Un WAF o firewall de aplicaciones web es un tipo especial de firewall que actúa como un escudo situado entre una aplicación web e internet para proteger el servidor, detectando y bloqueando el tráfico de peticiones maliciosas.
Para ello, el WAF filtra, supervisa y bloquea el tráfico HTTP y HTTPS entrante y saliente del servicio web. Una vez que el WAF está configurado y en funcionamiento para un servicio, ayuda a prevenir los ataques a la capa de la aplicación (capa 7) que, como la inyección de código SQL, el scripting entre sitios (XSS) o las violaciones del protocolo HTTP, pretenden aprovecharse de las vulnerabilidades de la aplicación.
Los WAF no constituyen una protección contra todo tipo de amenazas y ataques. En realidad, forman parte de un conjunto de herramientas que protegen las aplicaciones y los sitios web. Para determinar qué clase de tráfico es seguro o malicioso o cuál se debe permitir o bloquear, usan unas reglas llamadas «políticas».
Toda empresa o persona [que use un WAF](/blog/legacy-vs-next-gen-waf-the-differences-matter) puede adaptar las políticas a sus requisitos propios. Además, las políticas se pueden actualizar rápidamente e incluso automáticamente, lo cual constituye una de las ventajas de los WAF: como es tan fácil modificar las políticas, se responde más rápidamente a varias clases de ataques.
Hay tres tipos principales de WAF: locales, en la nube o híbridos
Los WAF locales, también denominados «WAF de dispositivo», son de uso común. Al principio, todos los WAF eran locales y muchas empresas siguen usándolos para proteger sus flujos de trabajo, sobre todo en aplicaciones heredadas o más antiguas.
Los WAF en la nube se pueden ubicar en la nube hospedada por el proveedor o en el edge de una red de distribución de contenidos (CDN). Las soluciones de WAF en la nube están ganando popularidad porque el despliegue en la nube permite bloquear las amenazas más cerca del origen, antes de que accedan a la red.
Además, constituyen la manera más rápida de implementar un WAF y suelen ser una buena elección en la mayoría de los casos, incluso para las empresas que tienen pocos recursos de IT en plantilla o si los equipos no son completamente autónomos en cuanto a la gestión de sus infraestructuras.
Otra ventaja que ofrecen los WAF en la nube es que no hace falta desplegar programas para gozar de protección, lo cual redunda en unos menores costes: el personal no tiene que gestionar software, sino que se puede centrar en impedir que las amenazas pongan en peligro las aplicaciones y las interfaces de programación de aplicaciones (API).
Por último, los WAF híbridos son una combinación de despliegues en la nube y locales. Esto ofrece visibilidad de las peticiones web que se envían a las aplicaciones y las API en cualquier entorno.
Los despliegues híbridos protegen tanto las aplicaciones modernas descentralizadas como las aplicaciones antiguas que no se han adaptado a la nube. Además, este modelo saca partido de la combinación del entorno local y en la nube y muestra telemetría de seguridad de producción en una consola central de gestión. Así, se obtiene una visión amplia de todos los despliegues de producción del WAF mediante informes y paneles intuitivos.
Con independencia del método de despliegue elegido, el proveedor del WAF también proporciona una API que permite a los clientes suministrar datos e indicadores de seguridad a herramientas de gestión de información e incidentes de seguridad (SIEM) o herramientas de respuesta, automatización y orquestación de seguridad (SOAR) de terceros.
#### ¿Qué es la WAAP?
La protección de API y aplicaciones web (WAAP) describe los servicios de la nube que están pensados para proteger las API y aplicaciones web vulnerables frente a todo tipo de ataques. Los servicios de WAAP ofrecen una serie de funcionalidades de protección basadas en la inspección efectiva de peticiones web antes de que estas alcancen el punto de conexión de la API o la aplicación.
La WAAP se centra en la protección de la capa de la aplicación (capa 7) del modelo OSI y reside en el edge externo de la red. Los servicios de WAAP en la nube suelen reunir las funcionalidades de mitigación de bots, WAF, protección de API y protección contra DDoS.