Qual è la differenza tra Web Application Firewall (WAF) e Firewall di nuova generazione (NGFW)?

I firewall rappresentano un elemento cruciale della tecnologia che monitora e filtra il traffico internet in entrata o in uscita, con l'obiettivo finale di proteggere dalle minacce e prevenire le fughe di dati sensibili. Le aziende e le organizzazioni si affidano a questi dispositivi perché funzionino in modo coerente e affidabile, in modo da poter proteggere le risorse critiche dalle infiltrazioni.

Esistono molti tipi di firewall e ognuno di essi ha una propria funzionalità e un proprio scopo. In questo articolo, confronteremo i firewall per applicazioni web (WAF) e i firewall di nuova generazione (NGFW), per poi esplorare come includerli in una soluzione di sicurezza completa.

Che cos'è un firewall per applicazioni web (WAF)?

Un firewall per applicazioni web (WAF) è un tipo di firewall che comprende un livello di protocollo superiore (HTTP o Layer 7) del traffico in entrata tra un'applicazione web e Internet. È in grado di rilevare e rispondere alle richieste dannose prima che vengano accettate dalle applicazioni web e dai server web, offrendo così alle aziende un ulteriore livello di sicurezza.

Quando si utilizzano i WAF per proteggere le applicazioni web, in genere si definiscono regole che consentono, bloccano o monitorano le richieste web in base a determinati criteri. Ad esempio, può specificare una regola per bloccare tutte le richieste in arrivo da un determinato IP o solo le richieste che contengono intestazioni HTTP o vulnerabilità specifiche. Se vuole solo monitorare il traffico, può impostare dei monitor che contano determinati endpoint. Questa flessibilità consente agli amministratori della sicurezza di registrare rapidamente ciò che viene richiesto e di bloccare le richieste non autorizzate o indesiderate quando si verificano incidenti e compromissioni.

Grazie al fatto che i WAF comprendono un livello superiore di traffico, sono in grado di bloccare gli attacchi alle applicazioni web (tra gli altri vantaggi). Molti di questi attacchi sono strettamente correlati alla lista OWASP Top 10 , tra cui gli attacchi cross-site scripting (XSS), Scripting intersito, attacchi denial-of-service (DoS) e la fuga di credenziali o informazioni non sicure.

Che cos'è un NGFW?

Un firewall di nuova generazione (NGFW) è un tipo di firewall applicativo che combina le migliori caratteristiche di un firewall di rete tradizionale e di un firewall per applicazioni web. In genere agisce come un firewall che blocca le richieste in arrivo ispezionando i pacchetti del livello di rete, ma dispone anche di funzionalità di ispezione aggiuntive che aprono nuovi modi per bloccare il traffico indesiderato sulla sua rete privata.

Alcune di queste funzionalità riguardano l'ispezione e la terminazione TLS, il rilevamento e la prevenzione delle minacce, l'intelligence sulle minacce e la possibilità di configurare regole di filtraggio avanzate in base ai contenuti del traffico o agli URL. Il vantaggio principale di questa flessibilità è che consente agli amministratori della sicurezza di gestire scenari più avanzati e di bloccare minacce più sofisticate che derivano da vettori di attacco coordinati.

Ora che ha compreso i concetti fondamentali dei WAF e degli NGFW, le spiegheremo le loro somiglianze e differenze.

Le somiglianze e le differenze tra WAF e NGFW

È giusto dire che c'è un po' di sovrapposizione tra i WAF e gli NGFW. Entrambi utilizzano regole e motori di policy per filtrare il traffico in entrata e agire in base a determinati criteri. Entrambi sono più facili da eseguire al giorno d'oggi e, a seconda dell'offerta del fornitore, non sarà necessario acquistare un hardware dedicato per usufruire di queste funzionalità.

Si potrebbe pensare che si sovrappongano perché entrambi lavorano sui protocolli del livello applicativo, in particolare il livello 7. Questo è vero. Si può pensare ai NGFW come a un'estensione dei firewall tradizionali, con l'aggiunta della capacità di elaborare il traffico dai livelli OSI 3-4 e 7 e di sfruttare queste informazioni per intervenire prima che raggiungano un livello interno più vicino all'applicazione.

Le differenze principali risiedono nei loro modelli di responsabilità e nelle loro capacità complessive. I NGFW acquisiscono più contesto del traffico di rete, in modo da poter prevenire gli attacchi in arrivo prima che raggiungano il livello di rete. Possono anche combinare i motori di intelligence sulle minacce per assistere il processo decisionale. I WAF, invece, si limitano al livello applicativo, quindi sono specializzati nella prevenzione di attacchi basati su Web comuni come XSS e SQL injection. I WAF non possono essere utilizzati come firewall primari per la sua rete, ma sono ideali per proteggere le sue applicazioni web esposte a Internet.

Quando utilizzare i WAF rispetto agli NGFW

Vuole utilizzare i firewall per applicazioni web (WAF) per i seguenti motivi:

• Proteggono dagli attacchi specifici del livello applicativo. I WAF sono in grado di ispezionare il traffico del livello applicativo e hanno anche la capacità di proteggere dagli attacchi comuni del livello applicativo. Gli esempi includono SQL injection, XSS, DDoS e altri che figurano nella lista OWASP Top 10.
• Possono aiutarla a soddisfare i requisiti di conformità. Ad esempio, PCI DSS spiega come i WAF possano aiutare a soddisfare l'opzione 2 del requisito 6 , insieme alle pratiche di codifica sicura.

Le soluzioni firewall di nuova generazione (NGFW) proteggono dagli attacchi sia a livello di rete che di applicazione. Le loro caratteristiche principali sono:

• Possono monitorare molti livelli (OSI 3-4 e 7). Questo fornisce loro un contesto migliore e una migliore comprensione del tipo di attacco. Ad esempio, possono determinare quale applicazione è destinata a ciascun pacchetto e mettere in atto controlli supplementari. Pertanto, un NGFW può essere utilizzato come firewall primario.
• Includono strumenti e funzioni sofisticate. I NGFW possono sfruttare servizi interni o esterni per prevenire gli attacchi. Ad esempio, possono caricare i dati di intelligence sulle minacce e riconfigurare automaticamente le regole in base ai nuovi aggiornamenti.
• Possono ispezionare il traffico SSL. Gli NGFW possono agire come proxy di terminazione SSL, quindi possono ispezionare il traffico crittografato in entrata e in uscita prima che raggiunga la destinazione. Può leggere di più su questa funzione in questo articolo correlato.

Ora che ha un'idea precisa di quando utilizzare un WAF rispetto a un NGFW, vediamo come può utilizzarli entrambi per fornire una soluzione di difesa completa e approfondita.

In che modo i WAF e i NGFW si completano a vicenda?

Dato che i WAF sono dedicati alla protezione del traffico delle applicazioni web, rappresentano l'opzione ideale per proteggere i server web. Tuttavia, i WAF non sono la soluzione definitiva quando si tratta di sicurezza completa, quindi è meglio combinarli con gli NGFW.

La strategia di difesa olistica ideale consiste nell'avere un WAF configurato per proteggere dagli attacchi della OWASP Top 10, con un NGFW che agisce come un firewall di rete tradizionale, in grado di rilevare e prevenire alcuni attacchi prima che raggiungano il WAF. Utilizzando funzionalità avanzate come IDS/IPS e modellazione delle minacce, gli NGFW possono filtrare una percentuale massiccia di attacchi e lasciare il resto ai WAF.

Cosa devono considerare i clienti quando cercano una soluzione per la sicurezza delle applicazioni web?

Quando cerca una soluzione di sicurezza per le applicazioni web, deve considerare diversi fattori. In primo luogo, ha bisogno di un fornitore fidato e affidabile che offra un insieme olistico di strumenti e servizi per proteggere le sue applicazioni web. Palo Alto Networks è uno di questi fornitori che offre una serie completa e facile da usare di firewall, tra cui NGFWs e Web Application and API Security platform, che include un WAF integrato.

In secondo luogo, è necessario disporre di un'ottima documentazione e di un eccellente supporto tecnico. Gli sviluppatori e gli amministratori della sicurezza si affidano alla documentazione di riferimento per capire come configurare correttamente i firewall che aderiscono alle loro politiche di sicurezza. La documentazione deve essere aggiornata, accurata e facilmente accessibile, in modo che qualsiasi implementazione delle richieste in arrivo possa avvenire in modo efficiente con il minimo rischio di configurazione errata. Il sito docs di Palo Alto Networks è un sito di documentazione per sviluppatori robusto e facile da navigare, con elenchi approfonditi e dettagliati delle funzioni, come configurarle e informazioni sulla versione per la compatibilità.

FAQ WAF vs NGFW