miércoles, 12 de abril de 2017

Azure Waf propio para APPS y Máquinas virtuales.

Estimados amigos de Inseguros !!!

Seguimos con la serie de artículos relacionados con Azure.

En el último artículo estuvimos viendo la posibilidad de incorporar el firewall web por excelencia del mundo software libe, Modsecurity, en nuestros despliegues de Apps en Azure.

Ahora vamos  a realizar una tarea similar, salvo que en esta ocasión vamos a usar el WAF propio que desde hace unos pocos días nos ofrece Azure.

El concepto es sencillo, es muy parecido a cuando configuramos una puerta de enlace para aplicaciones, digamos una ip virtual como hacemos en los casos de balanceadores. Una capa intermedia entre el cliente y el backend de aplicaciones. De esta manera, podemos balancear cargas a varios servidores, o en este caso, implementar una capa intermedia de WAF. Con esta capa podemos realizar las opciones de seguridad tradicionales, y podemos sumar las opciones de balanceo, configurando por ejemplo un grupo de backend para /archivos/ y otro para /vídeos/.


Lo que me parece realmente interesante de este Waf es que usa el mismo conjunto de reglas que podemos usar con Modsecurity en nuestros despliegues, el OWASP Crs 3.0 o 2.2 según preferimos. Imagino que este servicio será un fork de Modsec, no lo se, pero lo que está claro es que si facilidad de uso lo hace indispensable en cualquier escenario de servicios web en Azure. lo bueno que tiene a diferencia también de usar Modsecurity como hicimos en el anterior artículo es que podemos habilitar las opciones de diagnostico como vimos en el capitulo de log integration, es decir, todos los logs generados por el waf estarán disponibles en nuestra integración con el Siem. 


Como siempre intento aportar algo de conocimiento, y es a aquí donde espero ahorraros los días y horas de cabreo que he tenido. Cuando habilitas el diagnostico en la puerta de enlace para que almacene los logs en una cuenta de almacenamiento, a mi me daba problemas, por lo que no veía los logs del Waf.


Para solventarlo tuve que registrar la suscripción Insights en mi suscripción, algo que no aparece documentado en ningún sitio que me hizo perder casi una semana.

Ahora ya puedo ver logs de seguridad del waf en mi cuenta de almacenamiento, y según haya puesto detección o prevención, se pararán los ataques o solo se registrarán.



Con esto tenemos el servicio montado y listo para proteger de ataques web conocidos (conocidos por el conjunto de reglas Owasp). No he podido crear nuevas reglas, como si podríamos hacer si trabajamos con el Modsecurity nativo de los webservers, pero perderíamos las opciones de registro. 

El usar el servicio Waf tiene un coste, calculo que unos 30€ mes, por lo que debemos analizar este recurso. Hay que tener en cuenta que Modsecurity aumenta minimamente las cargas de CPU del servidor, que también son conceptos facturables... Lo que sin duda es más barato que las opciones clásicas de fabricantes de WAF, también disponibles en Azure como appliance virtuales.