Preguntas frecuentes de Web Application Firewall
Preguntas generales
¿Qué es el servicio Oracle Cloud Infrastructure Web Application Firewall (WAF)?
Oracle Cloud Infrastructure Web Application Firewall (WAF) es un servicio de seguridad global basado en la nube, compatible con PCI, que protege las aplicaciones contra el tráfico de Internet malicioso y no deseado. Oracle Cloud Infrastructure WAF puede proteger cualquier punto final accesible desde Internet y permite un cumplimiento coherente de reglas en todas las aplicaciones de un cliente.
Con Oracle Cloud Infrastructure WAF, los clientes pueden crear y gestionar reglas para evitar amenazas de Internet, incluidos ataques de scripts de sitios (XSS), inyección de código SQL y otras vulnerabilidades definidas por OWASP. Se pueden mitigar los bots no deseados y permitir al mismo tiempo la entrada de bots deseables. También se pueden usar reglas para limitar el acceso en función de la ubicación geográfica o la firma de las solicitudes entrantes.
El Centro de Operaciones de Seguridad (SOC, Security Operations Center) global permanente de Oracle supervisará continuamente el entorno de amenazas de Internet y actuará como una extensión de tu equipo de seguridad de TI.
¿Cuál es el caso de uso de Oracle Cloud Infrastructure WAF?
El servicio Oracle Cloud Infrastructure WAF debe utilizarse para cualquier aplicación web accesible desde Internet o API basada en HTTP.
¿Cuál es el modelo de responsabilidad compartida de Oracle Cloud Infrastructure WAF?
| Responsabilidad | Oracle | Cliente |
|---|---|---|
| Incorporar/Configurar la política de WAF para la aplicación web | No | Sí |
| Configurar las dependencias de incorporación de WAF (DNS, reglas de acceso, red) | No | Sí |
| Proporcionar alta disponibilidad (HA) para el servicio WAF | Sí | No |
| Supervisar ataques de denegación de servicio distribuida (DDoS) | Sí | No |
| Mantener la infraestructura de WAF con los últimos parches y actualizaciones | Sí | No |
| Supervisar los registros del plano de datos para detectar comportamientos anómalos y no deseados | Sí | Sí |
| Crear nuevas reglas en función de las nuevas vulnerabilidades y medidas de mitigación | Sí | No |
| Revisar y aceptar nuevas reglas recomendadas | No | Sí |
| Ajustar las reglas de acceso y las estrategias de gestión de bots de WAF según su tráfico | No | Sí |
¿Qué ventajas ofrece Oracle Cloud Infrastructure WAF?
Oracle Cloud Infrastructure WAF filtra las solicitudes maliciosas a tu aplicación web o API. También ofrece más visibilidad sobre el origen del tráfico y mitiga los ataques DDoS de capa 7, lo que garantiza una mayor disponibilidad.
La solución de gestión de bots utiliza técnicas de detección como la limitación de direcciones IP, CAPTCHA, huella digital de dispositivos y desafíos de interacción humana para identificar e impedir que las actividades incorrectas o sospechosas de los bots atraviesen tu sitio web para obtener datos que supongan una ventaja competitiva. Al mismo tiempo, el servicio WAF puede permitir que el tráfico legítimo de bots de Google, Facebook y otros continúen accediendo a las aplicaciones web según lo previsto.
Oracle Cloud Infrastructure WAF emplea un algoritmo inteligente de DNS basado en datos que determina el mejor punto de presencia (POP, point of presence) global para atender a un usuario determinado en tiempo real. Como resultado, se redirige a los usuarios para evitar problemas de la red mundial y posibles latencias, además de ofrecer los mejores tiempos de actividad y niveles de servicio posibles.
¿Qué prestaciones y características principales obtengo con Oracle Cloud Infrastructure WAF?
- Despliegue de arquitectura y bloqueo del origen: limita el tráfico a los puertos 80 y 443, eliminando así el resto de conexiones.
- Enrutamiento dinámico del tráfico a través de DNS: aprovecha los algoritmos de enrutamiento del tráfico basados en DNS que tienen en cuenta la latencia de usuarios de miles de ubicaciones globales para determinar las rutas con menor latencia.
- Alta disponibilidad: al configurar la entrega de aplicaciones web, Oracle Cloud Infrastructure WAF ofrece varias opciones de configuración de alta disponibilidad con la posibilidad de añadir varios servidores de origen. Estas configuraciones y/o servidores solo se utilizarán cuando los servidores de origen principales estén fuera de línea o no respondan correctamente a las comprobaciones de estado.
- Gestión de políticas: configura y gestiona las prestaciones y funcionalidades dentro de la configuración de Oracle Cloud Infrastructure WAF.
- Supervisión y presentación de información: esta funcionalidad ofrece a los usuarios la posibilidad de acceder a informes relacionados con su biblioteca de contenidos.
- Soporte: avisa a los equipos de soporte de la existencia de un problema y escala la incidencia en función de la urgencia (por ejemplo, gravedad1, 2 o 3).
¿Cómo puedo empezar a usar Oracle Cloud Infrastructure WAF?
El servicio Oracle Cloud Infrastructure WAF utiliza el modelo de créditos universales y de consumo según las siguientes métricas:
- Número de solicitudes (precio más alto cuando la gestión de bots está habilitada)
- Cantidad de datos/tráfico de salida de WAF
- Número de puntos finales que no son de Oracle Cloud Infrastructure (mensual)
¿Puedo suscribirme a Oracle Cloud Infrastructure WAF sin utilizar ningún otro servicio?
Sí. Oracle Cloud Infrastructure WAF está disponible para los suscriptores del modelo de créditos universales. Los clientes pueden optar por usar solo Oracle Cloud Infrastructure WAF para proteger las cargas de trabajo que no son de OCI. Hay una pequeña dependencia del almacenamiento de objetos para utilizar la consola de Oracle Cloud Infrastructure que aparecerá en tu facturación.
¿Todas las funcionalidades de Oracle Cloud Infrastructure WAF están disponibles en la API?
Sí. Oracle Cloud Infrastructure WAF se diseñó dando prioridad a las API, por lo que todo lo que se puede hacer en la consola está disponible en la API.
¿Todos los controles de Oracle Cloud Infrastructure WAF están disponibles a través de la consola?
No desde marzo de 2021. Hay algunas funciones de gestión que solo se pueden realizar a través de la API. Estas son algunas de las funciones que solo se pueden realizar desde la API:
- Inteligencia de amenazas
- Limitación de direcciones IP
- Configuración de reglas de acceso
- Gestión de certificados (más allá de cargar un solo certificado o clave)
- Informes y telemetría (suponiendo que no dispongas de la telemetría pública de Oracle Cloud Infrastructure)
Seguimos añadiendo estos elementos a la consola y publicaremos ejemplos de API, SDK y Terraform para gestionar estas funciones.
¿Cómo puedo importar los registros de Oracle Cloud Infrastructure WAF a mi SIEM?
Se recomienda utilizar la API para que SIEM consuma los registros de WAF. Actualmente no proporcionamos ningún complemento predefinido para proveedores de SIEM.
¿Desde qué regiones de Oracle Cloud Infrastructure puedo configurar el servicio WAF?
Oracle Cloud Infrastructure WAF es un servicio global que se puede configurar desde cualquier región comercial. Sin embargo, no está limitado a esa región para los datos. Cualquier configuración de Oracle Cloud Infrastructure WAF se añade al "perímetro" global.
¿Dónde están los puntos de presencia (PoP) globales de Oracle Cloud Infrastructure WAF?
Actualmente, Oracle cuenta con un total de 11 nodos perimetrales con la siguiente presencia global*:
- Brasil
- India
- Sídney
- Fráncfort
- Suiza
- Londres
- Phoenix
- Ashburn
- Toronto
- Tokio
- Seúl
*Ten en cuenta que algunas ubicaciones tienen más de un PoP.
Preguntas técnicas
¿Oracle Cloud Infrastructure proporciona protección contra ataques de denegación de servicio distribuida (DDoS) de capa 7 (L7)?
Sí. Oracle Cloud Infrastructure proporciona protección ilimitada contra ataques de DDoS para aplicaciones y servicios web.
¿Dónde se produce la protección contra DDoS de L7?
La protección contra DDoS se proporciona a través de la red perimetral de Oracle Cloud Infrastructure, que se compone de puntos de presencia (PoP) de alta capacidad distribuidos por todo el mundo que admiten una amplia gama de aplicaciones de perímetro. Los PoP perimetrales de Oracle se encuentran en regiones de Oracle Cloud Infrastructure y en ubicaciones independientes de todo el mundo. En concreto, los ataques de DDoS de L7 se gestionan mediante Oracle Web Application Firewall (WAF), que incluye un conjunto completo de funciones de control de acceso y gestión de bots diseñadas para frustrar las amenazas de DDoS de L7. Oracle WAF está diseñado para proteger contra la inmensa mayoría de los ataques de DDoS en cada PoP. En caso de que se produzca un ataque de DDoS de L7 de un volumen extremadamente elevado, Oracle utiliza centros de depuración de DDoS, que están distribuidos por todo el mundo para garantizar tiempos de respuesta rápidos.
¿Cómo se aprovisiona la mitigación de DDoS de L7 de Oracle Cloud Infrastructure?
El servicio está disponible desde la consola de Oracle Cloud Infrastructure. El cliente tiene que seleccionar la protección de DDoS de L7 en la consola como parte del menú de gestión de bots de WAF. Se puede seleccionar una de dos opciones:
1. Bajo demanda: La protección frente a ataques DDoS de L7 se activa a discreción del cliente.
2. Siempre activa: LLa protección frente a ataques DDoS de L7 siempre está activada y proporciona protección automática.
¿Qué se incluye con la mitigación de DDoS de L7?
La mitigación de DDoS de L7 forma parte del servicio Oracle Cloud Infrastructure WAF y se activa cuando los usuarios seleccionan una serie de opciones de política diseñadas para frustrar ataques sofisticados de DDoS de L7. Las opciones de política incluyen, entre otras, desafíos de JavaScript, limitación de direcciones IP, huella digital de dispositivos y desafíos de interacción humana. Cuando se selecciona la opción "siempre activa", estas contramedidas están totalmente automatizadas. Los usuarios también pueden seleccionar la opción "on-demand" (bajo demanda) para activar manualmente la protección de DDoS de L7 a su discreción.
¿Cuánto cuesta la mitigación de DDoS de L7 de Oracle?
La mitigación de DDoS de L7 forma parte del servicio Oracle Cloud Infrastructure WAF. Se trata de una suscripción de pago según los volúmenes de tráfico y solicitudes. Consulta la página de precios de Oracle para obtener más información.
¿Cómo funciona la mitigación de DDoS de L7 de Oracle Cloud Infrastructure?
El tráfico se dirige automáticamente a la red perimetral de Oracle Cloud Infrastructure a través de una arquitectura de proxy inverso. La red perimetral incluye PoP distribuidos por todo el mundo que inspeccionan todo el tráfico HTTP y HTTPS antes de que llegue a la aplicación web. Los PoP utilizan las contramedidas activadas de DDoS para eliminar automáticamente el tráfico que se identifica como procedente de redes de bots maliciosas.
¿Qué informes se proporcionan?
El portal de Oracle Cloud Infrastructure contiene consolas con informes casi en tiempo real sobre alertas, solicitudes bloqueadas, mitigaciones de bots y registros.
¿Cómo puedo bloquear mi origen para que solo acepte conexiones de los nodos perimetrales de Oracle Cloud Infrastructure WAF?
Configura las reglas de entrada de origen para que solo acepte conexiones de ciertos rangos de CIDR. Consulta la Protección de WAF en la guía de Pasos preliminares para obtener la lista actualizada.
¿Puede un cliente incluir su marca en sus páginas de CAPTCHA?
No, no admitimos esta función en este momento.
¿Qué conjunto de reglas básicas (CRS) de OWASP admite Oracle Cloud Infrastructure WAF?
Oracle Cloud Infrastructure WAF es compatible con CRS 3.0.
¿Hay alguna manera de habilitar todas las reglas, en todos los conjuntos, al mismo tiempo?
Recomendamos que utilices la API, la CLI, el SDK o Terraform para generar este script. Sin embargo, no se recomienda activar todo al mismo tiempo.
¿Dónde se puede consultar más información sobre los servicios de WAF?
Consulta la página principal de Firewall de aplicación web para obtener más información.
Oracle Cloud Infrastructure WAF for Fusion Applications
¿Cómo funciona Oracle Cloud Infrastructure WAF for Fusion Applications?
La suite de WAF for Oracle Fusion Cloud Applications mejora la estrategia de seguridad de nuestros clientes al ofrecer al equipo de Oracle SaaS Cloud Security visibilidad adicional de los ataques de nivel de aplicación con respecto a los datos de sus aplicaciones. WAF for Fusion Applications es completamente transparente para los clientes y está gestionado de extremo a extremo por expertos en la materia de Oracle. Con esta oferta, los clientes reciben soporte con un centro de operaciones de seguridad 24 horas, que es responsable de actualizar, supervisar, gestionar, responder y proteger nuestras Fusion Applications, sin que esto afecte la resiliencia o disponibilidad de las aplicaciones.
¿Cuánto cuesta Oracle Cloud Infrastructure WAF for Fusion Applications?
WAF for Fusion Applications está disponible de forma gratuita para todos los clientes de Fusion alojados en Oracle Cloud Infrastructure.
¿Afectará esto al rendimiento de mis aplicaciones de Fusion?
WAF para Fusion Applications se despliega junto con nuestro equilibrador de carga y soporta cientos de reglas que pueden inspeccionar cualquier parte de la solicitud web a Fusion Applications y API con un impacto de latencia mínimo en el tráfico entrante.
¿Cuál es la diferencia entre Oracle Cloud Infrastructure WAF y WAF for Fusion Applications?
WAF for Fusion Applications es una versión de Oracle Cloud Infrastructure WAF que se ha ajustado a productos SaaS. Protege las aplicaciones SaaS frente a ataques dirigidos mediante el filtrado del tráfico basado en reglas listas para usar que los equipos de seguridad SaaS han diseñado para proporcionar protección de capa 7 (L7) siempre activa.