Barracuda WAF-as-a-Service en Gartner, el mejor costo/beneficio.

Normalmente la seguridad para páginas y aplicaciones web conocida como WAF (Web Application Firewall), solo era considerada por las grandes empresas para proteger sus operaciones comerciales en línea, sin embargo, hoy en día, los hackers no discriminan a las empresas medianas, pymes o profesionistas independientes, por esta razón, es de vital importancia proteger los sitios o portales web, no importando donde estén hospedados, ya se en las oficinas corporativas, en las nubes públicas o con algún proveedor de hospedaje web. 

En esta revisión analizaremos el servicio “Barracuda Networks WAF-as-a-Service”, posicionado como uno de los más seguros y fáciles de implementar, cuenta con las certificaciones ICSAlabs, Microsoft Azure y compite en el cuadrante “2021 Gartner Magic Quadrant” en las soluciones WAAP (Web Application and API Protecction).

 

Barracuda WAF-as-a-Service en el cuadrante mágico de Gartner, certificado por Microsoft Azure e ICSAlabs

Según Gartner, “El mercado de protección de aplicaciones web y API se compone de dos segmentos principales: servicios WAAP y dispositivos WAAP. Los líderes en seguridad y gestión de riesgos deberían favorecer los servicios WAAP, los cuales proporcionan controles fáciles de consumir y protecciones más especializadas contra bots avanzados y ataques de API en evolución”. 

El objetivo de “Barracuda WAF-as-a-Service” es brindar protección a portales web, aplicaciones web, APIs y aplicaciones móviles de un amplio espectro de ataques que no es posible cubrir con los firewalls perimetrales.

¿Cómo funciona WAF-as-a-Service?

Lo primero que debemos mencionar respecto a su funcionamiento, es que está basado en un modelo SaaS (Software as a Service), donde no es necesario implementar equipos o programas en la misma ubicación donde se encuentran los servidores web, ya que todas las solicitudes que los usuarios hacen a través de Internet primero pasan por una revisión de seguridad en la nube del servicio WAF, solo las solicitudes reales o no maliciosas, son enviadas a los servidores web, para ser procesadas. Todo el tráfico malicioso incluyendo ataques de denegación, son detenidos por el servicio WAF, permitiendo mantener los recursos del clientes saludables, servidores más relajados e Internet mucho más rápido. La siguiente imagen muestra el flujo del tráfico web.

 

Barracuda WAF-as-a-Service la mejor protección para aplicaciones WEB al mejor precio tan solo $ 3,866 pesos al mes por aplicación.

Ahora expliquemos como brinda protección Barracuda WAF-as-a-Service a las aplicaciones o sitios web.  

• Primero, Barracuda WAF-as-a-Service nos pide “cambiar” los registros DNS tipo “A” que apuntan a la aplicación que queremos proteger, a un registro CNNAME que envía el tráfico a la nube del servicio WAF.
• Una vez hecho el cambio en los registros DNS, todas las solicitudes provenientes de usuarios reales, usuarios maliciosos o programas automatizados (bots) son enviadas para su análisis de seguridad al servicio WAF, donde se evalúan diferentes posibles riesgos y/o ataques dirigidos a los servidores.
• Cada solicitud enviada a las aplicaciones web, es analizada, se verifican características y acciones que pueden venir encubiertas y ser ejecutadas al llegar a los servidores, este tipo de amenazas no son visibles por los Firewalls perimetrales, las soluciones WAF, analizan a profundidad los paquetes, verifican textos enviados por los usuarios en los campos de texto de cada formulario web, se analizan los archivos enviados por los usuarios, se verifican los tamaños máximos de parámetros enviados en el URL, se verifica que las cookies generadas por los servidores no hayan sufrido algún tipo alteración, entre otras muchas verificaciones, más abajo viene una lista detallada de las funciones.
• Si al realizar la inspección de seguridad en una solicitud, esta no da positivo para ser una amenaza, entonces la solicitud es enviada a los servidores de aplicación para ser procesada.
•  La seguridad también se aplica en cada respuesta proveniente de los servidores, una de las principales funciones cuando los servidores responden, es el DLP (Data Loss Prevention), la cual identifica patrones de datos que pueden ser “robados” de forma no autorizada y que regularmente son muy sensibles para las empresas, al ser identificados por el servicio WAF, estas fugas de información son detenidas.  
• Adicional a la función de seguridad, Barracuda WAF-as-a-Service, también nos brinda una gran visibilidad de los eventos en las aplicaciones web, a través de un detallado registro de actividades y reportes gráficos en diferentes categorías, ya sea de seguridad, rendimiento y optimización.

¿Qué tipo de servidores puedo proteger con WAF-as-a-Service?:

• Páginas Web
• Aplicaciones Web
• REST API, API o Web Services
• Consumo de aplicaciones móviles
•  XML and JSON

¿Qué ubicaciones puede proteger WAF-as-a-Service?:

• Aplicaciones ubicadas en oficinas corporativas (onpremises)
• Aplicaciones hospedadas con cualquier proveedor de sitios web 
• Aplicaciones en las nubes públicas como MS Azure, AWS o Google Cloud
• Prácticamente se pueden proteger aplicaciones hospedadas en cualquier ubicación.

¿Qué protocolos y puertos puedo proteger con Barracuda WAF-as-a-Service?

• http (80)
• https (443)

Seguridad SSL 

Más fácil no puede ser, Barracuda WAF-as-a-Service brinda un certificado sin costo por 90 días, emitido por “Let’s” Encrypt”, después de este período, puedes continuar con el certificado SSL pagado el servicio. Si ya se cuenta con un certificado vigente, entonces lo único que debes proporcionar, es la llave privada y certificado como se muestra en la siguiente imagen.

 

 

Barracuda WAF-as-a-Service SSL Encryption

 Redirección de tráfico del servicio http > https

También nos enfrentamos, a la tarea de buscar la forma de redirigir las peticiones que llegan a nuestra aplicación o sitio web a el puerto y protocolo no seguro http(80) al protocolo y puerto seguro https(443), Barracuda Was-as-a-Service nos brinda esta prestación, ofreciendo la función de re direccionar el tráfico proveniente del puerto 80 al 443.

 

Barracuda WAF-as-a-Service ofrece redireccionamiento del tráfico https a el sitio seguro en https.

Logs y Syslogs

El log guarda la actividad que se genera en cada una de las aplicaciones que se están protegiendo, es usada para mejorar o generar la estrategia de seguridad, Barracuda WAF-as-a-Service nos brinda la posibilidad de exportar el log de eventos, para correlacionarlos con otras plataformas, podemos exportarlos a diferentes plataformas:

• Syslog (ArcSight, Splunk, Symantec SIM, etc)
• Microsoft Azure Event Hub / OMS
• AMQP’s (Rabbit MQ, Active MQ, NSQ, etc)

 

Barracuda WAF-as-a-Service ofrece logs de Firewall, Acceso y eventos de acceso detallado por evento.

Reportes y tableros con resúmenes por actividad

Para un administrador con aplicaciones expuestas a internet, es de suma importancia contar con información del tipo de tráfico que esta llegando a consumir los sitios o aplicaciones web, y más importante aún, es contar con información, de los intentos de ataque o vulneración de dichas aplicaciones. 

Con el servicio Barracuda WAF-as-a-Service, podemos encontrar primero, resúmenes de actividad en las páginas principales de cada aplicación, veamos algunos ejemplos:

• Número de ataques por un periodo de tiempo. Rango de tiempo definido por el administrador, ya sea la última hora, ultimas 24 horas, últimos 7 días, últimos 14 días o un período de tiempo definido manualmente.

Barracuda WAF-as-a-Service reporte del total de ataques a aplicaciones web.

• Ataques por zona geográfica 

 

 

• Consumo de ancho de banda entrante y saliente

 

• Solicitudes realizadas por humanos y bots (programas automatizados)

Estos son solo algunos ejemplos de los resúmenes de actividad que nos muestra el servicio por defecto, sin embargo, se pueden editar para agregar o disminuir por aplicación.

La segunda herramienta que nos brinda una gran visibilidad son los reportes, los cuales se pueden generar bajo demanda o se pueden programar para que sean enviado por correo electrónico con una frecuencia: diaria, semanal o mensual. 

 Dentro de los reportes por aplicación podemos encontrar: 

• Top de ataques por categoría
• Top de clientes realizando ataques
• Top de URLs atacados
• Top de países de donde de donde provienen los ataques a nuestras aplicaciones
• Requisiciones a través del tiempo
• Consumo de ancho de banda a través del tiempo
• Resumen del consumo de ancho de banda

Ejemplo de reportes, “requisiciones a través del tiempo”

 

Implementación global y tolerancia a fallos

El servicio “Barracuda WAF-as-a-Service”, es implementado en dos diferentes centros de datos por aplicación:  sitio primario y de respaldo, cada uno de ellos es configurado en centros de datos geográficamente diferentes, por defecto el servicio selecciona de forma automática las locaciones más cercanas a los servidores, con la finalidad de obtener un tiempo de latencia óptimo.  (imagen muestra el alta de una nueva aplicación a proteger)

El administrador puede hacer cambio de locación global para el sitio primario y para el de respaldo, sin embargo, siempre debe considerar, seleccionar los que geográficamente estén más cercanos a los servidores de aplicación, si la protección WAF ya ha estado en producción y se decide hacer el cambio de ubicaciones, se debe considerar una ventana de mantenimiento, ya que este cambio puede tardar hasta 30 minutos y durante este período, el sitio web puede presentar intermitencia.

(Imagen muestra ubicaciones definidas por el administrador)

 

En cuanto a la tolerancia de falla del sitio principal del servicio WAF, Barracuda contempla la migración del tráfico en forma automática al sitio de respaldo, evitando que nuestros sitios o aplicaciones web se vean afectados.

Cabe mencionar, que Barracuda WAF-as-a-Service esta próximo a inaugurar un centro de datos en México en la ciudad de Querétaro.

Servicios ofertados con Barracuda WAF-as-a-Service

El servicio WAF de Barracuda Networks, ofrece funcionalidades en tres rubros:

• Control de acceso a aplicaciones
• Aceleración y entrega de aplicaciones
• Seguridad

 Control de acceso a aplicaciones:

Seguramente como administradores nos hemos enfrentado a la necesidad de restringir el acceso público a ciertos URLs o directorios de nuestra aplicación, ya sea por tareas administrativas, para usuarios empresariales o para usuarios que pagan por acceso a nuestros sitios web; no importando la razón, el servicio WAF nos brinda la posibilidad de controlar el acceso, para ello, el usuario debe iniciar sesión en la capa del servicio WAF, si el acceso es exitoso, entonces se le permitirá hacer la solicitud a los servidores reales.

Aceleración y entrega de aplicaciones:

Con Barracuda WAF-as-a-Service, no solo encontraras funciones de seguridad para proteger las aplicaciones web, también incluye funciones que aceleran el tiempo de respuesta y aseguran su entrega a los usuarios:

• Balanceo de cargas
• Caché y compresión 
• Cifrado de tráfico (encryption)

 Funciones de seguridad:

En este rubro es donde el servicio WAF se especializa, incluyendo las siguientes funciones de seguridad:

 

 

 

 

 

 Por defecto todos los módulos de seguridad están instalados y funcionando con la configuración estándar del servicio WAF, sin embargo, podemos “personalizar” cada uno de los módulos si es necesario, para ello, debemos agregar el módulo y personalizarlo.

 

Application Scanner y Vulnerability Remediation 

El fabricante Barracuda Networks, ofrece dos herramientas que se integran con el servicio “WAF-as-a-Service”, la primera de ellas “Application Scanner” permite escanear URLs en busca de vulnerabilidades, genera un reporte completo que envía por correo electrónico y se puede analizar en detalle en el portal como se muestra a continuación.

 

Una vez que “Application Scanner” encuentra las vulnerabilidades en los URLs analizados, genera un reporte que puede integrarse con otra aplicación, “Vulnerability Remediaton Service”, la cual permite generar una configuración de “remediación” o “parche”en forma automática en el servicio WAF-as-a-Service, para brindar protección a la aplicación donde se encontró.

 

Finalmente, resta comentar la forma de contratación de Baracuda WAF-as-a-Service

El servicio WAF-as-a-Service consta de dos subscripciones anuales:

• Subscripción por aplicación. – Se debe pagar por cada sitio o aplicación web con un URL o host en específico. Ejemplo: si queremos proteger una página web https://www.mipagina.com.mx pero además tenemos una aplicación, en la cual mis clientes pueden consultar sus saldos y tiene un url https://clientes.mipagina.com.mx , entonces debemos pagar subscripción para dos aplicaciones. 
• Subscripción por consumo de ancho de banda. - Debemos indicarle al fabricante, la cantidad de ancho de banda que consumirá mi aplicación o sitio web, este ancho de banda es el consumo “limpio”, es decir WAF-as-a-Service disminuirá el ancho de banda por tráfico malicioso, solo tomará en consideración el tráfico “genuino” entrante y saliente de las aplicaciones. La subscripción “standard” viene con 5 Mb mensuales, lo cual es suficiente para la mayoría de los sitios o aplicaciones web, en caso de requerir más ancho de banda, se puede agregar ya una vez que se está en producción, te recomendamos contratar el servicio “estándar” de inicio.
• Subscripción opcional ATP + Advanced BOT protection. -  Esta subscripción es incluye dos funciones avanzadas, “Advanced BOT protection” que está encargada de bloquear programas automatizados conocidos como bots o robots haciendo peticiones maliciosas. La otra “ATP”, permite analizar la seguridad de archivos que los usuarios suben o envían a los servidores web, el análisis de seguridad se hace en un ambiente controlado en la nube del fabricante conocido como “caja de arena”, donde se realizan diferentes acciones, una de ellas, es la emulación del doble clic en plataformas windows, linux y mac, de sistemas operativos de computadora y servidores, si alguna amenaza “explotara”, el archivo se queda retenido en esta caja de arena y no permite que sea enviado a los servidores.

El precio que puedes encontrar con este servicio, es el más competitivo del mercado, con el mejor costo beneficio:

Paquete “WAF-as-a-Service Standard” incluye:

• Seguridad para una aplicación o sitio web
• Ancho de banda de 5Mb mensual (suficiente para la mayoría de las aplicaciones web, con excepción de aquellas que tienen transmisión de video, audio o descarga de películas o programas)
•  Módulo avanzado (ATP + Advanced BOT Protection)

Para obtener más información, visite https://www.cobranetworks.lat/

Contacto:

Teléfono: +52(55)5599-0691   

Correo: ventas@cobranetworks.lat