Habilitação do WAF

A Adobe habilita o serviço da WAF em novas contas dentro de 2 a 3 semanas após o provisionamento ser concluído. O WAF é implementado por meio do serviço Fastly CDN. Não é necessário instalar ou manter nenhum hardware ou software.

NOTE
Antes de usar o serviço WAF, todo o tráfego externo para o seu projeto de infraestrutura em nuvem do Adobe Commerce deve ser roteado pelo serviço Fastly. Consulte Configurar Fastly.

Como funciona

O serviço WAF integra-se ao Fastly e usa a lógica do cache no serviço CDN do Fastly para filtrar o tráfego nos nós globais do Fastly. Habilitamos o serviço WAF em seu ambiente de Produção com uma política padrão do WAF baseada nas Regras de segurança ModLabs da Trustwave SpiderLabs e nas Dez principais ameaças de segurança da OWASP.

O serviço do WAF inspeciona o tráfego HTTP e HTTPS (solicitações GET e POST) em relação ao conjunto de regras do WAF e bloqueia o tráfego mal-intencionado ou não compatível com regras específicas. O serviço inspeciona somente o tráfego de origem vinculada que tenta atualizar o cache. Como resultado, interrompemos a maioria do tráfego de ataques no cache do Fastly, protegendo seu tráfego de origem de ataques mal-intencionados. Ao processar apenas o tráfego de origem, o serviço WAF preserva o desempenho do cache, introduzindo apenas uma latência estimada de 1,5 milissegundos a 20 milissegundos para cada solicitação não armazenada em cache.

Solução de problemas de solicitações bloqueadas

Quando o serviço WAF está ativado, ele inspeciona todo o tráfego da Web e administrativo em relação às regras do WAF e bloqueia qualquer solicitação da Web que acione uma regra. Quando uma solicitação é bloqueada, o solicitante vê uma página de erro padrão 403 Forbidden que inclui uma ID de referência para o evento de bloqueio.

Página de erro do WAF

Você pode personalizar esta página de resposta de erro no Admin. Consulte Personalizar a página de resposta do WAF.

Se a sua página de administrador ou loja do Adobe Commerce retornar uma página de erro 403 Forbidden em resposta a uma solicitação de URL legítima, envie um tíquete de Suporte da Adobe Commerce. Copie a ID de referência da página de resposta de erro e cole-a na descrição do ticket.

Para identificar a resposta do WAF para uma solicitação específica usando o New Relic, consulte o seguinte:

  • Agent_response — Indica o código de resposta do WAF (200 significa bom e 406 significa bloqueado)
  • sigsci tags — Marca a solicitação para uma tag de ciências de sinais específica com base na natureza da solicitação

Manutenção e atualizações do WAF

O Fastly atualiza e implanta patches para novos CVEs/regras de modelo com base em atualizações de regras de terceiros comerciais, pesquisa do Fastly e fontes abertas. O Fastly atualiza as regras publicadas em uma política, conforme necessário, ou quando alterações nas regras estão disponíveis em suas respectivas fontes. Além disso, o Fastly pode adicionar regras que correspondem às classes de regras publicadas na instância do WAF de qualquer serviço depois que o serviço do WAF é ativado. Essas atualizações garantem cobertura imediata para explorações novas ou em evolução.

A Adobe e o Fastly gerenciam o processo de atualização para garantir que as regras do WAF novas ou modificadas funcionem efetivamente no ambiente de Produção antes que as atualizações sejam implantadas no modo de bloqueio.