Web Application Firewall (WAF) vs Next Generation Firewall (NGFW): ¿Cuál es la diferencia?
Hay una serie de cuestiones que alimentan la confusión en torno a los NGFW y los WAF. En primer lugar, como ambas tecnologías se denominan firewalls, algunas personas pueden pensar que son similares. Y como los NGFW son una evolución de los firewalls de red tradicionales, los términos se utilizan a veces de forma intercambiable. Sin embargo, aunque ambas tecnologías sirven para inspeccionar y detener intrusiones maliciosas, cada una ofrece una capa de protección diferente.
Podemos pensar en un NGFW como la entrada de un hotel y en el WAF como la llave de una habitación de hotel.
Adelantarse a la próxima filtración de datos o ataque DDoS significa mantenerse alerta y tomar decisiones en tiempo real a la hora de desplegar las defensas de la red y las aplicaciones.
¿Cuál es la diferencia entre WAF y NGFW?
WAF (firewall de aplicación web)
Un firewall de aplicaciones web (WAF) es un tipo de firewall que supervisa, filtra o bloquea el tráfico HTTP hacia y desde una aplicación web. Se diferencia de un firewall normal en que puede filtrar el contenido de aplicaciones web específicas, mientras que un firewall de red protege el tráfico entre los servidores. Al inspeccionar el tráfico HTTP un WAF protege a las aplicaciones web contra ataques como los de inyección SQL, XSS y falsificación de petición de sitios cruzados (CSRF).
Por lo general es consciente del usuario, la sesión y la aplicación y conoce las aplicaciones web que hay detrás y los servicios que ofrecen. Por ello se puede considerar al WAF como un intermediario entre el usuario y la propia aplicación, que analiza todas las comunicaciones antes de que lleguen a la aplicación o al usuario. Los WAF tradicionales garantizan que solo se puedan realizar las acciones permitidas (en función de la política de seguridad). Para muchas organizaciones, las WAF son una primera línea de defensa fiable para las aplicaciones, especialmente para protegerse contra el OWASP Top 10.
NGFW (firewall de última generación)
Vigila el tráfico que sale a Internet (a través de sitios web, cuentas de correo electrónico y SaaS). En pocas palabras, protege al usuario (frente a la aplicación web). El NGFW obliga a cumplir las políticas basadas en el usuario y agrega contexto a las políticas de seguridad, aparte de otras funciones como el filtrado de URL, antivirus/anti-malware, y potencialmente, sus propios sistemas de prevención de intrusos (IPS). Mientras que el WAF suele ser un proxy inverso (utilizado por los servidores), el NGFW suele ser un proxy de avance (utilizado por clientes como navegador).
Los firewalls tradicionales se dividen en tres funciones:
Filtrar, inspeccionar y permitir o no. Mientras que los firewall NGFW ofrecen una serie de protección adicional como la detección y prevención de malware y ataques DDoS, los WAF ofrecen protección contra las amenazas web (como el intento del hack mediante phishing).
WAF Vs Firewall:
Los firewalls de red tradicionales mitigan o impiden el acceso no autorizado a las redes privadas. Las políticas del firewall definen el tráfico permitido en la red, y cualquier otro intento de acceso se bloquea. Ejemplos de tráfico de red que esto ayuda a prevenir son los usuarios no autorizados y los ataques de usuarios o dispositivos en zonas menos seguras.
Un WAF se centra específicamente en el tráfico de aplicaciones. Protege el tráfico y las aplicaciones HTTP y del Protocolo de Transferencia de Hipertexto Seguro (HTTPS) en las zonas de la red orientadas a Internet. Esto protege a las empresas contra amenazas como los ataques de secuencias de comandos entre sitios (XSS), los ataques de denegación de servicio distribuidos (DDoS) y los ataques de inyección SQL.
WAF basado en dispositivo o WAF basado en cloud.
Los Appliance WAF tradicionales on-premise han evolucionado hacia servicios basados en la nube y conjuntos de funciones más amplios.
La diferencia fundamental entre el WAF en la nube y el WAF on-prem es la forma en que se implementan. A un WAF en la nube se accede a través de una interfaz web o una aplicación móvil y se proporciona como software como servicio (SaaS); mientras que un WAF on-prem se ejecuta en su centro de datos, o como una máquina virtual dentro de su presencia en la nube de infraestructura como servicio (IaaS), a la que, cuando está fuera de la red de área local, se accede a través de LAN y VPN. Hay pros y contras en ambos casos.
Las implementaciones de WAF basadas en la nube suelen ser más rápidas que las opciones de WAF on-prem. La implementación de WAF en las instalaciones puede llevar hasta varios meses dependiendo del tamaño de la empresa, el número de usuarios, las distintas ubicaciones en las que se debería implementar y las customizaciones únicas necesarias. Las implementaciones de WAF basadas en la nube suelen ser considerablemente más rápidas, en parte porque ofrecen menos oportunidades de personalización.
Ambas tecnologías son importantes
Dados los diversos puntos potenciales de intrusión tanto en una red como en una aplicación web, en la mayoría de los casos es importante emplear ambas tecnologías. Tanto los NGFW como los WAF se consideran funciones de red, pero interactúan con el tráfico en puntos diferentes.
Las aplicaciones web son cada vez más el objetivo de ataques malintencionados que aprovechan vulnerabilidades habitualmente conocidas. Los scripts entre sitios y las inyecciones de código SQL están dentro de los ataques más comunes.
Los firewalls de red se basan en un conjunto de reglas básicas que cubren el tráfico en la red; los WAF cubren la aplicación. El uso conjunto de un NGFW y un WAF proporciona una cobertura más amplia. También es importante el buen seteo de estas reglas para que se actualicen automáticamente y así incluir protección frente a nuevas vulnerabilidades sin necesidad de configuración adicional.
Un firewall de red puede ayudar a detener un ataque en el borde de la red bloqueando el tráfico malicioso entrante, lo que puede beneficiar a una aplicación hasta cierto punto. El WAF detendrá ataques específicos de capa 7 contra la aplicación, ya sea un intento de explotar bibliotecas de software vulnerables o vulnerabilidades a nivel de código, como ataques de deserialización o inyección, o un ataque DDoS que tenga como objetivo los recursos informáticos de la aplicación.
Puede contactarse sin compromiso con nuestros especialistas en seguridad para que podamos analizar cómo está protegiéndose su organización en las distintas capas de seguridad corporativas.
Si no estás seguro de cómo empezar, dejá tus datos y nos contactaremos a la brevedad.
Podemos acompañarte en tus proyectos end-to-end. Trabajemos juntos.