¿Cuáles son las mejores prácticas de seguridad para determinar si WAF debería redirigir el tráfico de Internet a la red en la nube como cifrado o no cifrado?
La mejor práctica es cifrar todo el tráfico, especialmente si toca algún equipo de red que no controle completamente.
Si el WAF está en una LAN diferente a la red del servidor, ¿por qué no lo cifraría? Si sus servidores aceptan tráfico sin cifrar, en gran medida hace que el WAF sea redundante: un actor malintencionado podría simplemente enviar el tráfico directamente.
Incluso ha habido casos de agencias de seguridad que acceden al tráfico dentro de las comunicaciones internas . Google ahora no confía absolutamente nada .
Lea otras preguntas en las etiquetas waf