Descripción general de la arquitectura y el despliegue
Esta hoja de datos explica la eficaz arquitectura patentada del WAF de última generación de Fastly e incluye información sobre la amplia variedad de opciones de despliegue.
En esta página
Seguridad unificada para aplicaciones web y API en todo tipo de entornos
Fastly ofrece el WAF con el despliegue más flexible del mercado y puede proteger, mediante una solución integrada, tus aplicaciones y API dondequiera que estén: contenedores, entornos locales, la nube o el edge. Disfruta de una protección exhaustiva sin renunciar al rendimiento ni tener que dedicar personal específico: el WAF de última generación de Fastly (con tecnología de Signal Sciences) funciona sin necesidad de configurarlo y es tan eficaz que el 90 % de nuestros clientes lo ejecuta en modo de bloqueo total.
El WAF de última generación de Fastly ofrece la protección proactiva que necesitan las aplicaciones modernas, al tiempo que se integra en tus herramientas de DevOps y de seguridad para ofrecerte una visibilidad sin igual. Nuestra arquitectura flexible permite reforzar la estrategia de seguridad de tus aplicaciones, ya que muestra a los equipos de desarrollo, operaciones y seguridad dónde y cómo reciben ataques tus aplicaciones web y tus API.
Descripción general de la arquitectura
El WAF de última generación de Fastly es una solución híbrida de software como servicio (SaaS) que tiene tres componentes principales. Este diseño patentado, obra de Signal Sciences, nos permite adaptarnos y dar protección incluso a las aplicaciones y API que mayor volumen de tráfico registran, sin que se vea afectado el rendimiento.
Agentes
Agentes ligeros que despliegas en tu infraestructura para realizar tareas de detección y toma de decisiones con respecto a las peticiones con rapidez y precisión.
Los agentes son procesos tipo demonio de pequeña envergadura diseñados para gestionar cargas extremadamente pesadas. Al mismo tiempo y a escala local, realizan detecciones y toman decisiones que conllevan un alto grado de rendimiento y precisión. El agente recopila además metadatos sobre las peticiones maliciosas que ha procesado y los comparte con el motor en la nube. Protegemos varios de los sitios web que gestionan el mayor volumen de datos de toda la red mediante decenas de miles de agentes que procesan, de manera colectiva, billones de peticiones de producción sin afectar al rendimiento de API ni aplicaciones. Los agentes bloquean los ataques antes de que alcancen estos activos y muestran tanto las peticiones entrantes como las respuestas de los servidores, así como aquellas anomalías que sean indicativas del comportamiento de la aplicación.
Módulos
Potente componente opcional que se sincroniza con nuestros agentes para garantizar altos niveles de rendimiento y fiabilidad.
Los módulos se ejecutan prácticamente en cualquier servidor web (NGINX, Apache, IIS, etc.) y en cualquier lenguaje de aplicaciones (.NET, Java, Python, PHP, .nodeJS, etc.). El módulo ocupa solo unos pocos cientos de líneas de código para garantizar la fiabilidad y un grado extremo de rendimiento. Su cometido es doble: transmitir las peticiones al agente; y recibir y aplicar las decisiones del mismo, ya sea para permitir que la petición llegue a la aplicación, se incorpore en el registro o se bloquee (en función del modo que se haya definido en la consola).
Motor de la nube
Backend de análisis alojado en la nube que utiliza protocolos asíncronos para transmitir al agente datos recabados de fuentes externas y fuentes exclusivas, y con ello poder realizar detecciones dinámicas específicas de cada aplicación.
Este motor recopila y analiza telemetría y datos de ataques anonimizados procedentes de los miles de agentes de software distribuidos por toda nuestra base de clientes. El agente utiliza la salida del motor en la nube a nivel local para afinar las detecciones y tomar decisiones de bloqueo más contundentes. La toma de decisiones por parte del agente cuenta con el respaldo de nuestra tecnología Network Learning Exchange (NLX). Este punto de intercambio comparte en la consola de administración las fuentes de IP maliciosas que se hayan confirmado, lo que te alerta de la presencia de usuarios sospechosos antes de que se conviertan en una amenaza real para tus aplicaciones y API. Otras fuentes de datos posibles son las listas externas de IP maliciosas y las listas de IP personalizadas por los clientes. Toda esta información ofrece un contexto complementario para las peticiones, lo que, a su vez, suplementa la toma de decisiones que realizan los agentes. Nuestras integraciones nativas y con API comparten esta visibilidad y este contexto con las herramientas de DevOps que utilice tu equipo humano, como Slack, PagerDuty y Jira, además de con herramientas de seguridad, como Elastic y Cortex XSOAR de Palo Alto Networks. Asimismo, los paneles de la consola de administración unificada ponen a tu disposición métricas e informes de eventos correspondientes a todo el ecosistema de tus aplicaciones.
Opciones de despliegue
Opciones de despliegue nativo para centros de datos, la nube, contenedores y entornos sin servidores.
Opción de despliegue n.º 1: nativo de la nube y de contenedores
El par agente-módulo se instala en tu servidor web, en la puerta de enlace de la API o en la propia aplicación, en cuestión de minutos. Nuestro agente admite diferentes infraestructuras, lo que pone en tus manos la flexibilidad de desplegarlo allí donde lo necesites sin tener que preocuparte de dependencias de marcos de trabajo ni lenguajes subyacentes.
Despliegue con Kubernetes y malla de servicios
La aparición de nuevos marcos de trabajo y herramientas de aplicaciones, como Kubernetes, obliga a las empresas a prestar cada vez más atención a DevOps. Hoy en día, las empresas sacan código a una velocidad nunca vista, y Fastly ofrece opciones de despliegue flexibles que encajan con tu estrategia de contenedores, con tres «capas» en las que puedes instalar nuestro WAF en Kubernetes y cuatro modos de despliegue. Además, gracias a nuestras integraciones nativas con las mallas de servicios Envoy Proxy e Istio, Fastly proporciona visibilidad de las peticiones norte-sur (cliente-servidor) y de las este-oeste (de servicio a servicio).
Fastly es totalmente compatible con despliegues para:
Opción de despliegue n.º 2: aplicación antigua o en centro de datos
Los clientes que necesitan proteger aplicaciones antiguas o aplicaciones desplegadas en centros de datos suelen elegir entre dos opciones de despliegue: instalar el WAF de última generación de Fastly para que inspeccione el tráfico antes de que las peticiones web lleguen al punto de conexión de la aplicación o de la API, o bien instalar nuestro agente en modo de proxy inverso. Por ejemplo, nuestro módulo se puede instalar en el equilibrador de carga (HAProxy, NGINX) o en la puerta de enlace de la API (Ambassador, Kong, Cloudentity). Si los requisitos que manejan nuestros clientes impiden realizar instalaciones en el equilibrador de carga o en la puerta de enlace de la API, el agente puede desplegarse en modo de proxy inverso. Ambas opciones de despliegue ofrecen el mismo grado de visibilidad, alertas y datos prácticos que el resto de nuestras opciones de despliegue y mantienen la paridad de funciones.
Opción de despliegue n.º 3: en el edge
El WAF de última generación de Fastly está disponible en la red de edge cloud de Fastly, lo que permite a los clientes implementar controles de seguridad dentro de los servicios de distribución de Fastly. La opción de despliegue en la edge cloud se integra a la perfección con Varnish, la capa de almacenamiento en caché de Fastly.
De este modo, la protección y la aceleración se acercan más a los usuarios; los sistemas de los orígenes quedan protegidos frente al tráfico ilegítimo de los ataques; y, al mismo tiempo, se ofrecen unas prestaciones extraordinarias. Nuestro despliegue en el edge es ideal para los clientes que no pueden instalar software en su infraestructura y para los que quieren aprovechar las ventajas de rendimiento que aporta la red mundial de distribución de contenidos (CDN) de Fastly. Esta opción de despliegue ofrece otras opciones, como el servicio constante de protección frente a DDoS y gestión de TLS en las capas 3 y 4.
Opción de despliegue n.º 4: WAF en la nube
El WAF en la nube te permite proteger de manera rápida y sencilla aplicaciones web, API, microservicios y aplicaciones sin servidores, sin necesidad de instalar software en tu infraestructura. Una vez desplegado, solo tendrás que cambiar el DNS para que dirija el tráfico de las aplicaciones al WAF en la nube. Así, tus aplicaciones disfrutarán de la visibilidad y la protección que ofrece el WAF de última generación de Fastly. Todas las peticiones web se redirigen a nuestra capa de vigilancia en la nube, donde se detecta y se bloquea cualquier petición ilegítima. Al mismo tiempo, todo el tráfico legítimo se reenvía al servidor de origen de tus aplicaciones. El WAF en la nube es ideal para clientes que quieran añadir un firewall de aplicaciones web que sea fácil de gestionar sin realizar cambios en sentido ascendente en la capa de su CDN.
Protection that’s committed to data privacy
Many leading financial services firms, healthcare companies, and others with strict data privacy requirements all utilize Fastly’s next-gen WAF because of our strong architecture built for data privacy. All sensitive data is handled entirely within the customer environment and only sanitized and redacted portions of requests that are marked as attacks or anomalies are then sent to the Fastly Cloud Engine.
Once the agent identifies a potential attack or anomaly in a request, a set of fully customizable redactions are applied locally and then the agent sends only the redacted individual parameter of the request which contains the attack payload, as well as a few other non-sensitive or benign portions of the request, such as client IP, user agent, URI, etc. Our backend only collects the response’s metadata e.g. response codes, sizes, and times. We provide customers the ability to fully customize redaction policies and fields as needed. For additional protection, Fastly automatically enforces redaction of common sensitive data types—such as passwords, keys, GUIDs, and any type of PII or PHI—before the request is sent to our backend.
“It works straight out of the box, scales automatically, and does a great job at providing visibility while securing the application.”
Anson Gomes
Lead Security Engineer
Integraciones con herramientas de DevOps y de seguridad
La mejor manera de aplicar una protección eficaz a aplicaciones y API es ofrecer el mismo conjunto de datos de seguridad a los equipos de desarrollo, operaciones y seguridad en las herramientas que ya utilizan. Fastly trabaja con las mejores herramientas y plataformas del sector con dos objetivos: ofrecerte alertas en tiempo real en las herramientas de DevOps y de seguridad que utilices; y facilitar a tus equipos el uso de nuestra telemetría de seguridad de producción con las herramientas y los procesos que tu empresa ya utiliza para profundizar en investigaciones y análisis.
Las integraciones no requieren hacer ningún tipo de ajuste, de manera que los equipos pueden poner en marcha o continuar la transición a modelos y arquitecturas de desarrollo modernos. Nuestras integraciones no pueden ser más fáciles e incluyen los motores de alertas, aplicaciones de chat, sistemas de gestión de proyectos y sistemas de seguimiento de incidentes que suelen usarse en los campos del desarrollo y las operaciones.
Integraciones de plataformas y tecnologías
Ejecuta el WAF de última generación de Fastly donde quieras
Servidores web
IaaS
PaaS
Contenedores
Gestión de configuración
Partners e integraciones con fuentes de datos
Intercambia datos del WAF de última generación de Fastly
Herramientas de DevOps
SIEM/SOAR
Recursos relacionados
Descubre cómo nuestro WAF protege contra ataques a la capa web y se integra con herramientas de DevOps.
El marco de eficacia del WAF te ayuda a medir la efectividad de tu WAF.
Fastly, nombrado «Challenger» en la categoría de protección de API y aplicaciones web en la nube. Compara los proveedores en este informe.
Fastly es el único proveedor que ha recibido el reconocimiento «Customers’ Choice» cinco años seguidos.