Che differenza c’è tra WAF e IPS

Sia il WAF che l’IPS sono soluzioni di sicurezza che mirano a proteggere la connessione tra un client e un server (applicazione web). Entrambi, monitorano il traffico che viene e va verso applicazioni Web o server. La differenza principale è che un IPS (Intrusion Prevention System) si basa fondamentalmente sulle firme e non è a conoscenza delle sessioni e degli utenti che tentano di accedere a un’applicazione web. IlWAF (Web Application Firewall) invece è a conoscenza di sessioni, utenti e applicazioni che stanno tentando di accedere a un’app Web.

Il principale divario tra queste due tecnologie è il livello di intelligenza per l’analisi del traffico Layer 7.

Perché abbiamo bisogno dei sistemi di sicurezza WAF e IPS?

Uno dei beni più preziosi (se non il più) di un’azienda viene rappresentato dai suoi dati. Spesso quindi i malintenzionati provano diversi metodi per attaccare una rete aziendale e accedere alle loro preziose informazioni.

Le nuove tipologie di “armi da hacking” che effettuano attacchi informatici si sono talmente diversificate che non basta più mettere un Firewall o un qualsiasi NGFW (Next-Generation Firewall) ai margini della nostra rete. Anche gli antivirus svolgono da tempo un ruolo fondamentale nella sicurezza, ma non bastano a fermare gli attacchi più importanti.

Ora gli attacchi avvengono in diversi “livelli” nei protocolli di rete, e per questo abbiamo bisogno di diversi sistemi di difesa per ogni tipo di traffico. Il fatto che sempre più aziende abbiano la loro attività permanente nelle applicazioni web può renderle ancora più vulnerabili.

In un mondo ideale, il codice delle nostre applicazioni web non dovrebbe avere “lacune” di sicurezza che possano mettere a rischio noi o i nostri dati. Ma in realtà è impossibile avere app protette al 100%, quindi è necessario disporre di applicazioni esterne. Maggiori sono le barriere di sicurezza tra noi e un hacker, più tranquillità avremo.

Quali opzioni esistono oggi per proteggere i server (e anche i data center) delle nostre aziende da un gran numero di minacce ai nostri dati?

Parliamo di due opzioni: Web Application Firewall (WAF) e Intrusion Prevention System (IPS). Vediamole nei dettagli

Web Application Firewall (WAF)

Web Application Firewall (WAF) è una soluzione (hardware o software) che funge da intermediario tra utenti esterni e applicazioni web. Ciò significa che tutte le comunicazioni HTTP (richiesta-risposta) vengono analizzate dal WAF prima di raggiungere le app Web o gli utenti.

Per eseguire il monitoraggio e l’analisi del traffico HTTP, il WAF applica una serie di regole precedentemente definite che rendono possibile il rilevamento di richieste HTTP dannose come Cross-Site Scripting (XSS), SQL Injection, attacchi Dos o DDoS, manipolazione di cookie, e molti altri.

Una volta che il WAF rileva una minaccia, blocca il traffico e rifiuta la richiesta o la risposta Web dannosa con dati sensibili. Se non ci sono minacce o attacchi, tutto il tuo traffico dovrebbe fluire normalmente, in modo che tutte le ispezioni e la protezione siano trasparenti per gli utenti.

WAF riconosce il traffico web legittimo e lo lascia passare. Non influisce sulle operazioni quotidiane delle applicazioni Web aziendali.

Intrusion Prevention System (IPS)

Nel caso del sistema di prevenzione delle intrusioni (IPS) si tratta di un dispositivo o software di protezione più generico. Fornisce protezione dal traffico proveniente da un’ampia varietà di tipi di protocollo, come DNS, SMTP, TELNET, RDP, SSH e FTP, tra gli altri.

IPS rileva il traffico dannoso utilizzando metodi diversi, ad esempio:

  • Rilevamento basato sulla firma: IPS utilizza il rilevamento basato sulla firma proprio come fa un antivirus. Un’azienda può riconoscere una minaccia e inviare un avviso all’amministratore. Affinché questo metodo funzioni correttamente, tutte le firme devono essere con l’ultimo aggiornamento.
  • Rilevamento basato su criteri: IPS richiede che i criteri di sicurezza siano dichiarati in modo molto specifico. L’IPS riconosce il traffico al di fuori di questi criteri e rifiuta automaticamente comportamenti anomali o traffico insolito.
  • Rilevamento basato su anomalie: secondo il modello del normale comportamento del traffico, questo metodo può essere utilizzato in due modi, automatico o manuale. L’IPS esegue automaticamente analisi statistiche e stabilisce uno standard di confronto. Quando il traffico si allontana troppo da questo standard, invia un avviso. L’altro modo è impostare manualmente il comportamento normale del traffico in modo che gli avvisi vengano inviati quando il traffico, ancora una volta, si allontana da questa regola. Lo svantaggio del modo manuale è che essendo meno flessibile e dinamico, può inviare falsi allarmi.
  • Honey Pot Detection: funziona utilizzando un computer configurato per richiamare l’attenzione degli hacker senza compromettere la sicurezza dei sistemi reali. Utilizzando questa esca, gli attacchi possono essere monitorati e analizzati in modo che, una volta identificati, possano essere utilizzati per stabilire nuove politiche.

Un dispositivo IPS può essere utilizzato per migliorare la sicurezza e supportare un firewall. Come mostrato nell’immagine qui sotto, blocca tutto il traffico anomalo da Internet, che non è stato bloccato dalla prima linea di difesa o dal firewall.

Qual è la mia migliore opzione?

È ovvio che anche entrambe le soluzioni aggiungono un ulteriore livello di sicurezza per la nostra rete, funzionano su diversi tipi di traffico. Quindi, invece di competere, si completano a vicenda. Nonostante IPS sembri proteggere un tipo più ampio di traffico, ce n’è uno molto specifico con cui solo un WAF può funzionare. Pertanto, consigliamo vivamente di avere entrambe le soluzioni, soprattutto se i sistemi dell’ambiente lavorano a stretto contatto con il Web.

Il grafico sottostante mostra un rapido confronto di entrambe le soluzioni.
WAF-vs-IPS

La sfida consiste nel selezionare il giusto sistema hardware WAF per eseguire in modo efficace meccanismi di sicurezza basati su software. Il modo più pratico per proteggere il data center aziendale dagli hacker è implementare un software-hardware o soluzioni ibride.

Quando si sceglie un firewall per applicazioni Web, considera i seguenti requisiti:

  • SSL Acceleration: SSL è fondamentale per WAF, in quanto è un metodo di offload della CPU per la crittografia a chiave pubblica pesante. Per prestazioni ottimali nelle implementazioni di sicurezza, si consiglia di disporre di un acceleratore hardware.
  • DPI: poiché il WAF viene distribuito tra il server aziendale e gli utenti, una delle principali missioni del WAF è monitorare il traffico e bloccare eventuali tentativi dannosi. Ciò richiede un DPI (Deep Packet Inspection) efficiente supportato da un hardware potente.
  • Alte prestazioni : poiché DPI e SSL richiedono entrambi un uso intensivo della CPU, l’architettura hardware richiesta per le distribuzioni WAF deve offrire capacità di elaborazione dedicate per eseguire i titoli software.
  • Alta disponibilità: WAF funziona 24 ore su 24, 7 giorni su 7, pertanto l’elevata disponibilità per quanto riguarda l’alimentazione è fondamentale per l’ottimizzazione di WAF.
  • Scalabilità: poiché i servizi di applicazioni Web possono espandersi man mano che la base di clienti cresce, i WAF aziendali devono essere scalati tramite hardware per aumentare le prestazioni e accelerare le applicazioni critiche nel modo più semplice.

Conclusioni

NLa scelta della protezione a più livelli dovrebbe darti più sicurezza e tranquillità.

In conclusione, il WAF è ottimo per la sicurezza nelle applicazioni HTTP ed è generalmente utilizzato per proteggere i server. È a conoscenza del traffico web come HTTP GET, POST, URL, SSL e altro. IPS, d’altra parte, fornisce protezione per un’ampia gamma di protocolli di rete e può eseguire la decodifica del protocollo grezzo e trovare comportamenti anomali, ma non è a conoscenza delle sessioni (GET/POST), degli utenti o persino delle app.

Le soluzioni integrate possono essere basate su hardware, software o ibride. Queste soluzioni ti danno il meglio di entrambe le soluzioni.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.