WAF (Web Application Firewall) basato su Fastly: le domande frequenti

Come funziona Adobe Commerce Managed Cloud WAF (con tecnologia Fastly)?

I firewall per applicazioni Web impediscono a traffico dannoso di accedere a siti e reti filtrando il traffico in base a una serie di regole di sicurezza. Il traffico che attiva una qualsiasi delle regole viene bloccato prima che possa danneggiare i siti o la rete.

Adobe Commerce Cloud WAF fornisce una policy WAF con un set di regole progettato per proteggere le applicazioni web Adobe Commerce da un’ampia gamma di attacchi.

Il WAF esamina il traffico web e di amministrazione per identificare eventuali attività sospette. Valuta il traffico GET e POST (chiamate API HTTP) e applica il set di regole per determinare quale traffico bloccare. La WAF può bloccare un'ampia varietà di attacchi, tra cui attacchi SQL injection, attacchi cross-site scripting, attacchi di exfiltrazione dei dati e violazioni del protocollo HTTP.

In quanto servizio basato su cloud, WAF non richiede hardware o software per l'installazione o la manutenzione. Fastly, un partner tecnologico esistente, fornisce il software e le competenze necessarie. Il loro WAF ad alte prestazioni, sempre attivo, risiede in ogni nodo di cache all’interno della rete di distribuzione globale di Fastly.

WAF è disponibile per tutti i clienti cloud?

Sì, il servizio WAF cloud è incluso nell’abbonamento Adobe Commerce all’infrastruttura cloud sia per l’architettura del piano Adobe Commerce on cloud infrastructure Starter che per i piani dell’architettura del piano Adobe Commerce on cloud infrastructure Pro senza costi aggiuntivi. Il servizio WAF è disponibile negli ambienti di produzione e staging.

WAF è conforme ai requisiti PCI DSS 6.6?

Sì.

Se il mio account Adobe Commerce on cloud infrastructure gestisce siti su più domini, il profilo WAF è sintonizzato per ciascun dominio o collettivamente per tutti i domini?

Il WAF è sintonizzato collettivamente per tutti i domini sotto un singolo account cloud.

Quali regole vengono utilizzate per la WAF?

Il set di regole nel profilo WAF applicato all’ambiente di produzione Adobe Commerce on cloud infrastructure si basa sul set di regole OWASP Top 10 Threat Protection, che riguarda gli exploit comuni ai servizi web. Contiene anche regole specifiche per Adobe Commerce sviluppate da TrustWave SpiderLabs. Il team di ricerca sulla sicurezza di Fastly ha inoltre aggiunto regole che proteggono il sito e la rete da attacchi comunemente noti: indirizzi IP non validi, agenti utente non validi e nodi di comando e controllo botnet noti. Abilitiamo le regole a livello di paranoia OWASP 3 o inferiore, che fornisce una copertura di alta sicurezza.

Come posso accedere ai registri?

Per inviare i registri al tuo strumento di registrazione, collabora con il tuo Technical Account Manager (TAM) per aggiungere un endpoint di registrazione in Fastly.

Come si presenta una richiesta di blocco?

Una richiesta bloccata restituisce una pagina 403 con un identificatore di richiesta.

Puoi personalizzare questa pagina purché la personalizzazione includa l’identificatore della richiesta. Contatta il tuo account manager tecnico per maggiori dettagli.

Come si aggiornano i set di regole WAF? Con quale rapidità è possibile modificare o aggiornare una regola WAF e applicarla a livello globale in produzione?

Come parte del servizio cloud WAF, Fastly gestisce gli aggiornamenti delle regole da terze parti commerciali, Fastly Research e open source. Aggiornano le regole pubblicate in un criterio in base alle esigenze o quando sono disponibili modifiche alle regole dalle rispettive origini. Le nuove regole che corrispondono alle classi di regole pubblicate vengono inserite anche nell’istanza WAF di qualsiasi servizio una volta abilitata. Questo contribuisce a garantire una copertura immediata per gli exploit nuovi o in evoluzione. Puoi consultare le informazioni sugli aggiornamenti e la manutenzione delle regole nel sito della documentazione Fastly.

Quali sono le differenze tra il cloud WAF di Adobe Commerce e la soluzione WAF offerta da Fastly ai suoi clienti diretti?

La soluzione WAF venduta direttamente da Fastly è un'offerta a pagamento che include set di regole più ampi e funzioni aggiuntive come la personalizzazione delle regole e la protezione da malware. La soluzione WAF per cloud di Adobe Commerce include un sottoinsieme di regole mirate per l’applicazione Adobe Commerce e un solo set di regole per l’ambiente di produzione di ciascun cliente.

Quali tipi di minacce alla sicurezza protegge WAF?

Minaccia
Protezione WAF
Attacchi SQL injection
Sia il set di regole di base OWASP ModSecurity che il set di regole commerciali TrustWave includono filtri specifici per gli attacchi SQL injection e le relative varianti.
Iniezione intersito
Il set di regole OWASP protegge dagli attacchi di iniezione tra siti. Fastly sfrutta un meccanismo di punteggio per ogni richiesta di iniezione cross-site e altre minacce all’origine. Ogni richiesta viene valutata rispetto all’intero set di regole di base e verifica che il punteggio della richiesta sia inferiore a una soglia configurabile affinché possa essere superato.
Attacchi di forza bruta
Oggetto del set di regole OWASP. Blocca inoltre l’attività di forza bruta utilizzando il codice VCL che riconosce origini, richieste o tentativi specifici di forza bruta o di superare i controlli di sicurezza prima che qualsiasi traffico raggiunga il datacenter di origine.
Attacchi di rete
Gli attacchi di rete, o attacchi mirati all'infrastruttura di rete, vengono gestiti automaticamente da Fastly. Fastly non passa il DNS all’origine e il traffico che non corrisponde a un profilo HTTP, HTTPS o DNS stretto viene scartato al margine della rete. I protocolli di controllo di targeting degli attacchi vengono difesi tramite l'autenticazione degli endpoint in tutta la rete. Inoltre, i protocolli di rete utilizzati all'interno della rete Fastly sono stati rafforzati per garantire che non possano essere utilizzati come mezzo di amplificazione o riflessione. I clienti sono responsabili della protezione contro gli attacchi che bypassano la rete Fastly sfruttando lo spazio di indirizzi IP Fastly Cache, pubblicato per i nostri clienti come componente del nostro servizio CDN. Si consiglia di non pubblicare lo spazio degli indirizzi IP di origine nel DNS pubblico per garantire che gli attacchi di bypass non possano utilizzare questi indirizzi come destinazioni.
Attacchi JavaScript injection
Le regole WAF proteggono da codice JavaScript dannoso inserito nelle comunicazioni client con i servizi web. I pattern o i punteggi di exploit comuni vengono filtrati attraverso il WAF per garantire l'integrità del servizio di origine.

Sono disponibili funzioni e funzionalità aggiuntive?

L'offerta WAF di Adobe Commerce include la protezione contro le minacce OWASP Top-10 come parte dei requisiti PCI, supporto 24 ore su 24, 7 giorni su 7, incluso il triage per falsi positivi, e aggiornamenti di versione. Le seguenti funzioni non sono supportate nell’offerta standard:

  • limite di velocità
  • personalizzazioni delle regole
  • mitigazione bot
  • protezione da malware

In che modo la WAF influisce sulle prestazioni del mio sito?

A ogni richiesta non memorizzata in cache viene introdotta una latenza stimata tra 1,5 millisecondi (ms) e 20 ms.

I clienti possono creare e modificare blacklist IP per bloccare il traffico?

Sì, i clienti possono abilitare il blocco per paese e l’elenco di controllo di accesso (ACL) dall’interfaccia utente di amministrazione di Adobe Commerce sull’infrastruttura cloud. Utilizza queste funzioni nei casi in cui desideri bloccare l’accesso per i visitatori provenienti da paesi specifici o da determinati IP o intervalli IP. Se desideri che i visitatori bloccati visualizzino una pagina personalizzata invece di un codice di errore, puoi creare una pagina di errore personalizzata caricando HTML nel menu Configurazione rapida. Consulta Creare una pagina di errore/manutenzione personalizzata nella documentazione per gli sviluppatori.

Dove è possibile controllare lo stato operativo del servizio WAF?

La disponibilità generale del servizio WAF è riportata nella pagina Stato Fastly. Il rapporto sulla disponibilità per il WAF dei singoli clienti non viene fornito.

Adobe Commerce fornisce la gestione degli incidenti per il servizio WAF?

Al momento, la gestione degli incidenti non è disponibile.

Adobe Commerce dispone di un Centro operativo per la sicurezza?

Sebbene Adobe Commerce non disponga di un Centro operativo per la sicurezza, disponiamo di un processo operativo per la sicurezza che ci consente di utilizzare le risorse giuste per rispondere in tempo reale agli incidenti di sicurezza. Offriamo anche supporto 24/7/365 follow-the-sun.

È inoltre possibile ricevere le notizie e gli aggiornamenti sulla sicurezza relativi ad Adobe Commerce dal Centro sicurezza PC.

Quale supporto è disponibile?

Il supporto WAF offre le seguenti risorse per aiutarti a mitigare l’impatto dei servizi dovuti a richieste indesiderate o dannose:

  • Onboarding: abilitazione, configurazione iniziale e monitoraggio limitato dei servizi Fastly che supportano Adobe Commerce managed cloud WAF
  • Tentativo di ricerca falso positivo continuo per risolvere le istanze in cui WAF blocca il traffico legittimo
  • Configurazione di eventuali nuove regole standard introdotte come parte degli aggiornamenti della versione WAF

Consulta i termini del contratto di servizio cloud per ulteriori informazioni di supporto, tra cui definizioni di gravità, tempi di risposta, canali e disponibilità.

Se WAF blocca il traffico legittimo o causa altri problemi, come posso ottenere aiuto?

Invia un ticket di supporto presso il Centro assistenza Adobe Commerce. Indica che il ticket è correlato al servizio WAF e includi l’identificatore della richiesta bloccato (ID).

Il sistema di ticket del supporto Adobe Commerce tiene traccia delle comunicazioni tra i tecnici del supporto e il personale di un cliente. Questo sistema fornisce una trascrizione con marca temporale delle comunicazioni e invia e-mail al cliente e al personale di Adobe Commerce man mano che i biglietti vengono aggiornati.

Per tutti gli Incidenti inviati online, la ricevuta verrà confermata tramite il sistema di ticket del Centro assistenza clienti di Adobe Commerce. Dopo aver ricevuto un caso presentato correttamente, i servizi di supporto ricevono una priorità in base ai livelli di priorità sopra indicati.

Nella tabella seguente sono riepilogati i canali di supporto e la disponibilità per il supporto WAF:

Offerta di supporto
Dettagli
Guida self-service online
Accesso illimitato
Disponibilità per i rapporti sugli incidenti
24/7
Portale web
Disponibile tramite Zendesk
Escalation di emergenza*
Consulta l'articolo Hotline per le notifiche Adobe Commerce P1 per i numeri degli Stati Uniti e internazionali.

* La linea telefonica gratuita del Supporto Adobe Commerce è riservata solo agli incidenti con priorità 1. Le chiamate non prioritarie 1 rallenteranno la risposta complessiva ai problemi

Come vengono valutati i falsi positivi?

Abbiamo un processo di valutazione dei falsi positivi (disponibile 24 ore su 24, 7 giorni su 7) per affrontare e risolvere rapidamente le istanze in cui richieste legittime hanno attivato una regola WAF. I falsi positivi sono trattati come problemi con priorità 1. Come azione predefinita, il nostro team di supporto può aggiornare immediatamente i criteri WAF per disabilitare la regola che ha attivato l’evento di blocco e consentire alla richiesta legittima di passare attraverso WAF.

Cosa succede se il traffico verso la sezione amministratore del sito di Adobe Commerce sull’infrastruttura cloud attiva le regole WAF? Il supporto Adobe Commerce risolverà i problemi con il traffico amministratore bloccato?

Sì, il traffico di amministrazione bloccato viene trattato come un problema di priorità 1.

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a