¿Qué es un Cortafuegos de Aplicación Web (WAF)?
El Estándar de Seguridad PCI, particularmente en la sección de revisión de código del Requerimiento 6, ha hecho que muchas compañías consideren la compra de un Cortafuegos de Aplicación Web (WAF).
Pero si está apurado por encontrar un WAF para sus necesidades de cumplimiento de normas, ¿cómo sabe cuales son las características críticas? Las compañías necesitan considerar múltiples factores antes de realizar una compra o se arriesgarán a cometer un error caro. En esta serie de consejos, les mostraremos como elegir un cortafuegos de aplicación que se adapte bien a su organización.
Un cortafuegos de aplicación Web o cortafuegos de capa de aplicación, ubicado entre el cliente Web y un servidor Web, analiza las comunicaciones en la capa de aplicación y busca acciones que violen una política de seguridad predeterminada. De tal manera, el dispositivo defiende a las aplicaciones Web de ataques y previene potenciales fugas de información. Las funciones del WAF no deben confundirse con la de los sistemas de prevención y detección de intrusiones (IDS/IPS) y los cortafuegos de red, que protegen el perímetro de la red.
Pero antes de comprar un cortafuego de aplicación Web, recuerde que el cumplimiento de normas requiere más que simplemente instalar un producto WAF al frente de sus servidores Web. Y, además, querrá mejorar su inversión para aumentar la seguridad de la empresa, ¿cierto? Para ayudarlo a tomar la decisión correcta, lo aconsejaremos sobre los puntos clave en la evaluación de productos. Ya que la compra del producto correcto es solo el comienzo, también deseará saber algo sobre la instalación apropiada y la administración de su WAF de modo que su compañía efectivamente cumpla con las normas y sea (un tanto) segura.
Que hay que conocer sobre proyectos de cortafuegos de aplicación Web
Siempre que se introducen requerimientos de seguridad o de la legislación, aquellos que se ocupan de asegurar el cumplimiento tienden a menudo a apurarse en un proceso de toma de decisiones. Muchos administradores de sistemas basan su decisión en que producto instalar basándose solamente en la capacidad de ventas de un solo proveedor o un requerimiento o característica en particular que detectaron.
El resultado muy probablemente serán medidas de seguridad inapropiadas o menos que optimas. Aún un plazo muy ajustado no lo absuelve de la diligencia debida. Para elegir un dispositivo de seguridad tal como un cortafuegos de aplicación Web (WAF), neceita responder las siguientes preguntas:
Como cada aplicación Web es única, la seguridad debe ser hecha a la medida para proteger de potenciales amenazas identificadas durante el modelado de riesgos de su ciclo de vida del programa de desarrollo. Revise cuales de estas amenazas el WAF a considerar lo protege, tales como el análisis de parámetros pasados mediante cookies o URLs y proveyendo defensa contra todas las vulnerabilidades principales del OWASP, así como también cualquier requerimiento adicional que mande el cumplimiento de normas.
Vea También: Cortafuegos de aplicaciones web (WAF) Cómo proteger sus aplicaciones web
Traducción exclusiva de Segu-info: Raúl Batista
Autor: Michael Cobb
Fuente: SeachSecurity UK
Pero si está apurado por encontrar un WAF para sus necesidades de cumplimiento de normas, ¿cómo sabe cuales son las características críticas? Las compañías necesitan considerar múltiples factores antes de realizar una compra o se arriesgarán a cometer un error caro. En esta serie de consejos, les mostraremos como elegir un cortafuegos de aplicación que se adapte bien a su organización.
Un cortafuegos de aplicación Web o cortafuegos de capa de aplicación, ubicado entre el cliente Web y un servidor Web, analiza las comunicaciones en la capa de aplicación y busca acciones que violen una política de seguridad predeterminada. De tal manera, el dispositivo defiende a las aplicaciones Web de ataques y previene potenciales fugas de información. Las funciones del WAF no deben confundirse con la de los sistemas de prevención y detección de intrusiones (IDS/IPS) y los cortafuegos de red, que protegen el perímetro de la red.
Pero antes de comprar un cortafuego de aplicación Web, recuerde que el cumplimiento de normas requiere más que simplemente instalar un producto WAF al frente de sus servidores Web. Y, además, querrá mejorar su inversión para aumentar la seguridad de la empresa, ¿cierto? Para ayudarlo a tomar la decisión correcta, lo aconsejaremos sobre los puntos clave en la evaluación de productos. Ya que la compra del producto correcto es solo el comienzo, también deseará saber algo sobre la instalación apropiada y la administración de su WAF de modo que su compañía efectivamente cumpla con las normas y sea (un tanto) segura.
Que hay que conocer sobre proyectos de cortafuegos de aplicación Web
Siempre que se introducen requerimientos de seguridad o de la legislación, aquellos que se ocupan de asegurar el cumplimiento tienden a menudo a apurarse en un proceso de toma de decisiones. Muchos administradores de sistemas basan su decisión en que producto instalar basándose solamente en la capacidad de ventas de un solo proveedor o un requerimiento o característica en particular que detectaron.
El resultado muy probablemente serán medidas de seguridad inapropiadas o menos que optimas. Aún un plazo muy ajustado no lo absuelve de la diligencia debida. Para elegir un dispositivo de seguridad tal como un cortafuegos de aplicación Web (WAF), neceita responder las siguientes preguntas:
- ¿Qué necesita hacer basado en sus objetivos de política de seguridad y requerimientos legales?
- ¿Qué servicios adicionales serían valiosos?
- ¿Cómo encajará en su red existente, tiene las habilidades técnicas propias para usarlo correcta y efectivamente?
- ¿Cómo afectará a los servicios y usuarios existentes y a que costo?
Como cada aplicación Web es única, la seguridad debe ser hecha a la medida para proteger de potenciales amenazas identificadas durante el modelado de riesgos de su ciclo de vida del programa de desarrollo. Revise cuales de estas amenazas el WAF a considerar lo protege, tales como el análisis de parámetros pasados mediante cookies o URLs y proveyendo defensa contra todas las vulnerabilidades principales del OWASP, así como también cualquier requerimiento adicional que mande el cumplimiento de normas.
Vea También: Cortafuegos de aplicaciones web (WAF) Cómo proteger sus aplicaciones web
Traducción exclusiva de Segu-info: Raúl Batista
Autor: Michael Cobb
Fuente: SeachSecurity UK
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5
-
Posts Relacionados:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!