Para los firewalls de capa de red tenemos diferentes tipos de comprobaciones de redundancia y consistencia, como el seguimiento de reglas, que pueden afectar el rendimiento del firewall. ¿Se pueden aplicar controles similares en WAF, tengo algunas preguntas?
Trabajo para una empresa de seguridad ( Incapsula ) y una de nuestras características de producto es un DDS PCI obediente WAF. Creo que @symcbean ya dio una gran respuesta, así que estoy aquí para agregar un poco de información a la discusión:
¿Importa el orden de las reglas?
@symcbean lo dijo todo.
Cómo se manejan las reglas inconsistentes.
Si te refieres a un escenario en el que varias reglas (relevantes) llegan a conclusiones diferentes, entonces te aconsejo que siempre vaya con el "juicio más severo".
Esto depende de usted, por supuesto. Puede ir por el otro lado e implementar un enfoque más indulgente que evitará más "falsos positivos", pero creo que, para la mayoría, la seguridad es un problema mucho más grande. Además, un buen conjunto de reglas eliminará la mayoría de los "falsos positivos" y las inconsistencias serán pocas y distantes entre sí. Para SAAS, debe tener muchas opciones de personalización para anular las reglas predeterminadas del sistema, pero la configuración predeterminada aún debe estar orientada hacia la máxima seguridad.
Cómo se elimina la redundancia del conjunto de reglas
Como se indicó anteriormente, no debería haber redundancia en su conjunto de reglas.
Se pueden omitir las reglas para las firmas estáticas de la capa de aplicación
Sí. Por ejemplo, en Incapsula usamos reglas de optimización de aplicaciones que identifican las aplicaciones y plataformas utilizadas comúnmente y modifican el comportamiento en consecuencia. (es decir, optimización para WP, Joomla, extensiones populares y complementos, etc.) No estoy abogando por la optimización para todos los escenarios posibles aquí (simplemente inefectivo) pero si está pensando en el marketing masivo, al menos debería cubrir las plataformas más comunes / aplicaciones
La mejor de las suertes
¿Importa el orden de las reglas?
Por supuesto. Se trata principalmente de rendimiento.
Incluso si su firewall solo implementa una política de aceptación / rechazo (podría, por ejemplo, decidir enviar la solicitud a otra parte), el tiempo que tomará decidir qué hacer con él dependerá de la cantidad de reglas tiene que procesarse para alcanzar una decisión y el esfuerzo requerido para resolver esas preguntas. Por lo tanto, el pedido tiene un gran impacto en el rendimiento.
Además, la mayoría de estos firewalls se benefician de reglas difusas: una sola regla (o incluso una sola solicitud web en sesión) puede no tener suficiente información para determinar si una solicitud debe procesarse o no, por lo tanto, el firewall mantiene mucho más estado que un firewall de capa 5 con estado.
Cómo se manejan las reglas inconsistentes.
No tengo idea de lo que quieres decir con esto.
Cómo se elimina la redundancia del conjunto de reglas
Por diseño.
Se pueden omitir las reglas para las firmas estáticas de la capa de aplicación
Sí, si configura las reglas para permitir esto.
Lea otras preguntas en las etiquetas web-application firewalls waf mod-security