Firewall de aplicativo da Web (WAF)
Desenvolvido pela Fastly, o serviço de firewall do aplicativo web (WAF) para o Adobe Commerce na infraestrutura em nuvem detecta, registra e bloqueia o tráfego de solicitação mal-intencionado antes que ele possa danificar seus sites ou a rede. O serviço WAF está disponível somente em ambientes de produção.
O serviço WAF oferece os seguintes benefícios:
-
Conformidade com o PCI — a ativação da WAF garante que as vitrines da Adobe Commerce em ambientes de produção atendam aos requisitos de segurança do PCI DSS 6.6.
-
Política padrão do WAF — A política padrão do WAF, configurada e mantida pelo Fastly, fornece uma coleção de regras de segurança personalizadas para proteger seus aplicativos Web do Adobe Commerce contra uma grande variedade de ataques, incluindo ataques de injeção, entradas mal-intencionadas, script entre sites, exfiltração de dados, violações de protocolo HTTP e outras Dez principais ameaças de segurança do OWASP.
-
Integração e habilitação do WAF—o Adobe implanta e habilita a política padrão do WAF no seu ambiente de Produção dentro de 2 a 3 semanas após o provisionamento ser concluído.
-
Suporte a operações e manutenção—
- O Adobe e o Fastly configuram e gerenciam seus registros, regras e alertas para o serviço do WAF.
- O Adobe tria tíquetes de suporte ao cliente relacionados a problemas de serviço do WAF que bloqueiam o tráfego legítimo como problemas de Prioridade 1.
- As atualizações automatizadas para a versão de serviço do WAF garantem cobertura imediata para explorações novas ou em evolução. Consulte manutenção e atualizações do WAF.
Habilitação do WAF
O Adobe habilita o serviço WAF em novas contas em 2 a 3 semanas após o provisionamento ser concluído. O WAF é implementado por meio do serviço Fastly CDN. Não é necessário instalar ou manter nenhum hardware ou software.
Como funciona
O serviço WAF integra-se ao Fastly e usa a lógica do cache no serviço CDN do Fastly para filtrar o tráfego nos nós globais do Fastly. Habilitamos o serviço WAF em seu ambiente de Produção com uma política padrão do WAF baseada nas Regras de segurança ModLabs da Trustwave SpiderLabs e nas Dez principais ameaças de segurança da OWASP.
O serviço do WAF inspeciona o tráfego HTTP e HTTPS (solicitações GET e POST) em relação ao conjunto de regras do WAF e bloqueia o tráfego mal-intencionado ou não compatível com regras específicas. O serviço inspeciona somente o tráfego de origem vinculada que tenta atualizar o cache. Como resultado, interrompemos a maioria do tráfego de ataques no cache do Fastly, protegendo seu tráfego de origem de ataques mal-intencionados. Ao processar apenas o tráfego de origem, o serviço WAF preserva o desempenho do cache, introduzindo apenas uma latência estimada de 1,5 milissegundos a 20 milissegundos para cada solicitação não armazenada em cache.
Solução de problemas de solicitações bloqueadas
Quando o serviço WAF está ativado, ele inspeciona todo o tráfego da Web e administrativo em relação às regras do WAF e bloqueia qualquer solicitação da Web que acione uma regra. Quando uma solicitação é bloqueada, o solicitante vê uma página de erro padrão 403 Forbidden que inclui uma ID de referência para o evento de bloqueio.
Você pode personalizar esta página de resposta de erro no Admin. Consulte Personalizar a página de resposta do WAF.
Se a sua página de administrador ou loja do Adobe Commerce retornar uma página de erro 403 Forbidden em resposta a uma solicitação de URL legítima, envie um tíquete de Suporte da Adobe Commerce. Copie a ID de referência da página de resposta de erro e cole-a na descrição do ticket.
Manutenção e atualizações do WAF
O Fastly atualiza e implanta patches para novos CVEs/regras de modelo com base em atualizações de regras de terceiros comerciais, pesquisa do Fastly e fontes abertas. O Fastly atualiza as regras publicadas em uma política, conforme necessário, ou quando alterações nas regras estão disponíveis em suas respectivas fontes. Além disso, o Fastly pode adicionar regras que correspondem às classes de regras publicadas na instância do WAF de qualquer serviço depois que o serviço do WAF é ativado. Essas atualizações garantem cobertura imediata para explorações novas ou em evolução.
Adobe e gerencie o Fastly no processo de atualização para garantir que as regras do WAF novas ou modificadas funcionem efetivamente no ambiente de Produção antes que as atualizações sejam implantadas no modo de bloqueio.
Problemas
Se você achar que o WAF está bloqueando solicitações legítimas, elas geralmente são falsos positivos e precisarão ser ignoradas ou ter uma solução alternativa implementada no serviço do WAF. Envie um tíquete de suporte e inclua o URL afetado, as etapas exatas para reproduzir o erro e a referência do erro no formato de texto (em vez de uma captura de tela) para evitar erros de transcrição.
Limitação
O serviço WAF padrão desenvolvido pela Fastly não é compatível com os seguintes recursos:
- Proteção contra malware ou mitigação de bot — Considere usar listas de controle de acesso ou um serviço de terceiros.
- Limitação de taxa — Consulte Limitação de taxa na documentação do Fastly, ou consulte Limitação de taxa na seção de segurança API da Web do Commerce.
- Configurando um ponto de extremidade de log para o cliente — Consulte o serviço PrivateLink como uma alternativa.
O serviço WAF permite bloquear ou permitir o tráfego com base em endereços IP. Você pode adicionar listas de controle de acesso (ACL) e trechos de VCL personalizados ao serviço Fastly para especificar os endereços IP e a lógica de VCL para bloquear ou permitir o tráfego. Consulte Fragmentos de VCL personalizados.
A filtragem de solicitações TCP, UDP ou ICMP não é suportada pelo serviço WAF. No entanto, essa funcionalidade é fornecida pela proteção DDoS integrada incluída no serviço Fastly CDN. Consulte Proteção de DDoS.