Segurança na borda: Web Application Firewall em Nuvem

Olá! Seja bem-vindo ao VEEZOR Podcast.

Um espaço totalmente dedicado a discutir sobre as principais tecnologias em computação em nuvem, segurança, banco de dados e inteligência artificial, gestão de identidade e tantos outros temas, que serão discutidos aqui.

Quer entender como essas e outras tecnologias em cloud podem revolucionar o seu negócio?

Entre em contato pelo site veezor.com

Esse conteúdo conta com o apoio da AWS, Amazon Web Services.

Eu sou Vinicius Perrott. Seja bem-vindo ao VEEZOR Podcast!

Vinicius Perrott: Seja bem-vindo ao Veezor PodCast. Olá, você que segue aqui a nossa minissérie, nesse bate-papo, eu conto com a presença do Gustavo Ribeiro e do Diogo Dantas. Gustavo seja bem-vindo.

Gustavo Ribeiro: Obrigado. Valeu.

Perrott: Diogo seja bem-vindo.

Diogo Dantas: Obrigado pelo convite.

Perrott: Vamos lá. Pessoal, a gente tem que conversar sobre um tema que se chama WAF, Web Application Firewall. Muito utilizado ou muito almejado e desejado no ambiente on premise. Mas em nuvem é uma solução que está lá, já disponível. Mas antes da gente entrar nesse detalhe, especificamente o que é? Dá um contexto geral para o que serve, da onde vem esse tal do WAF?

Gustavo: Eu acho que para explicar WAF para quem nos assiste, nos ouve é bom a gente fazer um paralelo com o próprio Firewall, que a maior parte das pessoas conhece. Então, o Firewall, ele está ali atuando numa camada. Basicamente, você vai lidar com endereços IPs, com portas, fazer aquele bloqueio das camadas mais baixas, vamos dizer assim. O WAF, ele traz o diferencial, porque ele consegue trabalhar com assinaturas, comportamentos, principalmente na camada web. Então, para quem tem aplicações web – que hoje em dia é uma grande realidade – você consegue ter um Firewall que consegue atuar em end points, endereços, comportamentos da sua aplicação e não necessariamente na parte de rede. Então, são ferramentas que são complementares. Muitas vezes, as pessoas falam que é uma evolução do Firewall. Eu considero que é uma complementação. São duas ferramentas que atuam em camadas diferentes. E hoje o WAF – como você bem falou – na nuvem, ele está disponível. Com uma grande vantagem na nuvem. Porque hoje você adquire como um serviço. Você não precisa ter uma implantação de um appliance, fazer grandes provisionamentos. Então é uma ferramenta hoje, que qualquer um pode adotar; independente do tamanho da empresa.

Perrott: Mas então quer dizer que é um serviço já em nuvem. Eu posso trabalhar nesse conceito de complementar a minha estratégia de segurança. Visto que segurança, ultimamente, é o que está nas mídias. Todo dia, toda hora tem alguma coisa sendo noticiada em grandes canais. Então como estratégia inicial de nuvem, eu tenho o meu Firewall, lá do meu serviço. Utilizar o WAF também me complementa? Seria isso.

Diogo: É isso mesmo Perrott. O uso do Web Application Firewall, que a gente chama de WAF, não exclui o uso do próprio Firewall. Você vai ter que manter o uso do Firewall para a sua infraestrutura, da mesma forma. O Web Application Firewall vai numa camada extra – como o Gustavo já falou – e com o advento desse serviço como um serviço de nuvem facilitou muito para as empresas que, antes, não tinham um orçamento para poder adquirir, configurar, colocar para rodar o WAF num ambiente on premise. Hoje ele consegue fazer pagando como serviço. E o legal é que a maioria das soluções de WAF já vem com padrões internacionais implantados. De regras implantadas nesse WAF. Você basicamente não precisa ter um grande conhecimento no assunto, no Protocolo HTP, por exemplo, não precisa saber tantos detalhes. Porque você já tem os padrões dos principais ataques já pré-definidos na suas regras de WAF. O que você vai fazer basicamente é customizar isso para o seu ambiente.

Perrott: Massa. Então, se a gente analisar direitinho, antigamente – vamos dizer assim – no mundo on premise era tudo ou nada. Ou eu colocava uma solução para atender todo o meu data center. Mas em nuvem, pelo que vocês estão falando; eu consigo segmentar. De repente, eu posso escolher um conjunto de aplicações. Habilitar o WAF, testar, homologar, pegar o ritmo com o ambiente. E aí conseguir trazer para as minhas outras aplicações. Essa seria uma jornada mais adequada? Ou não? Tudo ou nada também tem que funcionar em nuvem?

Gustavo: Não. Você pode construir o seu WAF personalizado para cada um dos seus workloads. Então, você pode ter várias aplicações em domínios diferentes, ou, enfim, até no mesmo domínio, subdomínios. E criar regras de WAF para cada um deles. Idealmente, inclusive é importante você fazer isso: segmentar. Fazer essa segmentação. Até porque hoje os WAFs, eles evoluíram bastante. Eles podem adotar pacotes de regras – como o Diogo falou – regras que basicamente você já se adequa a padrões internacionais. Poupa seu tempo. Poupa caminho de gestão. Mas você também hoje, nesses WAFs, esses serviços de Web Application Firewall, têm serviços de inteligência artificial. Então cada aplicação com o seu volume, com as suas características, eles podem aprender como é o comportamento do usuário que realmente quer utilizar de forma positiva aquele serviço, aquela aplicação. Mas também, ele pode aprender qual o tráfego malicioso que, eventualmente, chega para aquele recurso. Então com isso é importante sim, segmentar, cada workload ter o seu WAF, ter as suas próprias regras. E aí hoje, com essas possibilidades de inteligência artificial, cada um aprender no seu próprio comportamento.

Perrott: Que legal.

Diogo: Gustavo, eu também acho que tem um detalhe aí, que alguns workloads – pode ser que para o seu negócio – eles sejam muito críticos. E se você tem um orçamento apertado, você pode escolher usar WAF somente nos workloads mais críticos, mais sensíveis. E aqueles workloads que têm informações menos sensíveis, que o negócio pode considerar menos crítico, você não aplicar a tecnologia do WAF. Isso você pode fazer também. Porque você pode usar ele por workloads.

Perrott: Então você está me falando que eu posso fazer uma arquitetura baseada por necessidades de negócio – também o budget – o orçamento da empresa. E, também, a capacidade técnica, a mão de obra. Eu não preciso estar toda hora me atualizando. Porque eu sei que as regras vão ser atualizadas de forma automática, pelo background da inteligência artificial. O que vocês comentaram é isso?

Gustavo: Isso. Exatamente. E como é um serviço, o próprio provedor de serviços, seja a nuvem; seja um provedor de serviço especializado em WAF, ele vai adicionar novas regras para você também. Ele vai adicionando novos pacotes de regras. E você ir, simplesmente, adotando essas regras. Mas é claro, é importante que cada workload tenha o seu próprio comportamento, tenha o seu próprio nível de serviço, inclusive na parte de segurança. As suas próprias demandas. E aí cabe a você adequar esse seu cenário para cada um dos seus workloads. Ter um cenário que seja mais sensível no sentido de segurança. Colocar regras mais sensíveis e mais restritas. Ou então, um workload que não necessariamente precise disso tudo, você decidir ou não, adotar o WAF. Ou adotar com regras mais simples, com regras que permitam ao usuário passar sem grandes problemas.

Perrott: Maravilha. Então fica assim pessoal. Eu queria agradecer a presença de vocês dois. E até o próximo episódio.

Podcast: Tocar em nova janela | Download

Subscribe: RSS

Tagueado como: VEEZOR Podcast.