En un reciente seminario web organizado por CyberRisk Alliance, tres expertos en seguridad de Fastly se reunieron para desentrañar una de las mayores tensiones en el desarrollo de software moderno: equilibrar la velocidad de DevOps con el rigor de la seguridad. Moderado por Adrian Sanabria de la Defenders Initiative, el debate incluyó los conocimientos de Liam Mayron, Gerente Principal de Producto, Daniel Corbett, Gerente Principal de Tecnología de Producto, y Simran Khalsa, Investigadora de Seguridad, todos en Fastly. A continuación, se presenta un resumen del debate. Mira el seminario web completo.
De los muchos desafíos que enfrentan los equipos de DevOps, uno de los más grandes es integrar pruebas de seguridad exhaustivas y efectivas, y hacerlo sin ralentizar todo. Las pruebas de seguridad que se añaden tarde en el ciclo de lanzamiento a menudo introducen cuellos de botella, crean fricción entre los equipos y, por lo tanto, pueden hacer que los errores de seguridad pasen desapercibidos hasta que sea demasiado tarde.
El Simulador de WAF de Fastly fue creado para cambiar eso. Esta herramienta reimagina cómo los equipos de DevOps y seguridad validan las reglas del WAF (Web Application Firewall) al habilitar pruebas de seguridad integradas, continuas y automatizadas, sin interrumpir el flujo de desarrollo.
Después de todos estos años, la seguridad sigue siendo un cuello de botella
Para muchos, las pruebas de seguridad siguen siendo casi una ocurrencia tardía. Esto interrumpe los ciclos de desarrollo, ralentiza los lanzamientos de producto y seguramente tensará la relación entre los equipos de desarrollo y de seguridad. Es una historia clásica: los mandatos de seguridad llegan tarde, rompen algo o simplemente no se alinean con los objetivos del producto. Y peor aún, cuando se añaden controles de seguridad, no siempre se validan, lo que lleva a reglas que en realidad no protegen nada.
Para empeorar las cosas, a los equipos de DevOps a menudo se les asignan responsabilidades de seguridad sin las herramientas adecuadas. «He visto ambos modelos», explicó Liam «A veces, los desarrolladores impulsan la seguridad de forma proactiva; otras veces, la seguridad se les impone sin apoyo.»
El origen del simulador de WAF
Al igual que Liam, Daniel y Simran, también visteis este dolor de primera mano. Los desarrolladores no estaban seguros de si sus reglas de WAF realmente funcionaban y, durante mucho tiempo, los equipos de seguridad no tenían una manera fácil de validar las reglas de WAF más allá de esperar la próxima prueba de penetración o, peor aún, un ataque real.
A partir de las necesidades internas y los comentarios de los clientes, surgió una clara brecha: los equipos necesitaban una forma de probar las reglas de seguridad como probáis vuestro código. Mientras investigabas esto, surgió un patrón de los equipos de DevOps que Fastly entrevistó, que revelaba la necesidad de validación previa a la producción, visibilidad a nivel de reglas, pruebas unitarias integradas y compatibilidad con reglas WAF predeterminadas y personalizadas.
¡Así nació el Simulador de WAF de Fastly!
El simulador de WAF de Fastly permite a los usuarios introducir peticiones y respuestas de muestra y ver, en tiempo real, cómo responderá el firewall de aplicación web. Es API-prioritario, admite pruebas basadas en la interfaz de usuario para flujos de trabajo exploratorios y se integra sin problemas en las canalizaciones de CI/CD.
Las capacidades clave incluyen:
Simulación de petición/respuesta para probar el comportamiento esperado de las reglas
Visibilidad de las señales basadas en reglas, incluyendo el análisis de bots, la aplicación de la lógica empresarial y los códigos de estado de bloqueo
Validación de reglas personalizadas con etiquetado CVE o lógica compleja
Casos de prueba con control de versiones que persisten a través de los cambios de equipo
Y quizás lo más importante, el simulador hace que las pruebas de seguridad sean accesibles sin necesidad de convertirte en un experto en curl.
Uso en el mundo real: pruebas antes de que surjan problemas
Simran describió cómo los equipos de investigación de seguridad pueden usar el simulador para verificar la cobertura de vulnerabilidades emergentes. Si recibo una Vulnerabilidad y exposición comunes, quiero saberlo de inmediato: ¿puede nuestro WAF detectarlo? Si no, necesito escalar, crear una regla y probarla —rápido.
Una de las ventajas más significativas es prevenir las malas configuraciones. Durante la demostración, una regla de exclusión aparentemente inofensiva rompió por completo la detección de cross-site scripting (XSS), eliminando tanto la detección como el etiquetado CVE asociado. Con las pruebas automatizadas ejecutándose en GitHub Actions y las alertas de Slack habilitadas, el problema se habría detectado inmediatamente.
Como explicó Daniel, “No solo estamos evitando roturas, sino que estamos acortando el tiempo desde el cambio hasta la resolución. «Eso es enorme cuando gestionas más de 1000 sitios»
Fomentar una mentalidad de «detección como código»
El simulador WAF de Fastly adopta plenamente una mentalidad de «detección como código», que aplica principios de ingeniería de software, como el control de versiones, la revisión de código y las pruebas automatizadas, a la creación y gestión de reglas de detección de seguridad.
En lugar de depender de configuraciones ad hoc o actualizadas manualmente, la detección como código trata la lógica de detección como un recurso estructurado, versionado y colaborativo. Este enfoque incrementa la fiabilidad, facilita una iteración rápida y ayuda a los equipos a escalar la detección de amenazas mientras mantienen la coherencia en todos los entornos. Al incorporar la detección en el ciclo de vida del desarrollo, los equipos de seguridad podéis alinearos de manera más efectiva con las prácticas de DevOps y responder más rápido a las amenazas en evolución. Las reglas se documentan, versionan y prueban igual que la lógica de aplicación.
El simulador de WAF admite:
Gestión de configuración basada en Terraform
Pruebas unitarias definidas en YAML
Alertas de Slack y de GitHub Action para fallos en las pruebas de CI/CD
Soporte para webhooks que activa la validación automatizada al cambiar las reglas
Los equipos de seguridad se encuentran constantemente en situaciones en las que un enfoque de este tipo os saca de apuros. Puede ser algo tan simple como que un miembro del equipo se vaya a otro puesto. La detección como código hace que la seguridad parezca una extensión natural del flujo de trabajo de desarrollo, ¡no un obstáculo que evitar!
Ya sea que la seguridad esté integrada en el equipo de DevOps o sea responsabilidad de una organización de seguridad dedicada, el WAF Simulator os potencia a ambos. Admite un modelo de responsabilidad compartida en el que los desarrolladores gestionan la lógica de seguridad específica de las aplicaciones, mientras que los equipos centrales supervisan las políticas globales.
Simran lo resumió bien: "La seguridad se convierte en parte de tu rol como desarrollador." Tú conoces mejor tu app. Esto te proporciona las herramientas para gestionarlo de forma segura, sin ir a ciegas.
Seguridad que avanza a la velocidad del desarrollo
Los controles de seguridad solo son efectivos si funcionan, y muchas organizaciones no saben si lo están hasta que una violación de la seguridad, una prueba de penetración o un usuario frustrado descubre lo contrario.
WAF Simulator cambia las reglas del juego al aportar rapidez, visibilidad y confianza a los flujos de trabajo de DevSecOps. Garantiza que las reglas funcionen como se espera, que los equipos se mantengan sincronizados y que la seguridad evolucione junto con el desarrollo, no detrás de él.
¿Quieres probarlo? Explora el proyecto de automatización del simulador WAF de Fastly en GitHub y comienza a crear flujos de trabajo más inteligentes y seguros, sin los baches.
