configurar con la API de

AWS WAF o la consola de administración de AWS. Esto permite definir reglas
específicas para la aplicación que incrementan la seguridad web a medida que
la desarrolla. De este modo, puede incorporar la seguridad web en numerosos
puntos de la cadena de desarrollo, desde el desarrollador que escribe el código
en primera instancia al ingeniero de DevOps que implementa el software y los
expertos en seguridad que realizan una auditoría.

FACILIDAD DE IMPLEMENTACIÓN Y MANTENIMIENTO

AWS WAF es sencillo de implementar y protege aplicaciones implementadas

en Amazon CloudFront como parte de su solución CDN, en el balanceador de
carga de aplicaciones que se encuentra delante de todos sus servidores de
origen o en Amazon API Gateway para sus API. No es necesario implementar
software adicional, excepto para habilitar AWS WAF en el recurso
correspondiente. Puede definir las reglas de manera centralizada y reutilizarlas
para todas las aplicaciones web que deba proteger.

VISIBILIDAD DEL TRÁFICO WEB MEJORADA

Puede configurar AWS WAF para que monitoree solamente las solicitudes que
coincidan con sus criterios de filtros. AWS WAF ofrece visibilidad del tráfico
web en tiempo casi real, que puede utilizar para crear reglas o alertas nuevas
en Amazon CloudWatch.
PROTECCIÓN RENTABLE PARA APLICACIONES WEB

Con AWS WAF, paga únicamente por lo que utiliza. AWS WAF es un producto
con modalidad autoservicio y personalizable cuyo precio depende de la
cantidad de reglas que implemente y de las solicitudes web que reciba su
aplicación web. No se requieren pagos mínimos ni compromisos iniciales.

MAYOR SEGURIDAD CON REGLAS ADMINISTRADAS

Con las reglas administradas para AWS WAF puede comenzar a trabajar

rápidamente y proteger las API y las aplicaciones web de amenazas comunes,
como los 10 principales riesgos de OWASP, las amenazas específicas de los
sistemas de administración de contenido (CMS) o las vulnerabilidades y
exposiciones comunes (CVE) que surjan. Los distribuidores de soluciones de
seguridad de AWS actualizarán automáticamente las reglas administradas a
medida que surjan nuevas vulnerabilidades de seguridad y entidades
malintencionadas para que usted pueda invertir más tiempo en crear en vez de
en administrar reglas de seguridad.

Costos de AWS WAF de Amazon

AWS WAF cobra por el número de listas de control de acceso web (ACL web)
que se crean, el número de reglas que se añaden por ACL web y el número de
solicitudes web que se reciben. No se requiere ningún compromiso inicial. Los
cargos de AWS WAF son adicionales a los precios de Amazon CloudFront,
los precios del balanceador de carga de aplicaciones (ALB) o a los precios de
Amazon API Gateway.

Los cargos de AWS WAF se basan en el número de ACL web que se crean y
en el número de reglas que se añaden por cada ACL web. Las ACL web y sus
reglas añadidas se miden independientemente de si están asociadas a un
recurso que puede ser una distribución de CloudFront o un Application Load
Balancer. No se aplica ningún cargo adicional por la reutilización de ACL web
entre varias distribuciones de CloudFront e instancias de Application Load
Balancer.

Cargos por ACL web (en todas las regiones disponibles)

5,00 USD por ACL web por mes

Cargos por regla (en todas las regiones disponibles)

1,00 USD por regla por ACL web por mes

Cargos por solicitudes

AWS WAF también cobra por la cantidad de solicitudes web que administra.
Esto se basa en el número de solicitudes web que se evalúan.
Cargo por solicitud (en todas las regiones disponibles)

0,60 USD por millón de solicitudes web

Reglas administradas de AWS Marketplace

Cuando se suscriba a una regla administrada proporcionada por uno de los

vendedores de AWS Marketplace, también se le cobrará una tarifa por cada
regla y las tarifas por solicitudes fijadas por el vendedor. Los cargos se
sumarán al precio de AWS WAF descrito anteriormente.