Home Artigos técnicos Gestão WAF simplificada
Applications

About The Author

Outline

Como administrador de segurança dos aplicativos voltados para a internet da sua empresa, um dia típico pode envolver o gerenciamento de um ciclo constante de CVEs, alertas, atualizações e patches. Adicionar alterações contínuas na sua pilha de aplicativos, incluindo novos aplicativos, recursos e endpoints de API, e dizer que sua lista de tarefas pode parecer esmagadora, é um eufemismo. Adicionar trabalho adicional ao seu dia está longe de ser ideal. O WAFS pode ajudar. A maioria dos WAFS permite implantar regras que atuam como patches virtuais para proteger contra vulnerabilidades quando um patch não está pronto para ser implantado ou não existe. Esses patches podem resultar em regras separadas para cada elemento de solicitação, como cabeçalho, consulta e cookie. Mas o que começou como uma ferramenta para proteger contra vulnerabilidades de dia zero pode causar complexidade e sobrecarga de gerenciamento adicional. Além de rastrear todos os seus aplicativos, agora você precisa gerenciar os diferentes elementos no WAF.

Economize tempo e implante alterações mais rapidamente

Temos o prazer de apresentar dois novos recursos à nossa solução WAF: Security Application Manager (SAM) e Security Rules Manager (SRM). O Security Application Manager é um guarda-chuva de políticas que facilita o gerenciamento desse fluxo complexo de atualizações de segurança em toda a pilha de aplicativos. Esse recurso é mais valioso quando você tem vários aplicativos em execução em diferentes pilhas de software e plataformas, cada um com diferentes atualizações, patches, vulnerabilidades e equipes de desenvolvimento.

SAM permite que você replique o comportamento em uma regra. Economiza tempo, é mais eficiente e é mais rápido. Agora, você não precisa gerenciar tantas regras.

SAM, trabalhando com o SRM, protege seus aplicativos contra tráfego malicioso e indesejado.

Na versão anterior, a proteção de sites exigiu alterações em diferentes seções do Media Control Center. Para configurar regras WAF, tivemos que adicionar regras para uma instância WAF no mecanismo de regras, configurar um perfil e ações no Gerenciador de instâncias WAF e definir políticas no Gerenciador de perfis WAF. Para configurar a limitação de taxa, tivemos que configurar regras para a correspondência de nome de host e caminho, condições, limites e aplicação em uma seção diferente.

Figura 1: Na versão anterior, você precisava configurar instâncias dentro do Media Control Center Rule Builder e do Media Control Center Security, anotados abaixo.

Figura 2: Segurança da Central de Controle de Mídia.

Na nova versão, simplificamos essa abordagem colocando todas as configurações na seção Segurança do Media Control Center, onde você encontrará o SRM e o SAM.

Figura 3: Gerenciador de regras de segurança.

A plataforma SRM inclui todas as regras de proteção: Regras de Acesso, Regras Gerenciadas, Regras de Taxa e Regras Personalizadas.

O SAM define todas as suas aplicações específicas e como elas devem ser protegidas. Ele define os aplicativos a serem protegidos, as regras do SRM que ele usará e o tipo de ação que deve ocorrer quando a regra for acionada.

Há muitas vantagens para esta solução de segurança modularizada:

  • Você pode implantar alterações mais rapidamente.
  • A administração é mais modular e intuitiva. Podemos especificar quais regras se aplicam a um nome de host e caminho de URL específico.
  • Você pode economizar tempo configurando regras uma vez e usando-as em vários aplicativos.
  • A proteção é mais flexível e permite criar e implantar regras personalizadas.
  • Você ainda pode usar todos os benefícios da versão anterior, como o modo Dual WAF.

Por fim, a plataforma WAF é agora uma solução autônoma, operando independentemente de quaisquer outras configurações CDN.

Vamos ver o novo WAF em ação.

Neste exemplo, protegeremos três aplicativos para uma empresa hipotética: Um blog, um fórum e uma API. Usaremos os seguintes domínios:

  • blog.example.com
  • forums.example.com
  • api.example.com

Criaremos uma regra de acesso, uma regra gerenciada e uma regra de taxa e compartilharemos em todos os aplicativos. Vamos criar uma segunda regra de taxa usada apenas pelo aplicativo da API.

O primeiro passo é criar uma nova regra de acesso.

Nós nomeamos esta regra de acesso “Todas as propriedades ACL”. E nós não desmarcámos HEAD em Métodos HTTP permitidos para bloquear quaisquer solicitações USANDO HEAD.

Figura 4: Criar uma nova regra de acesso.

Em seguida, criamos uma nova Regra de Taxa.

Nós nomeamos esta regra de taxa de “Todas as propriedades RL” e a aplicamos à propriedade “endereço IP e agente do usuário” com um limite de taxa de 50 solicitações por minuto.

Figura 5: Criar uma nova regra de taxa.

Em seguida, criamos outra regra de taxa para ser usada apenas para o aplicativo API.

Nós nomeamos esta regra de taxa de “API RL” e a aplicamos à propriedade “endereço IP e agente do usuário” com um limite de taxa de 10 solicitações por minuto.

Figura 6: Criar uma nova regra de taxa.

Finalmente, criamos uma nova regra gerenciada.

Nomeamos esta regra “Todas as Propriedades Gerenciadas” e aceitamos todos os padrões na guia Configurações. Na guia Políticas, optamos por optar automaticamente pelo conjunto de regras mais recente do Edgio para que ele use automaticamente a versão mais atual.

Figura 7: Criar uma nova regra gerenciada.

Agora que criamos as regras no SRM, criaremos três novas aplicações no SAM. Um aplicativo cada para o blog, fórum e aplicativos de API.

Para cada novo aplicativo, estamos inserindo o nome de host específico (como blog.example.com) e deixando caminho(s) de URL como padrão, para que ele corresponda em todos os caminhos.

Na seção Regras para cada SAM, reutilizaremos a regra de acesso ACL Todas as Propriedades, a regra de todas as Propriedades gerenciadas gerenciadas gerenciadas e a regra de taxa RL Todas as Propriedades que criamos no SRM. Escolhemos Bloquear solicitação como a ação a ser executada quando a regra for acionada.

Figura 8: Aplicar todas as propriedades ACL Access Rule.

Vamos aplicar a regra de taxa API RL apenas para o aplicativo API. Fazemos isso editando o aplicativo API para incluir esta regra adicional. O pedido é importante aqui, então arrastamos e soltamos a regra de API RL para o topo.

Figura 9: Aplicar regra de limitação de taxa de API.

Por fim, temos a visão final de nossa configuração SAM, mostrando Regras de Acesso, Regras de Taxa e Regras Gerenciadas para cada aplicativo.

Figura 10: Resumo da configuração do Security Application Manager.

Agora você sabe como criar regras no Security Rules Manager e aplicá-las aos aplicativos Security Application Manager. Recomendamos que você explore as muitas opções e recursos disponíveis para proteger seus aplicativos com o SAM.

Vamos nos conetar hoje para obter ainda mais detalhes sobre nossas soluções de segurança, incluindo nosso WAF.