Sicurezza

Rendere sicure le applicazioni online con il Web Application Firewall

Il WAF analizza le transazioni su Internet ed è in grado di comprendere i messaggi, la logica applicativa e i meccanismi di sicurezza. I principi di funzionamento e il ruolo all’interno delle policy di sicurezza aziendali

Pubblicato il 16 Gen 2014

Redazione TechCompany360

sicurezza-130801120317

Storicamente la sicurezza delle reti che si affacciano su Internet si è concentrata soprattutto sul controllo dell’accesso a reti e applicazioni, circoscrivendolo agli utenti e ai flussi di traffico autenticati ed autorizzati.


Il ruolo del firewall
Con i firewall, si filtra il traffico in entrata e uscita dalla rete, analizzando ogni flusso e intraprendendo le azioni necessarie in base a policy di sicurezza che determinano quali pacchetti possano passare attraverso la rete e quali invece debbano essere scartati, stabilendo dei “posti di blocco” tra una rete interna sicura e una rete esterna meno affidabile. Un ruolo cruciale, dunque.

Tuttavia, il firewall tradizionale è rimasto “poco intelligente” nei confronti dei contesti e dei comportamenti delle applicazioni, ispezionando ben poco il contenuto del traffico e concentrandosi quasi esclusivamente sulla legittimità di mittente e destinatario. Il firewall è stato così gradualmente affiancato da un mucchio di soluzioni specifiche: secure proxy, stateful inspection firewall, Intrusion Detection System, Intrusion Prevention System, antivirus, URL filtering, antimalware e infine i Next Generation Firewall.

Il firewall è così diventato una componente di un sempre più specializzato e intelligente scenario della sicurezza IT.

E’ dal 1995, però, che esplode il problema del traffico associato ad applicazioni Web, cioè dall’affermazione di Amazon.com: da allora, il traffico internet è cresciuto esponenzialmente passando da 180 terabyte (tera = 10 alla 12esima) al mese agli oltre 43 exabyte (exa = 10 alla 18esima) al mese registrati nel 2012.

Il traffico Web “nascosto”, il relativo controllo e la protezione delle risorse Web sono così diventati un serio problema. Difficilmente risolvibile per gli stateful inspection firewall.


L’avvento dei Web Application Firewall (WAF)
Così, nella mitigazione delle minacce a livello applicativo, si è registrato un ritorno dagli stateful firewall ai gateway proxy-based, con firewall Layer 7 dedicati che si posizionano nel mezzo del percorso delle transazioni, e che sono in grado di comprendere i messaggi, la logica applicativa, i meccanismi di sicurezza di questo ambiente come ad esempio i cookie, e che possono individuare le tecniche più comunemente utilizzate per sfruttare le vulnerabilità di questo contesto.

Questi proxy altamente specializzati, quando trattano traffico HTTP, sono chiamati Web Application Firewall (WAF).

Il WAF è, in pratica, una piattaforma progettata appositamente per gestire la logica della messaggistica delle applicazioni Web. Una piattaforma che sta rapidamente diventando obbligatoria per proteggere ogni genere di presenza Web su Internet, in particolare laddove le transazioni includono dati sensibili o finanziari.

Sebbene introdotti già verso la fine degli anni ‘90, solo di recente i WAF hanno assunto un ruolo primario anche per merito delle nuove normative che regolano i pagamenti online.

Le specifiche Payment Card Industry Data Security Standard (PCI DSS), per esempio, indicano esplicitamente i WAF come uno dei metodi ammessi per proteggere le transazioni finanziarie condotte attraverso il Web.

Oggi i WAF appaiono sempre più sotto forma di componenti integrate all’interno di soluzioni di sicurezza perimetrali più ampie, o su punti di aggregazione Web ad alte prestazioni, come Application Delivery Controller (ADC) e Unified Application Service Gateway (UASG).

Un ADC deve per definizione capire il traffico Web e i relativi contesti di sicurezza e rappresenta quindi una collocazione naturale per un modulo WAF come parte della catena di servizi.

Laddove un WAF viene implementato all’interno di un ADC o uno UASG, i vantaggi sono evidenti, in particolare quando si considerino funzionalità complementari come SSL Offload, che utilizza l’ADC per terminare le transazioni SSL (cifrate), semplificare la gestione dei certificati e alleggerire la Web farm da funzioni particolarmente pesanti in termini di potenza di calcolo.

In questa condizione il sistema UASG è in grado di leggere il contenuto del traffico SSL (HTTPS) e di manipolarlo o intraprendere decisioni sulla base del contenuto.

Gli ADC hanno una posizione privilegiata, al confine tra i data center che servono le applicazioni Web e la rete pubblica, e riescono così a fornire valore aggiunto riducendo i rischi e migliorando sia la disponibilità che la protezione delle informazioni.

Se i firewall convenzionali giocano un ruolo nella sicurezza perimetrale, gli ADC si posizionano solitamente davanti ai Web application server, come ultimo bastione nella catena di difesa.

Questo consente alle aziende di affrontare i tentativi di utilizzo inappropriato dell’applicazione sia interni che esterni, sapendo che le policy vengono fatte rispettare nel punto giusto, a un livello appropriato, e con una conoscenza dettagliata della logica applicativa e delle relative vulnerabilità.

Ancora di più, un WAF può dire l’ultima parola nei controlli di sicurezza interni, a maggior ragione di fronte alla crescente tendenza verso il modello BYOD (Bring Your Own Device), un approccio che sospinge sempre più tecnologia mobile all’interno dell’ambiente di lavoro, scavalcando molti dei tradizionali controlli perimetrali.

Come funziona un WAF?
I WAF funzionano intercettando e analizzando il traffico HTTP. Un WAF può implementare un modello di sicurezza “positivo”, che consente cioè il passaggio delle sole transazioni valide, oppure i messaggi possono essere intercettati ed analizzati alla ricerca di azioni o contenuti potenzialmente nocivi, in genere raffrontandoli con database di policy, di firme, di black/white list.

Un punto importante è che l’attuazione delle policy in un WAF dipende spesso dal design dell’applicazione ed è altamente granulare, per cui esiste un notevole spazio di personalizzazione, che richiede di essere dinamicamente adeguata nel tempo.

Al fine di eseguire una corretta configurazione, il WAF viene solitamente installato in un ambiente non di produzione, o in una modalità non invasiva, per un tempo che va da qualche giorno a qualche settimana: in questo lasso temporale il sistema può automaticamente “imparare” quale sia il comportamento “normale” e può creare una policy iniziale cui confrontare tutte le azioni future dopo essere stato installato in produzione, oppure può essere manualmente “regolato” dall’amministratore sulla base degli allarmi e degli eventi che vengono generati.

E se le applicazioni cambiano nel tempo per effetto del loro ciclo di vita naturale, è fondamentale che la policy WAF si adegui (tramite aggiornamenti manuali o l’aggiunta di ulteriori comportamenti “appresi”) per evitare il blocco di servizi. Sebbene sempre più spesso appositi “wizard” effettuino l’implementazione tecnica delle policy, per configurare e mantenere un WAF è necessario un professionista InfoSec esperto ed è caldamente consigliabile anche il coinvolgimento, fin dall’inizio, di chi sviluppa le applicazioni.


Quali problematiche possono essere risolte con l’aiuto di un WAF?
Come ogni altra soluzione, un WAF non è una bacchetta magica per la sicurezza. E’, però, un componente importante per un framework di sicurezza migliore.

Grazie alle capacità di packet inspection, il WAF è utile nella mitigazione di un problema conosciuto, nella neutralizzazione di una vulnerabilità applicativa come ad esempio una cattiva analisi e gestione di un dato di input, nella identificazione e mitigazione di azioni di SQL injection in un’applicazione o nei relativi subcomponenti.

Il WAF può aiutare a proteggersi da situazioni delicate come una debole gestione delle password, il passaggio di dati e token di identità in chiaro, account di manutenzione nascosti, pubblicazione nelle pagine Web di dati sensibili sui clienti, cookie non cifrati e così via.

Il WAF consente di trasferire alcune delle funzioni di sicurezza di base dai server e dalle applicazioni all’ADC, utilizzando una combinazione di DPI, WAF, pre-autenticazione e SSL Offload. Un WAF basato su ADC mette a disposizione controlli di sicurezza centralizzati in grado di stabilire canali sicuri, autenticare, autorizzare, attuare la prevenzione delle intrusioni e alleviare gli attacchi diretti contro le applicazioni

In maniera simile, il WAF aiuta, anzi è spesso essenziale, a garantire la conformità PCI DSS, e può potenzialmente neutralizzare gravi vulnerabilità in tempi rapidissimi.

Infine, il WAF non solo risolve i punti deboli delle applicazioni o neutralizza le vulnerabilità, ma può giocare un ruolo chiave anche nel rilevare minacce meno percettibili, specialmente alimentando sistemi SIEM (Security Information and Event Management) e i relativi tool per l’analisi delle minacce.


In conclusione
Sebbene gli stateful firewall esistano da molti anni e continuino a esserci utili, i notevoli cambiamenti intervenuti nel delivery delle applicazioni e la diffusione pressoché universale dei pagamenti online comportano l’ininterrotto emergere di nuove vulnerabilità nei confronti delle quali application proxy specializzati come i WAF risultano particolarmente adatti.

Con l’aumentare delle applicazioni presenti sul Web, il ruolo degli ADC e dei WAF integrati sarà sempre più importante, e i professionisti della sicurezza informatica farebbero bene a considerarne le funzionalità di Deep Packet Inspection, protezione DDoS e SSL Offload nell’ambito di una più completa architettura di sicurezza multilivello.


*Regional Sales Engineer di A10 Networks

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati