Descripción general de la arquitectura y el despliegue del WAF de última generación de Fastly
Esta hoja de datos explica la eficaz arquitectura patentada del WAF de última generación de Fastly e incluye información sobre la amplia variedad de opciones de despliegue.
En esta página
Seguridad unificada para aplicaciones web y API en todo tipo de entornos
Fastly ofrece el WAF con el despliegue más flexible del mercado y puede proteger, mediante una solución integrada, tus aplicaciones y API dondequiera que estén: contenedores, entornos locales, la nube o el edge. Disfruta de una protección exhaustiva sin renunciar al rendimiento ni tener que dedicar personal específico: el WAF de última generación de Fastly (con tecnología de Signal Sciences) funciona sin necesidad de configurarlo y es tan eficaz que el 90 % de nuestros clientes lo ejecuta en modo de bloqueo total.
El WAF de última generación de Fastly aporta la protección proactiva que necesitan las aplicaciones de hoy en día, y se integra en tus cadenas de herramientas de seguridad y DevOps para que tengas una visibilidad incomparable. Nuestra arquitectura es flexible y permite mejorar la estrategia de seguridad de tus aplicaciones al dar a los equipos de desarrollo, operaciones y seguridad información sobre el lugar y el modo en que tus aplicaciones web y API reciben los ataques.
Descripción general de la arquitectura
El WAF de última generación de Fastly es una solución híbrida de software como servicio (SaaS) que consta de tres componentes principales. Este planteamiento patentado, obra de Signal Sciences, nos permite escalar sin complicaciones y dar protección incluso a las aplicaciones y API que mayor volumen de tráfico registran, sin que se vea afectado el rendimiento.
Agentes
Agentes ligeros que despliegas en tu infraestructura para realizar la detección y toma de decisiones con respecto a las peticiones con rapidez y precisión.
Los agentes son procesos tipo daemon de pequeño tamaño diseñados para gestionar cargas extremadamente pesadas. Al mismo tiempo y en el ámbito local, realizan detecciones y toman decisiones que conllevan un alto grado de rendimiento y precisión. El agente también recopila metadatos sobre las peticiones maliciosas que haya procesado y los comparte con el motor de la nube. Protegemos varios de los sitios web que gestionan el mayor volumen de datos de toda la red mediante decenas de miles de agentes que procesan de manera colectiva billones de peticiones de producción. Los agentes bloquean los ataques antes de que puedan perjudicar al rendimiento de aplicaciones o API. Además, muestran no solo las peticiones entrantes, sino también las respuestas de los servidores y aquellas anomalías que sean indicativas del comportamiento de la aplicación.
Módulos
Potente componente opcional que se sincroniza con nuestros agentes para garantizar altos niveles de rendimiento y fiabilidad.
Los módulos se ejecutan en prácticamente cualquier servidor web (NGINX, Apache, IIS y otros) o lenguaje de aplicaciones (.NET, Java, Python, PHP, .nodeJS y otros). El módulo consta solamente de unos cientos de líneas de código, lo que asegura la fiabilidad pero también un gran rendimiento. Su cometido es doble: transmitir las peticiones al agente; y recibir y aplicar las decisiones del agente, ya sea para permitir que la petición llegue a la aplicación, se incorpore en el registro o se bloquee (en función del modo que se haya definido en la consola).
Motor en la nube
Backend de análisis alojado en la nube que utiliza protocolos asimétricos para transmitir al agente datos recabados de fuentes externas y fuentes exclusivas, y con ello poder realizar detecciones dinámicas específicas de cada aplicación.
Este motor recopila y analiza telemetría y datos de ataques anonimizados procedentes de los miles de agentes de software distribuidos por toda nuestra base de clientes. El agente utiliza la salida del motor en la nube a nivel local para afinar las detecciones y tomar decisiones de bloqueo más contundentes. Esa toma de decisiones también se alimenta de nuestro Network Learning Exchange (NLX), que comparte fuentes confirmadas de IP maliciosas en la consola de gestión y te alerta de usuarios sospechosos antes de que representen una amenaza para tus aplicaciones y API. A todo esto se le añaden listas externas de IP maliciosas y listas de IP propias de los clientes, que aportan más contexto a cada petición y mejoran la toma de decisiones del agente. Toda esta información se comparte, mediante tu API e integraciones nativas, con las herramientas de DevOps que tu equipo ya utilice, como pueden ser Slack, PagerDuty y Jira, así como herramientas de seguridad como Elastic y Palo Alto Networks Cortex XSOAR. Por último, puedes acceder fácilmente a las métricas y los informes de incidentes del conjunto de tus aplicaciones en los paneles de la consola de gestión unificada.
Opciones de despliegue
Opciones de despliegue nativo para centros de datos, la nube, contenedores y entornos sin servidores.
Opción de despliegue n.º 1: entorno nativo del contenedor y la nube
El par agente-módulo se instala en tu servidor web, puerta de enlace de la API o a nivel de la aplicación en cuestión de minutos. Nuestro agente admite diferentes infraestructuras, lo que pone en tus manos la flexibilidad de desplegarlo allí donde lo necesites sin tener que preocuparte de dependencias de marcos de trabajo o lenguajes subyacentes.
Despliega con Kubernetes y mallas de servicios
Los nuevos marcos y herramientas de aplicaciones, como Kubernetes, están empujando a las empresas a un mundo centrado en torno a DevOps. Puesto que las empresas tardan cada vez menos tiempo en publicar código, Fastly ofrece opciones de despliegue flexibles que se adaptan a tu estrategia de contenedores. Para ello, ofrece tres «niveles», donde puedes instalar nuestro WAF con Kubernetes, y cuatro métodos de despliegue. Además, nuestras integraciones nativas con Envoy Proxy y las mallas de servicio Istio nos permiten dar visibilidad de las peticiones norte-sur (cliente-servidor) y este-oeste (de servicio a servicio).
Método de instalación | Nivel 1: Controlador de entrada | Nivel 2: Servicio de nivel intermedio | Nivel 3: Nivel de aplicaciones |
|---|---|---|---|
Agente + módulo en el mismo contenedor de aplicaciones | Sí | Sí | Sí |
Agente + módulo en contenedores diferentes | Sí | Sí | Sí |
Agente en modo de proxy inverso en el mismo contenedor que la aplicación | Sí | Sí | Sí |
Agente en modo de proxy inverso en contenedor sidecar | Sí | Sí | Sí |
Fastly admite despliegues para:
Opción de despliegue nº 2: centro de datos y aplicación antigua
Los clientes que necesitan proteger aplicaciones heredadas o desplegadas en centros de datos suelen elegir entre dos opciones de despliegue: instalar el WAF de última generación de Fastly para que inspeccione el tráfico antes de que las peticiones web lleguen al punto de conexión de la aplicación o de la API, o bien instalar nuestro agente en modo de proxy inverso. Por ejemplo, nuestro módulo se puede instalar en el equilibrador de carga (A10 Networks, HAProxy, NGINX) o en la puerta de enlace de la API (Ambassador, Kong, Cloudentity). Nuestro agente se puede desplegar en modo proxy inverso para clientes con requisitos que impiden la instalación en el equilibrador de carga o la puerta de enlace de la API.
A10 Next-Gen WAF, con tecnología de Fastly
Para una protección local superior, A10 Networks y Fastly se han asociado para ofrecer a los clientes el A10 WAF de última generación, con tecnología de Fastly. El ADC A10 Thunder ofrece la mejor distribución de aplicaciones y protección de su clase contra una amplia gama de ataques avanzados con una precisión excepcional, lo que garantiza la disponibilidad del servicio y reduce la complejidad y el TCO.
Opción de despliegue nº 3: en el borde
El WAF de última generación de Fastly está disponible en la red de edge cloud de Fastly, lo cual permite a los clientes implementar controles de seguridad como parte de los servicios de distribución de Fastly. La opción de despliegue en la edge cloud se integra como un guante con Varnish, el nivel de almacenamiento en caché de Fastly.
De este modo, la protección y la aceleración se acercan más a los usuarios; los sistemas de los orígenes quedan protegidos frente al tráfico ilegítimo de los ataques; y, al mismo tiempo, se ofrecen unas prestaciones extraordinarias. Nuestro despliegue en el edge resulta ideal para clientes que no pueden instalar software en infraestructuras existentes o para aquellos que quieren aprovechar las ventajas de rendimiento de la red mundial de distribución de contenidos (CDN) de Fastly. Esta opción de despliegue ofrece otras opciones, como el servicio constante de protección frente a DDoS y gestión de TLS en los niveles 3 y 4.
Opción de despliegue n.º 4: WAF en la nube
Con el WAF en la nube, puedes proteger fácil y rápidamente aplicaciones web, API, microservicios y aplicaciones sin servidores, sin necesidad de instalar software en tu infraestructura. Una vez desplegado, basta con cambiar el DNS para dirigir el tráfico de aplicaciones al WAF en la nube y, así, gozar de la visibilidad y la protección del WAF de última generación de Fastly para tus aplicaciones. Todas las peticiones web se redirigen a nuestra capa de implementación en la nube, donde se detecta y se bloquea cualquier petición ilegítima. Al mismo tiempo, todo el tráfico legítimo se reenvía al servidor de origen de tus aplicaciones. El WAF en la nube es ideal para clientes que quieran añadir un firewall de aplicaciones web que sea fácil de gestionar y sin realizar cambios en sentido ascendente hasta el nivel de su CDN.
Protección enfocada a la privacidad de los datos
Muchas empresas líderes en servicios financieros, atención sanitaria y otros sectores cuyas exigencias en materia de privacidad de los datos son rigurosas utilizan el WAF de última generación de Fastly, porque nuestra arquitectura es sólida y está diseñada pensando en la protección de datos. Todos los datos confidenciales se gestionan únicamente dentro del entorno del cliente. Además, al motor en la nube de Fastly se remiten únicamente fragmentos de las peticiones que el sistema marca como ataques o anomalías, y solo una vez que se hayan censurado u anonimizado.
En cuanto el agente identifica que una petición contiene un posible ataque o una anomalía, los datos confidenciales se censuran o anonimizan conforme a un conjunto de reglas plenamente personalizables. A continuación, el agente remite únicamente el parámetro censurado de la petición en cuestión que contiene la carga útil del ataque, además de otros fragmentos de la petición que son benignos o no confidenciales, como la IP del cliente, el agente de usuario, el URI, etc. En nuestro backend se recopilan únicamente metadatos de la respuesta, como códigos, tamaños y datos temporales de esta. Los clientes disponen de la capacidad de personalizar completamente las políticas y los campos de censura/anonimización de datos confidenciales. A fin de reforzar la protección, Fastly aplica la censura o anonimización automáticas de determinados tipos de datos que suelen ser confidenciales (p. ej., contraseñas, claves, GUID, datos personales o información sanitaria de carácter personal) antes de remitir la petición a nuestro backend.
«Funciona sin necesidad de realizar ninguna configuración, se adapta automáticamente al tamaño del sistema y nos da una gran visibilidad, además de proteger la aplicación».
Anson Gomes
Lead Security Engineer
Integraciones con herramientas de DevOps y de seguridad
La mejor manera de aplicar una protección eficaz a aplicaciones y API es ofrecer el mismo conjunto de datos de seguridad a los equipos de desarrollo, operaciones y seguridad en las herramientas que ya utilizan. Fastly trabaja con las mejores herramientas y plataformas del sector con dos objetivos: ofrecerte alertas en tiempo real en las herramientas de DevOps y de seguridad que utilices; y facilitar a tus equipos el uso de nuestra telemetría de seguridad de producción con las herramientas y los procesos que tu empresa ya utiliza para profundizar en investigaciones y análisis.
Con las integraciones configuradas de serie, los equipos pueden iniciar o continuar su transición a modelos y arquitecturas de desarrollo modernos. Nuestras integraciones se llevan a cabo con un solo clic e incluyen los motores de alertas, aplicaciones de chat, sistemas de gestión de proyectos y sistemas de seguimiento de incidencias que suelen usarse en los campos del desarrollo y las operaciones.
Integraciones de plataformas y tecnologías
Ejecuta el WAF de última generación de Fastly donde quieras
Equilibradores de carga
Servidores web
IaaS
PaaS
Contenedores
Gestión de configuración
Integraciones con fuentes de datos y partners
Intercambia datos del WAF de última generación de Fastly
Cadena de herramientas de DevOps
SIEM/SOAR
Recursos relacionados
Descubre cómo nuestro WAF protege contra ataques al nivel web y se integra con herramientas de DevOps.
El marco de eficacia del WAF te ayuda a medir la efectividad de tu WAF.
Fastly, nombrado «Challenger» en la categoría de protección de API y aplicaciones web en la nube. Compara los proveedores en este informe.
Fastly es el único proveedor que ha recibido el reconocimiento «Customers’ Choice» cinco años seguidos.