Cuándo se debe usar Azure Web Application Firewall

  • 8 minutos

En este punto, ya sabe qué es Azure Web Application Firewall y cómo funciona. Ahora necesita conocer algunos criterios que le facilitarán la tarea de evaluar si Azure Web Application Firewall es una opción adecuada para su empresa. Para ayudarle a decidir, considere los siguientes escenarios:

  • Tiene aplicaciones web que contienen datos confidenciales o propietarios
  • Tiene aplicaciones web que requieren que los usuarios inicien sesión
  • Los desarrolladores de aplicaciones web de su equipo carecen de experiencia en seguridad
  • Los desarrolladores de aplicaciones web de su equipo tienen otras prioridades
  • Tiene restricciones en el presupuesto destinado al desarrollo de aplicaciones web
  • Tiene restricciones en el tiempo destinado al desarrollo de aplicaciones web
  • La aplicación web debe compilarse e implementarse rápidamente
  • El lanzamiento de la aplicación web será de alto nivel

Como parte de su evaluación de Azure Web Application Firewall, sabe que Contoso se identifica con varios de estos escenarios. Lea las secciones correspondientes para obtener más detalles.

Tiene aplicaciones web que contienen datos confidenciales o propietarios

Algunos atacantes web tienen como única motivación el reto de acceder a un sistema. A pesar de ello, la mayoría de los hackers malintencionados usan la inyección, los ataques de protocolo y vulnerabilidades de seguridad similares con el objeto de obtener un beneficio. Dicho beneficio podría ser cualquiera de los siguientes:

  • Números de las tarjetas de crédito de los clientes
  • Información personal confidencial, como los números del permiso de conducir o del pasaporte
  • Datos de la empresa propietarios o secretos

Un atacante podría usar estos datos directamente. Por ejemplo, el usuario podría comprar artículos con un número de tarjeta de crédito robado. Aun así, lo más probable es que el atacante venda los datos en un mercado ilegal o que los guarde para pedir un rescate.

Si su empresa ejecuta una o varias aplicaciones web que almacenan datos confidenciales o propietarios, Azure Web Application Firewall puede proteger los datos contra los intentos de intrusión y filtración.

Tiene aplicaciones web que requieren que los usuarios inicien sesión

A menudo, los atacantes de aplicaciones web intentan obtener nombres de usuario y contraseñas de cuentas. El hecho de conseguir las credenciales de cuentas de usuario beneficia al atacante de las siguientes maneras:

  • Puede acceder a la aplicación como usuario autorizado.
  • Podría ejecutar scripts o comandos con privilegios elevados.
  • Podría acceder a otras partes de la red.
  • Podría usar las credenciales de una cuenta para iniciar sesión en otros sitios y servicios.

¿Usa su empresa aplicaciones web que requieren que los usuarios inicien sesión? Azure Web Application Firewall puede detectar vulnerabilidades de seguridad, como la inyección de código SQL y la inclusión de archivos locales, que intentan mostrar o robar las credenciales de las cuentas.

Importante

Tenga en cuenta que Azure Web Application Firewall es solo uno de los factores que deben integrar una estrategia de seguridad de red multidimensional. En el caso de los datos de inicio de sesión, esta estrategia también podría incluir la exigencia de requisitos de contraseña estrictos y el almacenamiento de contraseñas en formato cifrado.

Los desarrolladores de aplicaciones web de su equipo carecen de experiencia en seguridad

Se requiere una gran experiencia para codificar teniendo en cuenta todas las posibles vulnerabilidades de seguridad de una aplicación web. Esta experiencia también engloba conocimientos detallados de los siguientes conceptos:

  • La estructura general de las solicitudes y respuestas HTTP/HTTPS
  • Los tipos de solicitud HTTP/HTTPS específicos, como GET, POST y PUT
  • La codificación de URL y UTF
  • Los agentes de usuario, las cadenas de consulta y otras variables
  • Los comandos, las rutas de acceso, los shells y datos similares para varios sistemas operativos de servidor
  • Las tecnologías web front-end, como HTML, CSS y JavaScript
  • Tecnologías web del lado servidor, como SQL, PHP y sesiones de usuario

¿Qué ocurre si el equipo de desarrollo web de la empresa no tiene los conocimientos necesarios sobre uno o varios de estos conceptos? En ese caso, las aplicaciones web pueden verse afectadas por varias vulnerabilidades de seguridad. En contraposición a esto, un equipo de expertos de seguridad de Microsoft se encarga de mantener y actualizar Azure Web Application Firewall.

Los desarrolladores de aplicaciones web del equipo tienen otras prioridades

Es poco probable que su empresa implemente las aplicaciones web con el único fin de combatir vulnerabilidades de seguridad, como la inyección de código SQL y la ejecución de comandos remotos. Lo más seguro es que la empresa haya definido otro propósito para las aplicaciones web. Este propósito podría consistir en vender productos, proporcionar servicios o promover el negocio.

Lo más probable es que prefiera que el equipo de desarrollo web se centre en cumplir estos objetivos, en lugar de escribir un código de seguridad sólido para las aplicaciones. Con Azure Web Application Firewall, permite que sea Microsoft quien administre la seguridad, mientras su equipo se centra en el negocio.

Tiene restricciones en el presupuesto destinado al desarrollo de aplicaciones web

La creación de código dentro de la empresa para combatir todas las vulnerabilidades de seguridad que menciona OWASP es un proceso costoso:

  • Los desarrolladores web con los conocimientos de seguridad necesarios son relativamente poco frecuentes. Estos desarrolladores pueden solicitar un salario más alto que los compañeros que carecen de dicha experiencia.
  • La creación de código contra toda la gama de vulnerabilidades de seguridad de una aplicación web no es un proceso que se lleve a cabo una sola vez. A medida que se conocen vulnerabilidades de seguridad nuevas o modificadas, el equipo debe mantener y actualizar el código de seguridad. Los expertos en seguridad deben convertirse en miembros permanentes del equipo de desarrollo web y tenerse en cuenta en todo momento en el presupuesto.

Azure Web Application Firewall no es gratuito. Aun así, es posible que descubra que es una solución más rentable que contratar a un equipo de expertos en seguridad web a tiempo completo.

Tiene restricciones en el tiempo destinado al desarrollo de aplicaciones web

Muchos equipos de desarrollo web crean internamente código contra las vulnerabilidades de seguridad que menciona OWASP. Aun así, la mayoría de estos equipos pronto se dan cuenta de que crear y mantener este código es un proceso lento y laborioso. Si necesita cumplir una fecha límite ajustada para lanzar una nueva aplicación web, las miles de horas/persona que se necesitan para proteger la aplicación frente a todas las vulnerabilidades de seguridad que menciona OWASP son un obstáculo importante.

Puede configurar una instancia de Azure Application Gateway o un perfil de Azure Front Door con Azure Web Application Firewall en cuestión de minutos.

La aplicación web debe compilarse e implementarse rápidamente

Muchas aplicaciones web no requieren un tratamiento de desarrollo completo. Considere estos dos tipos de aplicación, por ejemplo:

  • Prueba de concepto: la aplicación solo pretende demostrar que una técnica, propuesta o diseño son factibles.
  • Producto viable mínimo (MVP): la aplicación solo incluye las características necesarias para que la puedan utilizar usuarios pioneros, que proporcionan comentarios para versiones futuras.

Tanto las aplicaciones web de prueba de concepto como las de MVP están pensadas para crearse e implementarse rápidamente. En estos casos, no tiene sentido crear código a mano contra las vulnerabilidades de seguridad comunes. Aun así, le interesa proteger estas aplicaciones contra actores malintencionados, por lo que tiene sentido colocarlas detrás de un firewall de aplicaciones web.

El lanzamiento de la aplicación web será de alto nivel

¿Está el equipo de marketing haciendo una gran campaña de promoción de una aplicación web que se lanzará próximamente? ¿Se están publicando mensajes en varias plataformas de redes sociales para despertar el interés en la aplicación antes de su lanzamiento? Esto es muy positivo, pero ¿sabe quiénes también podrían estar interesados en el lanzamiento de la aplicación? Los usuarios malintencionados que podrían haber decidido realizar ataques comunes contra la aplicación para trastocar su lanzamiento.

Para evitar las interrupciones, es recomendable proteger la aplicación web con Azure Web Application Firewall.