WAF basado en la nube

5

Actualmente estoy evaluando diferentes enfoques para implementar un firewall de aplicación web (WAF) en nuestra arquitectura. Necesitamos el WAF debido a PCI DSS.

Preferiría usar un WAF basado en la nube (por ejemplo, CloudFlare o Incapsula). Sin embargo, tengo algunas dudas sobre si cumpliría con PCI.

La configuración es la siguiente:

Cliente --- > WAF --- > Servidor de origen

El servidor de origen (nuestro servidor web) puede verificar la dirección IP de origen para proteger el servidor. Sin embargo, la dirección IP de origen puede ser falsificada y, por lo tanto, un atacante puede omitir el WAF.

Según la respuesta Es ¿Es posible pasar el protocolo de enlace TCP con una dirección IP falsificada? teóricamente es posible una falsificación de la capa 7 (que el WAF debería proteger). En la práctica no parece ser un ataque factible.

¿Es compatible WAF PCI basado en la nube o no?

EDITAR: Para esta pregunta específica descubrí que CloudFlare proporciona autenticación de certificado de cliente. Esto fue agregado en los últimos días: enlace Sin embargo, otras preguntas siguen sin respuesta.

    
pregunta Thomas Hunziker 17.02.2015 - 18:32
fuente

3 respuestas

3

Debería pensar que un QSA estará satisfecho de que no se puedan falsificar las direcciones IP para evitar un dispositivo que funciona en la capa de aplicación.

Siempre que pueda probar que el acceso está correctamente bloqueado a los rangos de IP correctos, ya que Cloudflare es compatible con PCI, espero que esto esté bien.

También tenga en cuenta que no es necesario que tenga un WAF si realiza evaluaciones de vulnerabilidad y análisis de su infraestructura web al menos una vez al año y en cada implementación (énfasis mío):

  

6.6 Para las aplicaciones web públicas, aborde las nuevas amenazas y vulnerabilidades de forma continua y asegúrese de que estas aplicaciones sean   protegido contra ataques conocidos por cualquiera de los siguientes métodos:

     
  • Revisión de aplicaciones web de orientación pública mediante manual o automatizado   herramientas o métodos de evaluación de seguridad de vulnerabilidad de la aplicación, a   menos anualmente y después de cualquier cambio Nota: Esta evaluación no es la   igual que las exploraciones de vulnerabilidad realizadas para el Requisito 11.2.

  •   
  • Instalando una solución técnica automatizada que detecta y previene   Ataques basados en web (por ejemplo, un firewall de aplicación web) en frente   de aplicaciones web públicas, para verificar continuamente todo el tráfico.

  •   
    
respondido por el SilverlightFox 18.02.2015 - 12:28
fuente
2

Es posible que desee consultar a un experto en persona, ya que el cumplimiento de PCI es una especialidad en sí mismo, sin embargo, al menos Cloud Flare sugiere que cumplen con PCI:

enlace

Parece que se sometieron a algunas pruebas estrictas para obtener la certificación, por lo que si tiene que tomar una decisión rápida, parece que puede estar bien. Sin embargo, consultaría personalmente a un experto absoluto en el proceso.

    
respondido por el baordog 17.02.2015 - 19:15
fuente
1

Revelación completa, trabajo para Incapsula, somos un proveedor de WAF en la nube.

Para responder a tus preguntas

  1. Para pasar un protocolo de enlace TCP con una IP falsificada, deberá tener el control del enrutador, lo que significa que debe estar en una posición similar a la de un ISP. Para obtener más información, consulte la respuesta de @gowenfawr en esta discusión (también vinculada en el OP). En resumen, aunque teóricamente es posible, el acceso que le permitiría pasar un protocolo de enlace TCP con una dirección falsificada le permitiría hacer mucho (mucho) peor.

  2. Sí, los WAF en la nube pueden ser compatibles con PCI. Nuestro producto es, y fue así por más de 3 años:
    enlace

    Esto significa que puede usar el producto para cumplir con la cláusula temida 6.6, que requiere que use un WAF compatible con PCI o que se someta a revisiones periódicas de códigos de aplicación (después de cada actualización).

respondido por el Igal Zeifman 19.07.2015 - 08:22
fuente

Lea otras preguntas en las etiquetas