I Web Application Firewall, o WAF, sono un tipo di firewall relativamente nuovo. Non si limitano a bloccare o consentire il traffico in base a indirizzi IP e porte, ma si spingono oltre nell'analizzare il traffico e prendere decisioni in base a una serie di regole aziendali predefinite.
Come suggerisce il nome, il loro scopo principale è proteggere le applicazioni basate sul web. La scelta di un Web Application Firewall può essere un compito arduo. Esistono sia come servizio basato su cloud che come appliance, ognuna con i suoi vantaggi e svantaggi. Ecco perché abbiamo compilato questo elenco dei 10 migliori firewall per applicazioni Web. Ti aiuterà a valutare le caratteristiche del prodotto di diversi fornitori.
In questo articolo, inizieremo con una discussione sui firewall delle applicazioni Web, cosa sono e a cosa servono. Quindi confronteremo i sistemi basati su cloud e dispositivi basati su dispositivi ed elencheremo i pro ei contro di ciascuno. Come vedrai, è più di una semplice scelta filosofica. Dopo aver spiegato le basi dei WAF, ci addentreremo nel nocciolo del nostro argomento e presenteremo non uno ma due elenchi. In primo luogo, esamineremo i cinque migliori WAF basati su cloud e poi daremo un'occhiata ai migliori cinque dispositivi WAF .
WAF in poche parole
Come abbiamo affermato nella nostra introduzione, un Web Application Firewall è un tipo speciale di dispositivo. Può essere utilizzato per proteggere le applicazioni basate sul Web molto meglio di quanto sia possibile con i firewall standard. Un tipico WAF proteggerà un sito Web da diversi tipi di attacchi come scripting tra siti, avvelenamento da cookie, web scraping, manomissione dei parametri, buffer overflow e molti altri tipi di vulnerabilità.
Contrariamente ai firewall tradizionali che basano la loro decisione di consentire o bloccare il traffico su parametri semplici come l'indirizzo IP o il numero di porta, i WAF basano principalmente la loro decisione su un'analisi approfondita dei dati HTML. Esaminano le richieste cercando di riconoscere modelli di comportamento dannosi. Inoltre, decrittograferanno il traffico HTTPS per garantire che nessun codice dannoso venga inserito nei pacchetti crittografati. I Web Application Firewall cercheranno firme di malware note, ma intercetteranno anche eventuali richieste malformate o non standard per la migliore protezione possibile.
Di per sé, un Web Application Firewall offre un buon grado di protezione, ma è quando lo si combina con altri sistemi di protezione come firewall standard o software di protezione antivirus che si ottiene la migliore copertura contro il maggior numero di minacce. Più che mai, gli amministratori di rete devono adottare un approccio olistico alla prevenzione del malware.
Basato su cloud o dispositivo?
Esistono essenzialmente due tipi di firewall per applicazioni Web. I WAF possono essere basati su cloud o eseguiti come appliance. I WAF basati su cloud sono ospitati dal fornitore. Tutte le richieste al tuo sito Web vengono reindirizzate, tramite la magia del DNS, alla tua istanza WAF dove viene verificata prima di essere inoltrata al tuo sito effettivo.
I WAF dell'appliance sono dispositivi hardware. Sono computer specializzati, in genere senza interfaccia utente come uno schermo e una tastiera che eseguono un sistema operativo personalizzato e il software Web Application Firewall. Solitamente sono installati all'interno del tuo data center e si trovano tra il tuo firewall tradizionale e i tuoi server web dove intercettano le richieste che arrivano a loro.
Pro e contro dei WAF basati su cloud
Tra i lati positivi, una soluzione basata su cloud non richiede manutenzione poiché viene gestita dal fornitore. Queste soluzioni in genere dispongono di ridondanza incorporata o funzionalità di alta disponibilità. Il fornitore in genere gestisce anche i backup del sistema. Un altro vantaggio è che il servizio WAF può spesso essere abbinato ad altri servizi dello stesso fornitore. È possibile, ad esempio, combinare la distribuzione dei contenuti e le funzionalità WAF di un unico provider per una soluzione perfettamente integrata.
Ma i WAF basati su cloud presentano anche alcuni inconvenienti. Uno dei più importanti è che potrebbero bloccarti con un unico fornitore per molti servizi. Poiché tutto il traffico verso il tuo sito Web deve essere reindirizzato al provider cloud, non hai quasi altra scelta che utilizzare i loro altri servizi di sicurezza come un firewall tradizionale.
Pro e contro degli elettrodomestici WAF
Il vantaggio principale degli apparecchi WAF è che tieni tutto in casa. Ti dà il controllo completo su ogni dettaglio della tua infrastruttura. Significa anche che sei libero di scegliere componenti diversi da fornitori diversi.
Al rovescio della medaglia, l'utilizzo di un apparecchio significa che è necessario mantenerlo. E dovrai aggiornarlo man mano che il tuo traffico aumenta. L'utilizzo di una soluzione hardware comporta anche un costo iniziale molto più elevato poiché tutte le apparecchiature devono essere acquistate dall'inizio. In definitiva, la scelta spetta a te, ma dovresti eventualmente lasciare che le tue esigenze specifiche ti guidino piuttosto che scegliere prima un tipo di installazione.
I nostri 5 migliori WAF basati su cloud
Abbiamo compilato un elenco dei cinque migliori firewall per applicazioni Web basati su tecnologia. Provengono tutti da fornitori affidabili e offrono un ottimo rapporto qualità-prezzo. Non possiamo davvero consigliarne uno rispetto agli altri in quanto sono tutti prodotti eccellenti.
1. Cloudflare WAF
Cloudflare ha guadagnato un'eccellente reputazione per la protezione dei server Web dagli attacchi DDoS. La sua offerta di servizi include anche un Web Application Firewall. Il servizio ha già un'enorme base di clienti e i suoi server attualmente gestiscono quasi tre milioni di richieste al secondo. E se visiti il sito Web di Cloudflare , vedrai che oltre 400 milioni di regole WAF sono state attivate l'ultimo giorno.
Uno dei principali vantaggi dell'utilizzo di un servizio cloud con una base di clienti così ampia è che puoi beneficiare dell'intelligence acquisita da altri clienti. Ad esempio, se viene rilevato un tentativo di attacco su un altro client, verrà creata una nuova firma e applicata a tutti i client. Un altro vantaggio della soluzione di Cloudflare è che offre anche la consegna dei contenuti e la protezione DDoS.
2. Difensore del sito Akamai Kona
Akamai è il leader mondiale nei sistemi di distribuzione dei contenuti. Nel corso degli anni, l'azienda ha aggiunto più funzionalità alla sua offerta. Kona Site Defender , come viene chiamato il loro WAF, è uno di questi. Il Web Application Firewall integra una protezione DDoS completa. E, naturalmente, il servizio WAF può anche essere facilmente combinato con altri servizi Akamai come Content Delivery Network. Una volta che il tuo traffico viene reindirizzato ad Akamai, puoi trarne vantaggio e utilizzare tutti i servizi di cui hai bisogno.
A causa delle sue dimensioni e della sua base di clienti, Akamai spesso scopre nuovi exploit prima di altri fornitori. In qualità di utente di Kona Site Defender, trai vantaggio da questo vantaggio competitivo e ottieni effettivamente una protezione più forte con un blocco potenzialmente migliore degli exploit zero-day.
3. F5 Silverline
F5 è spesso più noto per i suoi dispositivi BIG-IP rispetto ai suoi servizi cloud. In poche parole, F5 Silverline è la versione online dell'eccellente appliance BIG-IP ASM dell'azienda recensita di seguito. È disponibile come servizio gestito o come F5 definisce un self-service espresso per proteggere le applicazioni Web e i dati dalle minacce in continua evoluzione. Gli abbonamenti possono avere durata annuale o triennale. Il supporto live 24 ore su 24 è incluso nel servizio.
Uno dei principali vantaggi di questo servizio basato su cloud è che può proteggere un'infrastruttura distribuita o ospitata su cloud. La protezione include la schermatura DDoS di livello 7 e bloccherà anche indirizzi anonimi come quelli che fanno parte della rete Tor. Il sistema utilizza anche una lista nera in tempo reale di noti professionisti del phishing e web scraper. E poiché questa lista nera è condivisa da tutti i clienti, puoi beneficiare di qualsiasi intelligenza acquisita con un altro cliente.
4. Amazon Web Services WAF
Amazon Web Services, o AWS, è il servizio di hosting basato su cloud del mercato online universalmente noto. Sfrutta l'enorme infrastruttura distribuita di Amazon per offrire servizi di hosting. Se sei un cliente di Amazon Web Services, AWS WAF potrebbe fare al caso tuo. Amazon Web Service offre anche un servizio di bilanciamento del carico e di consegna dei contenuti.
Il modello di prezzo di Amazon Web Services WAF è diverso da quello di altri fornitori. Invece di pagare una somma predefinita ogni mese, ti viene fatturata ogni regola di sicurezza che aggiungi al tuo servizio e il numero di richieste web che ricevi ogni mese. La cosa migliore di questo è che non devi pagare subito per una crescita futura. È anche molto interessante per le organizzazioni con picchi stagionali.
5. Imperva Incapsula
Imperva è un altro nome comune nel campo della sicurezza informatica. Il servizio gestito di Incapsula Web Application Firewall Imperva per la protezione dagli attacchi a livello di applicazione, inclusi tutti i primi 10 attacchi e le minacce zero-day di Open Web Application Security Project. Il servizio è certificato PCI e altamente personalizzabile. È anche molto efficace e bloccherà la maggior parte delle minacce con un minimo di falsi positivi.
Incapsula è una delle soluzioni WAF basate su cloud più economiche che puoi trovare. I piani partono da $ 300 al mese. Una grande caratteristica di Incapsula è che oltre a un WAF più "tradizionale", il sistema controlla anche i tuoi server e invierà patch per risolvere i problemi rilevati fornendo una migliore protezione per le tue applicazioni web. Ovviamente puoi programmare l'applicazione delle patch in qualsiasi momento tu scelga per ridurre i tuoi impatti operativi.
I nostri 5 migliori elettrodomestici WAF
Proprio come le nostre 5 migliori soluzioni WAF basate su cloud provenivano tutte da fornitori noti, così è il caso delle nostre appliance WAF. Provengono da alcuni dei più rinomati fornitori di apparecchiature di sicurezza. E proprio come il nostro elenco precedente, questo non ha altro che il meglio. Tieni presente che la maggior parte dei fornitori di dispositivi WAF offre anche un servizio basato su cloud.
1. Imperva SecureSphere
Imperva è uno dei due fornitori che sono entrati in entrambe le nostre liste. Il suo SecureSphere WAF è destinato alle installazioni più piccole. Le varie unità che propongono variano in velocità da 100 Mbps a 10 Gbps con la più piccola in grado di elaborare 440 transazioni SSL al secondo e la più grande circa 9000. Un'unità di livello intermedio, l'X2020 ha una velocità di 500 Mbps, elaborerà 2000 SSL transazioni al secondo e ti costerà circa $ 4200.
Se scegli uno dei modelli di livello superiore, sarai felice di sapere che sono aggiornabili al modello successivo più grande. Ad esempio, l'X821 può essere aggiornato a un X 10K, raddoppiando di fatto la sua capacità. E l'aggiornamento richiede solo l'acquisto di patch e licenza software adeguate. Non sono necessari costosi aggiornamenti hardware.
2. Barracuda Web Application Firewall
Barracuda è un altro nome rispettato nel campo della sicurezza informatica. Propone un'eccellente soluzione WAF che si adatta perfettamente alle organizzazioni di piccole e medie dimensioni. Gli apparecchi Barracuda sono un po' più costosi di quelli della concorrenza, ma vengono forniti con un anno di aggiornamenti gratuiti. E per quanto riguarda gli aggiornamenti, vengono eseguiti frequentemente, ogni volta che viene identificata una nuova minaccia.
L' appliance Barracuda WAF ha anche alcune funzioni extra. Ad esempio, offre la memorizzazione nella cache per una consegna più rapida dei contenuti. Il bilanciamento del carico tra più server è un'altra funzionalità disponibile. Puoi persino aggiungere una protezione DDoS completa. Come la maggior parte degli altri dispositivi WAF, il Barracuda WAAF è disponibile in diverse dimensioni. Un dispositivo medio come il Modello 360 ti costerà circa $ 6350 e ti darà 25 Mbps di throughput e 2000 transazioni SSL al secondo.
3. Citrix Netscaler Application Firewall
Il Citrix NetScaler è molto popolare apparecchio bilanciamento del carico. Se li stai già utilizzando, sarai felice di sapere che puoi anche utilizzarli come Web Application Firewall. La funzionalità è disponibile solo nelle principali appliance NetSclaer MPX o nel NetScaler Cloud Service. Inoltre, dovrai acquistare la licenza Platinum di livello superiore per ottenerla gratuitamente, sebbene sia disponibile anche come opzione con la licenza Enterprise.
Il più grande vantaggio di NetScaler WAF è che ottieni il bilanciamento del carico e la sicurezza all'avanguardia in un'unica scatola. Questo è un sistema premium e ha un prezzo premium. Puoi aspettarti di pagare circa $ 4000 per il modello più piccolo, l'MPX 5550 con un throughput di 500 Mbps e fino a 1500 transazioni SSL al secondo.
4. Fortinet FortiWeb
L'appliance FortiWeb di Fortinet è più adatta per le organizzazioni di piccole e medie dimensioni. L'appliance integra WAF, bilanciamento del carico e una funzionalità di offload SSL. Una delle migliori e più recenti funzionalità dell'appliance FortiWeb è l'apprendimento automatico in due fasi basato sull'intelligenza artificiale che migliora la precisione del rilevamento degli attacchi. crea quasi un firewall per applicazioni Web "Imposta e dimentica"
L'appliance FortiWeb proteggerà la tua infrastruttura dalle vulnerabilità delle applicazioni più recenti, dai bot e dagli URL sospetti. Inoltre, i suoi doppi motori di rilevamento dell'apprendimento automatico proteggono le tue applicazioni da ogni tipo di minaccia come SQL injection, cross-site scripting, buffer overflow, cookie poisoning, fonti dannose e attacchi DDoS. Sono disponibili otto diversi modelli FortiWeb tra cui scegliere, ciascuno con capacità crescente. Si va dal 100D entry-level a 25 Mbps al modello di punta 4000E con 20 Gbps di throughput.
5. F5 BIG-IP Application Security Manager (ASM)
Ultimo ma non meno importante è l' appliance F5 BIG-IP ASM . Potresti conoscere F5 come uno dei principali concorrenti di Citrix. Sono famosi per i loro bilanciatori di carico di prim'ordine. Questo è un apparecchio che si rivolge alle aziende più grandi.
La protezione dalle minacce F5 BIG-IP ASM utilizza un'analisi approfondita delle minacce e un apprendimento dinamico, non hai quasi nessuna configurazione da fare e tuttavia puoi essere certo che la tua infrastruttura sia adeguatamente protetta. Un'altra caratteristica interessante dell'F5 BIG-IP ASM è l'offload SSL. Il dispositivo gestirà la crittografia e la decrittografia SSL al volo, consentendo ai tuoi server web di concentrarsi su ciò che sanno fare meglio, servire le pagine web.
Insomma
Con così tanti prodotti e servizi tra cui scegliere, scegliere la giusta soluzione WAF può rivelarsi una manciata. Sono sistemi costosi e spesso richiedono notevoli sforzi, e formazione, per essere impostati e configurati correttamente. Probabilmente non è qualcosa che vorrai fare due volte solo per provare molti prodotti diversi. Assicurati di identificare con precisione le tue esigenze e la tua proiezione di crescita ed è probabile che sarai in una posizione migliore per scegliere il WAF più adatto a te.