Fundamentos, funciones y beneficios de eCDN WAF (Cortafuegos de aplicación web)

Beneficios:

• Seguridad a nivel de aplicación adicional en sitios de escaparates
• Acceso a registros de WAF durante un máximo de 7 días, conjunto de reglas OWASP configurable
• Función de valor gratuito agregada para clientes de eCDN
• Herramienta de autoservicio fácil de utilizar en Business Manager

Función:

• Como parte de nuestra oferta de mitigación de DDoS de la eCDN, ofreceremos una capa adicional de protección a nuestros clientes a través del Cortafuegos de aplicación web de la eCDN (WAF)
• El Cortafuegos de aplicación web eCDN está diseñado para proteger el nombre de host personalizado del escaparate de Producción y Desarrollo frente a vulnerabilidades comunes de nivel de código como ataques de inyección SQL, secuencias de comandos de sitio cruzadas y amenazas identificadas por OWASP, que apuntan a la capa de la aplicación. 
• Es una función valor agregado incluida en la eCDN de Commerce Cloud sin cargos adicionales.

¿Qué hace?

• El Cortafuegos de aplicación web de la eCDN (WAF) examina todas las implicaciones en el sitio de un comerciante, que pueden ser: acciones normales de comprador, tráfico de bot o solicitudes maliciosas.
• Todas las solicitudes a un storefront se realizan a través de HTTP/S (sitio completo) y AJAX (fragmentos de código de pequeño tamaño). 
• WAF realiza una inspección profunda de cada solicitud para todas las formas comunes de tráfico web y filtra el tráfico malicioso protegiendo a los compradores reales. 
• WAF identifica y aísla o bloquea el tráfico malicioso anormal y evita que la amenaza llegue al servidor. 
• Además, el WAF de la eCDN también inspecciona las direcciones de sitios web o las direcciones URL para detectar cualquier cosa fuera de lo ordinario.

¿Cómo lo hace?

• Si se realiza una solicitud sospechosa sobre un sitio del comerciante, el WAF de eCDN evaluará la solicitud y aplicará la acción elegida por el comerciante. 
• Si la acción es “retar”, se mostrará al usuario sospechoso una página CAPTCHA que solicitará que envíe correctamente para seguir accediendo a la página. 
• Si el usuario no completa el CAPTCHA correctamente, WAF bloqueará cualquier tráfico identificado como malicioso antes de que alcance el origen de Commerce Cloud. 
• Si el comerciante elige la acción “bloquear”, se bloqueará sencillamente al usuario sospechoso.

¿Qué no está cubierto por el WAF de eCDN?

• Si existe una solicitud legítima (un bot que realiza un pedido correctamente) esto es NO algo que el WAF gestionaría
• Para evitar un ataque de pedido fraudulento, la mejor opción sería implementar Captcha o Limitador de índice en la página de envío de pedido o en la página que detectó el ataque.

Busque detalles para la gestión del tráfico no deseado como Bot/Automated/Script.

• Debido al potencial de la economía post-venta creada por productos de eventos de grandes expectativas, no es poco común que se creen bots/secuencias de comandos para quedar disponibles (para la venta) antes de un evento.  Dicho tráfico de bots puede interferir en el tráfico de compradores deseados, así como afectar negativamente al rendimiento del escaparate.  Los siguientes enfoques pueden limitar la eficacia y el impacto de estos bots/secuencias de comandos automatizados.
  1. CAPTCHA/reCAPTCHA
     • Como se hace referencia anteriormente, CAPTCHA es un sistema de respuesta de retos utilizado para diferenciar solicitudes de humanos frente a solicitudes de bots/secuencias de comandos y solo permitir a compradores humanos (no bots) la oportunidad de comprar el producto de evento de gran expectativa. Debido al mecanismo de respuesta de retos, las secuencias de comandos automatizadas no superarán la verificación. 
     • Cuando se implementa CAPTCHA antes de la solicitud, reduce la repercusión de las solicitudes de bots evitando que tengan que realizar solicitudes para algunas de las operaciones de recursos más intensivas (agregar a carrito, pasar por caja)
  2. Límite de velocidad/Ralentización/Filtrado
     • Tenga preparada la capacidad de limitar la velocidad/ralentizar solicitudes realizadas en el escaparate y la capacidad de ajustar la configuración en tiempo real. 
     • Debido a que a menudo, los bots/secuencias de comandos generan un gran número de solicitudes en una breve cantidad de tiempo (muy superior a la de los compradores), la ralentización o el límite de velocidad de solicitudes entrantes, cuando se configuran correctamente, solo afectarán a las solicitudes de bots/secuencias de comandos y no a las de los compradores humanos.
     • Muchos vínculos de CDN tienen la capacidad de limitar la velocidad/ralentizar las solicitudes entrantes en función de un número de parámetros de configuración, así como un Cortafuegos de aplicación web ( WAF) que puede realizar análisis en tiempo real de las solicitudes entrantes según un conjunto de reglas predefinido.
     • Además, algunos de nuestros clientes tienen buenas experiencias con la herramienta de defensa frente a bots PerimeterX, que ayuda a detener el comportamiento web malicioso en su escaparate.