Documentação Commerce Guia do Commerce na infraestrutura em nuvem

Firewall de Aplicativo Web (WAF)

Last update: Mon Jul 15 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Tópicos:

Criado para:

undefined
undefined

Desenvolvido pela Fastly, o serviço de firewall de aplicativo web (WAF) para o Adobe Commerce na infraestrutura em nuvem detecta, registra e bloqueia tráfego de solicitação mal-intencionado antes que possa danificar seus sites ou a rede. O serviço WAF está disponível somente em ambientes de produção.

O serviço WAF oferece os seguintes benefícios:

Conformidade com o PCI — a ativação do WAF garante que as vitrines da Adobe Commerce nos ambientes de produção atendam aos requisitos de segurança do PCI DSS 6.6.
Política WAF padrão — A política WAF padrão, configurada e mantida pelo Fastly, fornece uma coleção de regras de segurança personalizadas para proteger seus aplicativos Web do Adobe Commerce contra uma grande variedade de ataques, incluindo ataques de injeção, entradas mal-intencionadas, script entre sites, exfiltração de dados, violações de protocolo HTTP e outras Dez Principais Ameaças de Segurança da OWASP.
Integração e habilitação do WAF—o Adobe implanta e habilita a política padrão do WAF no ambiente de Produção dentro de 2 a 3 semanas após o provisionamento ser concluído.
Suporte a operações e manutenção—
- O Adobe e o Fastly configuram e gerenciam seus registros e alertas para o serviço WAF.
- O Adobe tria tíquetes de suporte ao cliente relacionados a problemas de serviço do WAF que bloqueiam o tráfego legítimo como problemas de Prioridade 1.
- As atualizações automatizadas para a versão do serviço WAF garantem cobertura imediata para explorações novas ou em evolução. Consulte manutenção e atualizações do WAF.

TIP

Para obter informações adicionais sobre como manter a conformidade com o PCI para sua Adobe Commerce em lojas de infraestrutura em nuvem, consulte conformidade com o PCI.

Ativação do WAF

O Adobe habilita o serviço WAF em novas contas dentro de 2 a 3 semanas após o provisionamento ser concluído. O WAF é implementado por meio do serviço Fastly CDN. Não é necessário instalar ou manter nenhum hardware ou software.

NOTE

Antes de usar o serviço WAF, todo o tráfego externo para o projeto Adobe Commerce na infraestrutura em nuvem deve ser roteado pelo serviço Fastly. Consulte Configurar Fastly.

Como funciona

O serviço WAF integra-se ao Fastly e usa a lógica do cache no serviço Fastly CDN para filtrar o tráfego nos nós globais do Fastly. Habilitamos o serviço WAF em seu ambiente de produção com uma política WAF padrão baseada nas Regras de segurança ModSecurity do Trustwave SpiderLabs e nas dez principais ameaças de segurança da OWASP.

O serviço WAF filtra o tráfego HTTP e HTTPS (solicitações GET e POST) em relação ao conjunto de regras WAF e bloqueia o tráfego mal-intencionado ou não compatível com regras específicas. O serviço filtra somente o tráfego associado à origem que tenta atualizar o cache. Como resultado, interrompemos a maioria do tráfego de ataques no cache do Fastly, protegendo seu tráfego de origem de ataques mal-intencionados. Ao processar apenas o tráfego de origem, o serviço WAF preserva o desempenho do cache, introduzindo apenas uma latência estimada de 1,5 a 20 milissegundos para cada solicitação não armazenada em cache.

Solução de problemas de solicitações bloqueadas

Quando o serviço WAF está ativado, ele filtra todo o tráfego da Web e administrativo em relação às regras WAF e bloqueia qualquer solicitação da Web que acione uma regra. Quando uma solicitação é bloqueada, o solicitante vê uma página de erro padrão 403 Forbidden que inclui uma ID de referência para o evento de bloqueio.

Página de erro do WAF

Você pode personalizar esta página de resposta de erro no Admin. Consulte Personalizar a página de resposta do WAF.

Se a sua página de administrador ou loja do Adobe Commerce retornar uma página de erro 403 Forbidden em resposta a uma solicitação de URL legítima, envie um tíquete de Suporte da Adobe Commerce. Copie a ID de referência da página de resposta de erro e cole-a na descrição do ticket.

Manutenção e atualizações do WAF

O Fastly mantém e atualiza o conjunto de regras do WAF com base em atualizações de regras de terceiros comerciais, pesquisas do Fastly e fontes abertas. O Fastly atualiza as regras publicadas em uma política, conforme necessário, ou quando alterações nas regras estão disponíveis em suas respectivas fontes. Além disso, o Fastly pode adicionar regras que correspondam às classes de regras publicadas na instância do WAF de qualquer serviço, após a ativação do serviço WAF. Essas atualizações garantem cobertura imediata para explorações novas ou em evolução.

Adobe e Fastly gerencie o processo de atualização para garantir que as regras do WAF novas ou modificadas funcionem efetivamente no ambiente de Produção antes que as atualizações sejam implantadas no modo de bloqueio.

Limitação

O serviço WAF padrão desenvolvido pelo Fastly não é compatível com os seguintes recursos:

Proteção contra malware ou mitigação de bot — Considere usar listas de controle de acesso ou um serviço de terceiros.
Limitação de taxa — Consulte Limitação de taxa na documentação do Fastly, ou consulte Limitação de taxa na seção de segurança API da Web do Commerce.
Configurando um ponto de extremidade de log para o cliente — Consulte o serviço PrivateLink como uma alternativa.

Embora o serviço WAF não permita bloquear ou permitir o tráfego com base em endereços IP, você pode adicionar listas de controle de acesso (ACL) e trechos de VCL personalizados ao serviço Fastly para especificar os endereços IP e a lógica de VCL para bloquear ou permitir o tráfego. Consulte Fragmentos de VCL personalizados.

A filtragem de solicitações TCP, UDP ou ICMP não é suportada pelo serviço WAF. No entanto, essa funcionalidade é fornecida pela proteção DDoS integrada incluída no serviço Fastly CDN. Consulte Proteção de DDoS.

recommendation-more-help

05f2f56e-ac5d-4931-8cdb-764e60e16f26