La ciberseguridad también es importante en tu web
Cada vez la ciberseguridad es un aspecto más crítico y especializado en las organizaciones. Los elementos básicos incluyen elementos en los puestos de trabajo como los antivirus, pero sobre todo en las redes corporativas, como los Firewalls (o cortafuegos), que se ocupan de parar muchos de los distintos ataques que pueden llegar a los servidores.
Normalmente esos dispositivos se basan en el bloqueo de las direcciones IPs de los equipos origen y el bloqueo de los servidores en nuestra red a los que pueden llegar (IP y puerto), sobre todo en la DMZ (zona desmilitarizada), la parte más expuesta de nuestra red como las webs públicas.
Con las arquitecturas cloud, estas DMZ se van sustituyendo por otras subredes “bastión”, pero en todo caso las páginas web se ven atacadas no solo por estos ataques generales de red que para el Firewall (de capa 4 en el modelo OSI), si no que también hay ataques directamente utilizando HTTP, es decir, ataques a la web simulando ser un usuario con su navegador (ataques de capa 7).
Para intentar parar estas amenazas se han creado los WAF, los Web Application Firewalls, que contemplan una serie de reglas para bloquear los ataques de esos tipos.
Existen multitud de esos ataques, pero los más comunes son:
- Inyección SQL
- Cross Site scripting (XSS)
- Expresiones regulares (regex)
- Ataques de bots
Los WAF pueden estar en Appliance como los de KEMP, o en ser dispositivos lógicos que se conectan a un balanceador de carga (o una API Gateway), en infraestructuras on-demand u on-premise.
Una de las características de distinguen unos de otros son la cantidad de reglas que se procesos, y la actualización de las mismas, por eso es bueno conocer la empresa que hay detrás de ella, u proyectos como OWASP, que saca todos los años las 10 vulnerabilidades más importantes del año en ciberseguridad web.
Por tanto, la infraestructura mínima de una web empieza a ser algo más compleja:
Con un WAF, un balanceador de carga para repartir el tráfico (y en muchos casos para disponer del certificado https allí), las máquinas que haya detrás (con su servidor web), la base de datos y por su puesto la aplicación, que a su vez puede estar basada en un gestor de contenidos (CMS) con un montón de módulos.
Todos los elementos de la infraestructura deben estar actualizados para evitar las vulnerabilidades en el eslabón más débil de la cadena, pero disponer de un WAF permite parar desde la entrada muchos de estos ataques. Aunque en ciberseguridad, tampoco es bueno delegar todo a un solo elemento, nos puede tranquilizar un poco pero no debe hacer que nos relajemos.
Social Links: