Attualmente sto valutando diversi approcci per implementare un firewall per applicazioni Web (WAF) nella nostra architettura. Abbiamo bisogno del WAF a causa di PCI DSS.
Preferirei usare un WAF basato su cloud (ad esempio CloudFlare o Incapsula). Tuttavia, nutro qualche preoccupazione se fosse conforme al PCI.
L'installazione è la seguente:
Cliente --- > WAF --- > Origin Server
Il server di origine (il nostro server web) può controllare l'indirizzo IP di origine per proteggere il server. Tuttavia, l'indirizzo IP di origine può essere falsificato e quindi un utente malintenzionato può ignorare il WAF.
Come da risposta È esso è possibile passare l'handshake TCP con un indirizzo IP falsificato? uno spoofing del layer 7 (che il WAF dovrebbe proteggere) è teoricamente possibile. In pratica non sembra essere un attacco fattibile.
È compatibile o meno una scheda PCI WAF basata sul cloud?
EDIT: A questa domanda specifica ho scoperto che CloudFlare fornisce l'autenticazione del certificato client. Questo è stato aggiunto negli ultimi giorni: link Tuttavia, altre domande rimangono senza risposta.