¿Qué es un WAF?

Un firewall de aplicaciones web (WAF, Web Application Firewall) es un dispositivo de seguridad diseñado para proteger las aplicaciones de las organizaciones mediante el filtrado, la monitorización y el análisis del tráfico del protocolo de transferencia de hipertexto (HTTP) y del protocolo seguro de transferencia de hipertexto (HTTPS) entre la aplicación web e Internet.

Un WAF actúa como proxy inverso y protege la aplicación frente a solicitudes maliciosas antes de que lleguen al usuario o a la aplicación web. Los WAF, que forman parte de una estrategia de ciberseguridad integral, contribuyen a proteger la organización frente a diversos ataques contra la capa de aplicaciones, como los scripts entre sitios (XSS), las inyecciones SQL, los ataques de día cero, los ataques de denegación de servicio (DoS) y los ataques de denegación de servicio distribuido (DDoS).

¿Cómo funciona un WAF?

El administrador de la red define el funcionamiento del WAF mediante una serie de reglas o directivas. Cada directiva o regla de WAF está diseñada para abordar una vulnerabilidad conocida o una amenaza relativa a las aplicaciones. En conjunto, las directivas sirven para detectar y aislar el tráfico malicioso antes de que llegue a un usuario o una aplicación.

Existen tres tipos principales de WAF:

• WAF basado en lista de bloqueos: se trata de un modelo de seguridad negativa cuya protección se basa en la denegación del tráfico de ataques conocidos.
• WAF basado en lista blanca: se trata de un modelo de seguridad positiva cuya protección se basa en la admisión del tráfico que figura en una lista de elementos con aprobación previa.
• WAF híbrido: aplica elementos de los modelos de lista de bloqueos y de lista blanca.

¿Qué diferencia hay entre un firewall de red y un WAF?

Un WAF se diferencia de un firewall de red en lo que respecta al tipo de protección que ofrece y a la forma en la que se aplica. En pocas palabras, un WAF protege la capa de aplicaciones de la organización mediante el análisis de todas las comunicaciones HTTP o HTTPS, mientras que el firewall de red actúa como una barrera que evita el acceso no autorizado a toda la red.

¿Qué diferencia hay entre un firewall de nueva generación y un WAF?

Un WAF ofrece protección únicamente frente a los ataques contra aplicaciones web. Aunque el WAF es una pieza importante de la estrategia de ciberseguridad de una organización, no es en absoluto una solución integral, así que debe complementarse con otras medidas de seguridad.

Un firewall de nueva generación (NGFW, Next-Generation FireWall) es un sistema avanzado que combina el antivirus, el firewall de red, el WAF y otros mecanismos de seguridad en una solución. Al igual que un firewall tradicional, un NGFW puede detectar y bloquear ataques en el nivel de aplicación, puerto y protocolo. Sin embargo, también puede bloquear amenazas modernas como malware avanzado y ataques contra la capa de aplicaciones. Un NGFW también incorpora funciones más avanzadas, como detección de aplicaciones, un sistema de prevención de intrusiones (IPS, Intrusion Prevention System) y servicios de inteligencia sobre amenazas compatibles con la nube.

Opciones de implementación de WAF

Hay tres formas de implementar un WAF:

1. WAF basado en red

Se trata de una solución de hardware de baja latencia que se instala en la red de forma local. Aunque es eficaz, esta opción requiere bastante almacenamiento y suele conllevar costes altos de mantenimiento, lo que la convierte en una de las implementaciones más caras.

2. WAF basado en host

Se trata de una solución personalizable que se integra en el software de aplicación. Aunque esta opción no es tan cara como un WAF basado en red, su implementación suele ser más compleja y también consume muchos recursos.

3. WAF basado en la nube

Esta opción es la más asequible y se distribuye mediante soluciones integrales ofrecidas por un proveedor de nube, como Amazon Web Services (AWS). Con este modelo, la implementación y la actualización son responsabilidad del proveedor de nube. Aunque esto simplifica las cosas para la organización y reduce la carga de trabajo del equipo de TI, la empresa cede parte del control a una organización externa. Como resultado, puede que la organización no sea plenamente consciente de las amenazas que detecte el WAF. También puede haber limitaciones en la forma de integrar la solución en la estrategia de ciberseguridad general de la organización.

CrowdStrike Falcon Firewall Management

Cada vez más organizaciones desean incorporar capacidades de firewall de host que sean nativas de los sistemas operativos. Muchas de ellas encuentran funciones eficaces, pero se topan con una gestión compleja e incómoda, así como con puntos ciegos, que pueden ser muy frustrantes para los administradores y provocar carencias de seguridad.

Falcon Firewall Management es una solución avanzada de CrowdStrike que centraliza y simplifica la administración del firewall, con lo que facilita la gestión y la aplicación de directivas de firewall en el host.

Falcon Firewall Management, que se proporciona a través del agente ligero, la plataforma de gestión única y la arquitectura en la nube de CrowdStrike Falcon®, mejora de inmediato la protección frente a las amenazas contra la red con un impacto mínimo en el host tanto durante su implementación inicial como en uso cotidiano.