API Management
WAF dentro de mi infraestructura
En cuanto el cuadrante de Gartner, para que las podamos tener de referencia se encuentran Akamai e Imperva de líderes, Radware y Signal Sciences de visionarios, Amazon Web Services y Microsoft de visionarios y algunos players habituales que están cambiando su negocio, como Fortinet, Barracuda, F5 y CloudFlare.
Algunas consideraciones:
– Latencia en petición. Sobre todo si el WAF está en SaaS, debemos tener en cuenta que se introduce una pieza externa que crea latencia.
– Reglas WAF. Muchas veces los equipos de APIS desconocen las reglas que se aplican, y no son capaces de saber que está fallando sus APIs, puesto que se quedan en una pieza anterior al APIM.
– Logging único. Debemos loggear las peticiones del WAF como una parte más de nuestra infraestructura, Si no, tenemos una pieza «descontrolada»
– Mejor comportamiento ante los ataques más comunes. En general, estos WAF son piezas muy estables y rápidas, que llevan años pretegiendo sobre los ataques más comunes, que son las que recogen las reglas OWASP. Esto hace que estén mejor preparados y sean más rápidos en la protección.
– Reducción de coste APIM. Que puede ser, por ejemplo por reducción de infraestructura.
Una pieza interesante:
- Akamai: https://www.akamai.com/us/en/multimedia/documents/white-paper/how-akamai-augments-your-security-practice-to-mitigate-the-owasp-top-10-risks.pdf
- Imperva: https://www.imperva.com/learn/application-security/owasp-top-10/
Me parece interesante la parte de api-security de Imperva que permite controlar los modelos de entrada y salida de las APis, que es algo básico para poder cumplir las reglas OWASP y le permite posicionarse no sólo como WAF si no como herramienta de API Security, que hablaremos en otro post.
Blog realizado por Marco Antonio Sanz
¡Habla con nuestros expertos!
