Actualmente estoy evaluando diferentes enfoques para implementar un firewall de aplicación web (WAF) en nuestra arquitectura. Necesitamos el WAF debido a PCI DSS.
Preferiría usar un WAF basado en la nube (por ejemplo, CloudFlare o Incapsula). Sin embargo, tengo algunas dudas sobre si cumpliría con PCI.
La configuración es la siguiente:
Cliente --- > WAF --- > Servidor de origen
El servidor de origen (nuestro servidor web) puede verificar la dirección IP de origen para proteger el servidor. Sin embargo, la dirección IP de origen puede ser falsificada y, por lo tanto, un atacante puede omitir el WAF.
Según la respuesta Es ¿Es posible pasar el protocolo de enlace TCP con una dirección IP falsificada? teóricamente es posible una falsificación de la capa 7 (que el WAF debería proteger). En la práctica no parece ser un ataque factible.
¿Es compatible WAF PCI basado en la nube o no?
EDITAR: Para esta pregunta específica descubrí que CloudFlare proporciona autenticación de certificado de cliente. Esto fue agregado en los últimos días: enlace Sin embargo, otras preguntas siguen sin respuesta.