Ir al contenido principal
Ver todos los productos
Calcular
Almacenamiento
Bases de datos
Conexión
Herramientas para desarrolladores
Distribución
Seguridad
Servicios
Sectores
Precios
Comunidad
Habla con nosotros
Explorar el blog
Categorías
13
  1. Panorama de la nube
    50
  2. Calcular
    15
  3. Contenedores (Kubernetes, Docker)
    33
  4. Bases de datos
    20
  5. Herramientas para desarrolladores
    38
  6. Linode
    257
  7. Linux
    69
  8. Multicloud
    4
  9. Conexión
    32
  10. Código Abierto
    6
  11. Red de socios
    7
  12. Seguridad
    60
  13. Almacenamiento
    22
Autores 53
  1. Austin Gil 1
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Bradley LaBoon 1
  9. Blair Lyon 11
  10. Billy Thompson 10
  11. Christopher Aker 175
  12. Cassie Bubnis 1
  13. Daniele Polencic 4
  14. David Monschein 2
  15. David Rodriguez 1
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 1
  23. Justin Cobbett 16
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 52
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 18
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Rick Myers 7
  45. Richard Tubb 1
  46. Sal Carrasco 1
  47. Salman Iqbal 1
  48. Shawn Michels 1
  49. Linode Support 13
  50. Tom Asaro 18
  51. Travis Baka 1
  52. Talia Nassi 8
  53. Yuri Goldfeld 1
BlogSeguridadAumente la seguridad de las aplicaciones con un cortafuegos de aplicaciones web

Aumente la seguridad de las aplicaciones con un cortafuegos de aplicaciones Web

Maddie Presland
Maddie Presland
16 de marzo de 2023
Visión general del cortafuegos de aplicaciones web Cabecera

Para las aplicaciones de todos los tamaños que se ejecutan en la nube, la seguridad es un modelo de responsabilidad compartida. Su proveedor de nube garantiza un nivel de seguridad en los niveles más amplios de red y host, pero cuando se trata de proteger sus cargas de trabajo, cada desarrollador debe comprender las capas de seguridad disponibles.

¿Qué es un WAF?

Un cortafuegos de aplicaciones web (WAF) impide que el tráfico malicioso interactúe con una aplicación y protege los datos de accesos no autorizados. No debe confundirse con nuestro Cloud Firewall que crea una capa de protección en el nivel TCP/IP, el propósito de un cortafuegos de aplicaciones web es crear reglas bien ajustadas y detección de comportamientos para proteger qué tipo de tráfico puede llegar realmente a la capa de aplicación. Las aplicaciones web son vulnerables a ataques como cross-site scripting e inyecciones SQL que pueden eludir configuraciones de seguridad más amplias a nivel de red.

Cloud Firewall - Diagrama WAF
Nuestro Cloud Firewall es una protección a nivel de Capa 3 (Red), mientras que un WAF es una protección a nivel de Capa 7 (Aplicación). Tenga en cuenta que puede tener WAFs de red, basados en la nube o basados en host. El ejemplo anterior se asemeja a un WAF basado en host con el cortafuegos residiendo en la pila de aplicaciones.

He aquí una comparación con el mundo real. Un WAF es similar al papel de la seguridad de un edificio cuando entras en él como invitado. La seguridad procede a...

  • Infórmese sobre el motivo de su entrada
  • Admitir o denegar el acceso a zonas específicas del edificio con una tarjeta de identificación o un pase de invitado
  • Esté alerta ante cualquier comportamiento sospechoso mientras se encuentre en el edificio
  • Recoja su placa a la salida
  • Nota cuando saliste

Para una aplicación con un WAF, el guardia de seguridad representa el comportamiento básico y los objetivos del WAF, pero para monitorizar el tráfico web.

Cuándo utilizar un WAF

A medida que su aplicación evoluciona, es posible que empiece a manejar un mayor volumen de datos y diferentes clases de datos sensibles. Estas son algunas cuestiones importantes que debes tener en cuenta a la hora de mejorar la seguridad de tu aplicación y decidir cómo implementar tus soluciones de seguridad.

  • ¿Cómo utiliza los datos su aplicación?
  • ¿Qué tipo de datos maneja?
  • ¿Qué otras redes tienen acceso a los datos que manejas?
  • ¿Qué les ocurriría a sus usuarios si se produjera una filtración de datos?

Esto es especialmente importante cuando se trata de información personal identificable (IPI). La IIP puede ser un único dato, como el número de identificación de un pasaporte, o varios datos que pueden revelar la identidad de una persona, como la combinación de su nombre completo y su fecha de nacimiento.

Un WAF no siempre es necesario. Si tiene una aplicación sencilla que no maneja ninguna transacción financiera, sólo recopila el correo electrónico de un usuario y requiere contraseñas cifradas para acceder al contenido, probablemente no sea esencial que ejecute un WAF. Por ejemplo, un calendario básico o una aplicación de programación de citas; un WAF no protegería aún más esta información básica.

Si está ejecutando una pequeña aplicación con una cantidad moderada de transacciones PII, la implementación de un WAF puede ser valiosa. Incluso un volumen de transacciones moderado tiene el potencial de ser el objetivo específico de los actores maliciosos. Además, si hay alguna expectativa de escalar su aplicación, tener un WAF en su lugar asegurará los datos de su usuario y reducirá el nivel de esfuerzo para aumentar su volumen de transacciones en el futuro. 

Para el comercio electrónico de gran volumen u otras aplicaciones que procesan y almacenan grandes cantidades de información confidencial, se necesita más seguridad. Esto incluye implementar un WAF robusto. Este tipo de aplicaciones son los pesos pesados en los que se puede pensar cuando se trata de datos que necesitan una protección potente: instituciones financieras, proveedores de atención sanitaria y entidades gubernamentales.

Selección de un WAF

La elección de un WAF depende de dos factores clave: el nivel de cumplimiento exigido por los datos que maneja su aplicación, y si su carga de trabajo se adapta mejor a una solución autogestionada frente a ceder todo el control a una empresa de seguridad de confianza que cuente con la experiencia y los cumplimientos necesarios.

Al igual que otros servicios tecnológicos, las soluciones WAF son una mezcla de soluciones autogestionadas y gestionadas por proveedores. Hay WAF gratuitos de código abierto que requieren gestión y actualizaciones, lo que es una buena opción para los desarrolladores que desean un nivel de control más preciso. 

Las cargas de trabajo más grandes y las aplicaciones que manejan datos confidenciales se benefician de las soluciones gestionadas por proveedores que se actualizan activamente en función de la información más reciente sobre amenazas y posibles vulnerabilidades. Las empresas de ciberseguridad reputadas enumeran y mantienen sus niveles de conformidad, lo que determinará si sus productos son conformes al interactuar con su aplicación. Esta es la misma consideración a la hora de elegir un proveedor de nube para alojar la aplicación y los datos en sí.

Las diferentes soluciones WAF incluyen características adicionales como la profundidad de la monitorización (incluida la capacidad de obtener actualizaciones en tiempo real), la retención de registros y las integraciones con el resto de su pila tecnológica o empresarial.

Encuentre la solución WAF adecuada

Ofrecemos distintos niveles de soluciones WAF para que pueda encontrar la más adecuada tanto si está empezando con una solución autogestionada de código abierto como si su aplicación requiere una protección potente.

Para un WAF bastante básico que proteja su aplicación de ataques importantes y proporcione algo de monitorización, el WAF comunitario Haltdos es un lugar excelente para empezar. Haltdos es una solución autogestionada con una GUI intuitiva donde puedes ver el volumen de peticiones entrantes, direcciones IP y las principales IPs atacantes para monitorizar el riesgo.

Despliegue a través de Linode Marketplace | Instalar en un recurso existente | Más información

Para las cargas de trabajo empresariales y las aplicaciones de mayor tamaño que manejan información personal, la página App & API Protector de Akamai protege las aplicaciones y las redes de API frente a una amplia gama de amenazas, incluidas las vulnerabilidades incluidas en el Top 10 de Seguridad de API de OWASP. App & API Protector utiliza análisis de aprendizaje automático y datos de los equipos de inteligencia y mitigación de amenazas de Akamai para reforzar la seguridad de forma continua, manteniéndose al día de las amenazas, normas y demandas de seguridad.

Descargar el informe Gartner sobre WAAP | Más información

También te puede gustar...

Cómo protegerse de los ataques de ransomware con Steve Winterfeld, imagen destacada.

Cómo protegerse de los ataques de ransomware | Steve Winterfeld, Akamai

En este vídeo, Steve Winterfeld, CISO asesor de Akamai, comparte consejos sobre cómo pueden protegerse las empresas de los ataques de ransomware.
Seguridad
Wazuh es una central de ciberseguridad que ofrece Code with Harry.

Wazuh es un centro neurálgico de ciberseguridad | Expertos en seguridad de código abierto Monitoring & Response

@CodeWithHarry cubre Wazuh, una plataforma de seguridad de código abierto utilizada para recopilar y analizar datos de seguridad.
Seguridad
Introducción a la seguridad de los servidores.
Talia Nassi

Introducción a la seguridad de los servidores

30 de octubre de 2023
por Talia Nassi
La seguridad de los servidores es vital para un entorno de nube eficaz. Infórmese sobre ello aquí.
Seguridad

Comentarios

Dejar una respuesta

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.