Cristian Morales

Cristian Morales

SysAdmin & DevOps Engineer

Protege tus sitios web y aplicaciones con Google Cloud Armor WAF

30 mayo 2022
2 minutos

La seguridad de una aplicación web es crucial de cara a la protección de datos no solo de la organización, sino también de los clientes. Los ciberataques han causado aproximadamente un total de 6 trillones de USD en daños a lo largo de 2021 y se prevé que incremente anualmente un 15% en los próximos 5 años. Es importante usar todas las herramientas posibles para reducir el riesgo de estos ciberataques.

Google cloud armor es un “firewall» a nivel de aplicación el cual es capaz de protegernos de una gran variedad de ciberataques de manera sencilla y eficiente. Para poder utilizar esta herramienta tendremos que hacer uso de los balanceadores de carga que GCP proporciona ya que será ahí donde habilitaremos el Cloud Armor sobre los backend services.

Una vez configurado el balanceador de carga y activado un security policy a un backend service, será la hora de ajustar qué reglas WAF deseamos aplicar. Hay una gran variedad disponible según nuestras necesidades. En la siguiente tabla veremos un listado de algunas de estas reglas preconfiguradas agrupadas por categorías:

Nombre de la regla  Nombre de la regla de ModSecurity
sqli-stable SQL injection
xss-stable Cross-site scripting
lfi-stable Local file inclusion
rfi-stable Remote file inclusion
rce-stable Remote code execution
scannerdetection-stable Scanner detection

Cada una de estas reglas contienen docenas de firmas que son compiladas de ModSecurity v3.0.2. GCP proporciona una manera controlada de debugear estas reglas con tráfico real sin que el usuario se vea afectado ya que a la hora de habilitarlas podremos selecciona el modo “preview only”, esto significa que cada vez que una de estas reglas se dispare y vaya a bloquear una petición simplemente lo deje registrado y dejará pasar el tráfico. Obviamente al activar el modo preview no estaremos securizando nuestra plataforma de ningún modo pero podremos evitar falsos positivos y granularmente ir agregando cada una de estas reglas. 

Además del modo preview only GCP otorga la posibilidad de incrementar el verbose de estas security policies. ¿Y esto qué significa? Que por cada petición bloqueada por estas reglas veremos en el logging información detallada de qué firma y que parte de la petición ha causado el bloqueo, como previamente he mencionado cada una de las reglas listadas en la tabla previa contiene un número de firmas por lo que puede que alguna de estas firmas cause falsos positivos y deba ser deshabilitada.

Con esta protección podemos evitar los siguientes ataques:

  • SQL injection
  • Cross-site scripting
  • Local file inclusion
  • Remote file inclusion
  • Remote code execution
  • Method enforcement (public preview)
  • Scanner detection
  • Protocol attack
  • PHP injection attack
  • Session fixation attack

¿Quieres saber más sobre cómo securizar mejor tus sitios  web y aplicaciones? ? El equipo Cloud de Making Science puede ayudarte en tu caso concreto. No dudes en contactarnos en info@makingscience.com. ¡Te esperamos! ?