WAF basato sul cloud

5

Attualmente sto valutando diversi approcci per implementare un firewall per applicazioni Web (WAF) nella nostra architettura. Abbiamo bisogno del WAF a causa di PCI DSS.

Preferirei usare un WAF basato su cloud (ad esempio CloudFlare o Incapsula). Tuttavia, nutro qualche preoccupazione se fosse conforme al PCI.

L'installazione è la seguente:

Cliente --- > WAF --- > Origin Server

Il server di origine (il nostro server web) può controllare l'indirizzo IP di origine per proteggere il server. Tuttavia, l'indirizzo IP di origine può essere falsificato e quindi un utente malintenzionato può ignorare il WAF.

Come da risposta È esso è possibile passare l'handshake TCP con un indirizzo IP falsificato? uno spoofing del layer 7 (che il WAF dovrebbe proteggere) è teoricamente possibile. In pratica non sembra essere un attacco fattibile.

È compatibile o meno una scheda PCI WAF basata sul cloud?

EDIT: A questa domanda specifica ho scoperto che CloudFlare fornisce l'autenticazione del certificato client. Questo è stato aggiunto negli ultimi giorni: link Tuttavia, altre domande rimangono senza risposta.

    
posta Thomas Hunziker 17.02.2015 - 18:32
fonte

3 risposte

3

Dovrei pensare che un QSA sia soddisfatto del fatto che gli indirizzi IP non possono essere falsificati per bypassare un dispositivo che opera a livello di applicazione.

Finché puoi dimostrare che l'accesso è correttamente bloccato agli intervalli IP corretti, poiché Cloudflare è conforme PCI, mi aspetto che questo dovrebbe andare bene.

Si noti inoltre che non è necessario disporre di un WAF se si eseguono valutazioni della vulnerabilità e scansioni dell'infrastruttura Web almeno una volta all'anno e dopo ogni distribuzione (enfasi sulla miniera):

6.6 For public-facing web applications, address new threats and vulnerabilities on an ongoing basis and ensure these applications are protected against known attacks by either of the following methods:

  • Reviewing public-facing web applications via manual or automated application vulnerability security assessment tools or methods, at least annually and after any changes Note: This assessment is not the same as the vulnerability scans performed for Requirement 11.2.

  • Installing an automated technical solution that detects and prevents web-based attacks (for example, a web-application firewall) in front of public-facing web applications, to continually check all traffic.

    
risposta data 18.02.2015 - 12:28
fonte
2

Potresti chiedere a un esperto di persona, poiché la conformità PCI è una specialità in sé e per sé, tuttavia almeno Cloud Flare suggerisce che siano conformi allo standard PCI:

link

Sembra che abbiano subito alcuni test rigorosi per ottenere la certificazione, quindi se devi prendere una decisione rapida, sembra che possa essere ok. Tuttavia, consulterò un esperto assoluto sul processo in persona.

    
risposta data 17.02.2015 - 19:15
fonte
1

Completa divulgazione, io lavoro per Incapsula, siamo un fornitore di cloud-WAF.

Per rispondere alle tue domande

  1. Per superare gli handshake TCP con un IP spoofato è necessario avere il controllo del router, il che significa che è necessario essere in una posizione simile a un ISP. Per maggiori informazioni, si prega di consultare la risposta @gowenfawr in questa discussione (anch'essa collegata nel PO). In breve, mentre teoricamente possibile, l'accesso che ti permetterebbe di passare un handshake TCP con un indirizzo falsificato ti permetterebbe di fare molto (molto) peggio.

  2. Sì, i cloud WAF possono essere conformi PCI. Il nostro prodotto è, ed è stato così per oltre 3 anni:
    link

    Ciò significa che è possibile utilizzare il prodotto per rispettare la clausola dreaded 6.6, che richiede l'utilizzo di un WAF conforme allo standard PCI o di sottoporsi a revisioni periodiche del codice dell'applicazione (dopo ogni aggiornamento).

risposta data 19.07.2015 - 08:22
fonte

Leggi altre domande sui tag