Web application firewall (WAF)

Apa itu Web Application Firewall (WAF)?

Web Application Firewall (WAF) adalah sebuah firewall yang berfungsi untuk memonitor, memfilter, dan memblokir lalu lintas Hypertext Transfer Protocol (HTTP) yang bergerak masuk dan keluar dari sebuah situs web atau aplikasi web. WAF dapat berbasis jaringan, berbasis host, atau berbasis cloud. Biasanya, WAF diterapkan melalui reverse proxy dan ditempatkan di depan satu atau lebih situs web atau aplikasi. WAF beroperasi sebagai perangkat jaringan, plugin server, atau layanan cloud yang memeriksa setiap paket data dan menggunakan aturan untuk menganalisis logika aplikasi web Layer 7 serta memfilter lalu lintas berbahaya yang dapat memfasilitasi eksploitasi web.
WAF adalah kontrol keamanan umum yang digunakan oleh perusahaan untuk melindungi sistem web mereka dari eksploitasi zero-day, infeksi malware, penyamaran, dan ancaman serta kerentanannya yang dikenal maupun tidak dikenal.

Melalui inspeksi yang disesuaikan, WAF dapat mendeteksi dan segera mencegah beberapa celah keamanan aplikasi web yang paling berbahaya, yang mungkin tidak dapat dilakukan oleh firewall jaringan tradisional dan sistem deteksi intrusi (IDSes) maupun sistem pencegahan intrusi (IPSes). WAF sangat berguna bagi perusahaan yang menyediakan produk atau layanan melalui internet, seperti e-commerce, perbankan online, dan interaksi lainnya antara pelanggan atau mitra bisnis.

Bagaimana cara kerja WAF?

WAF bisa berupa perangkat lunak, perangkat keras, atau layanan. WAF menganalisis permintaan HTTP dan menerapkan serangkaian aturan yang mendefinisikan bagian mana dari percakapan tersebut yang aman dan bagian mana yang berbahaya.
Bagian utama dari percakapan HTTP yang dianalisis oleh WAF adalah permintaan GET dan POST. Permintaan GET digunakan untuk mengambil data dari server, sedangkan permintaan POST digunakan untuk mengirimkan data ke server untuk mengubah statusnya.

WAF dapat mengambil salah satu dari tiga pendekatan berikut untuk menganalisis dan memfilter konten yang terkandung dalam permintaan HTTP ini:

  • Whitelisting. WAF menolak semua permintaan secara default dan hanya mengizinkan permintaan yang diketahui aman. Ini memberikan daftar alamat IP yang dianggap aman. Whitelisting lebih sedikit memakan sumber daya dibandingkan dengan blacklisting. Kekurangan dari whitelisting adalah dapat secara tidak sengaja memblokir lalu lintas yang tidak berbahaya. Meskipun efektif, metode ini bisa kurang tepat.
  • Blacklisting. Blacklisting menggunakan tanda tangan yang telah disiapkan untuk memblokir lalu lintas web berbahaya dan melindungi kerentanannya situs web atau aplikasi web. Ini adalah daftar aturan yang menunjukkan paket data yang berbahaya. Blacklisting lebih cocok untuk situs web dan aplikasi web publik karena mereka menerima banyak lalu lintas dari alamat IP yang tidak dikenal, yang tidak dapat dipastikan apakah berbahaya atau tidak. Kekurangan dari blacklisting adalah memakan lebih banyak sumber daya dan membutuhkan informasi lebih untuk memfilter paket berdasarkan karakteristik tertentu, alih-alih hanya mengandalkan alamat IP yang dipercaya.
  • Keamanan hibrida. Model keamanan hibrida menggunakan elemen dari kedua metode, yaitu blacklisting dan whitelisting, secara bersamaan.

Apapun model keamanan yang digunakan oleh WAF, ia akan menganalisis interaksi HTTP dan mengurangi atau, idealnya, menghilangkan aktivitas atau lalu lintas berbahaya sebelum mencapai server untuk diproses. Untuk mengatasi kerentanannya yang baru, sebagian besar WAF memerlukan pembaruan kebijakan secara berkala. Namun, kemajuan terbaru dalam pembelajaran mesin telah memungkinkan beberapa WAF untuk memperbarui secara otomatis.

Kenapa WAF itu penting?

WAF sangat penting bagi semakin banyak perusahaan yang menyediakan produk melalui internet — termasuk perbankan online, penyedia platform media sosial, dan pengembang aplikasi mobile — karena dapat membantu mencegah kebocoran data. Banyak data sensitif, seperti informasi kartu kredit dan catatan pelanggan, disimpan dalam database backend yang dapat diakses melalui aplikasi web. Penyerang sering menargetkan aplikasi ini untuk mendapatkan akses ke data terkait.
Bank, misalnya, dapat menggunakan WAF untuk membantu mereka memenuhi Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), yang merupakan serangkaian kebijakan untuk memastikan bahwa data pemegang kartu (CHD) terlindungi. Pemasangan firewall adalah salah satu dari 12 persyaratan untuk kepatuhan PCI DSS dan berlaku untuk setiap perusahaan yang menangani CHD. Mengingat banyak perusahaan yang menggunakan aplikasi mobile dan internet of things yang berkembang, semakin banyak transaksi yang terjadi di lapisan aplikasi menggunakan web. Untuk alasan ini, WAF menjadi bagian penting dari model keamanan bisnis modern.

Dalam model keamanan perusahaan, WAF paling efektif jika digunakan bersama dengan komponen keamanan lainnya, termasuk IPSes, IDSes, dan firewall klasik atau generasi berikutnya (NGFWs).

Jenis-jenis Web Application Firewall

Berikut ini adalah tiga jenis WAF yang paling umum:
WAF berbasis jaringan. Jenis ini biasanya berbasis perangkat keras dan dapat mengurangi latensi karena dipasang secara lokal di tempat menggunakan perangkat khusus, sedekat mungkin dengan aplikasi. Sebagian besar vendor WAF berbasis jaringan memungkinkan replikasi aturan dan pengaturan di berbagai perangkat, sehingga memungkinkan penerapan, konfigurasi, dan pengelolaan dalam skala besar. Kekurangan utama dari jenis WAF ini adalah biaya — ada pengeluaran modal di awal serta biaya operasional yang berkelanjutan untuk pemeliharaan.

WAF berbasis host. Jenis ini dapat sepenuhnya diintegrasikan ke dalam kode aplikasi itu sendiri. Manfaat dari WAF berbasis host antara lain biaya yang lebih rendah dan opsi kustomisasi yang lebih banyak. Namun, WAF berbasis host bisa lebih sulit dikelola karena memerlukan pustaka aplikasi dan bergantung pada sumber daya server lokal untuk berjalan secara efektif. WAF jenis ini juga mungkin membutuhkan lebih banyak sumber daya staf, termasuk pengembang, analis sistem, dan DevOps atau DevSecOps, untuk mengelola.

WAF berbasis cloud. Jenis ini menawarkan opsi biaya rendah bagi organisasi yang menginginkan produk siap pakai yang memerlukan sumber daya minimal untuk pengelolaan. WAF berbasis cloud mudah diterapkan, tersedia dengan model berlangganan, dan sering kali hanya memerlukan perubahan sederhana pada sistem nama domain (DNS) atau proxy untuk mengalihkan lalu lintas aplikasi. Meskipun bisa menjadi tantangan untuk menempatkan tanggung jawab penyaringan lalu lintas aplikasi web organisasi pada penyedia pihak ketiga, strategi ini memungkinkan aplikasi dilindungi di berbagai lokasi hosting dan menggunakan kebijakan serupa untuk melawan serangan lapisan aplikasi. Selain itu, penyedia pihak ketiga ini memiliki intelijen ancaman terbaru dan dapat membantu mengidentifikasi dan memblokir ancaman keamanan aplikasi terbaru.

WAF memiliki keunggulan dibandingkan firewall tradisional karena memberikan visibilitas yang lebih besar ke dalam data aplikasi sensitif yang dikomunikasikan menggunakan lapisan aplikasi HTTP.

Secara umum, WAF menawarkan fitur dan perlindungan terhadap serangan umum sebagai berikut:

  • Perlindungan terhadap serangan aplikasi web. WAF dapat mendeteksi dan mengurangi serangan aplikasi web umum seperti SQL injection, cross-site scripting, dan buffer overflows dengan memblokir atau membatasi lalu lintas masuk yang tampak berbahaya.
  • Pemantauan dan pencatatan. Sebagian besar WAF menawarkan kemampuan pemantauan dan pencatatan yang terperinci, yang sangat penting dalam penyelidikan serangan keamanan potensial. Sebagai contoh, Amazon Web Services menawarkan berbagai opsi pemantauan dan pencatatan untuk sumber daya WAF-nya, termasuk AWS CloudWatch Alarms, AWS CloudTrail logs, dan pencatatan daftar kontrol akses web AWS WAF.
  • Analisis pola lalu lintas berbasis AI. Beberapa WAF dilengkapi dengan algoritma berbasis AI. Mereka menggunakan pola perilaku untuk mendeteksi pola berbahaya dan anomali yang menunjukkan potensi serangan.
  • Profil aplikasi. WAF dapat mengidentifikasi dan menolak permintaan yang berpotensi berbahaya melalui profil aplikasi, yang melibatkan pemeriksaan struktur aplikasi, termasuk kueri umum, URL, nilai, dan jenis data yang diizinkan.
  • Content delivery networks (CDN). Karena WAF dikonfigurasi di tepi jaringan, WAF berbasis cloud dapat menawarkan CDN untuk menyimpan cache situs web dan mengurangi waktu pemuatan. WAF menyebarkan CDN di beberapa titik keberadaan yang tersebar secara internasional, melayani pengunjung situs dari situs terdekat dan mengurangi latensi.
  • Kustomisasi. Aturan keamanan dapat diterapkan pada lalu lintas aplikasi melalui WAF. Ini memungkinkan organisasi untuk menyesuaikan perilaku WAF sesuai kebutuhan spesifik mereka dan menghindari pemblokiran lalu lintas yang sah.
  • Skalabilitas dan fleksibilitas. Sebagian besar WAF dapat diskalakan dan dapat menangani situs web serta aplikasi dengan lalu lintas tinggi. Mereka juga memberikan tingkat fleksibilitas, karena dapat diterapkan dalam berbagai konfigurasi, termasuk di tempat atau di lingkungan berbasis cloud.
  • Kepatuhan yang lebih baik. WAF dapat membantu kepatuhan dengan menambahkan lapisan pertahanan tambahan terhadap serangan aplikasi web yang dapat mengungkapkan data pengguna sensitif.
  • Perlindungan tanpa akses ke kode sumber. WAF dapat melindungi aplikasi berbasis web tanpa mengakses kode sumber aplikasi. Sementara WAF berbasis host dapat diintegrasikan ke dalam kode aplikasi, WAF berbasis cloud dapat melindungi aplikasi tanpa akses tersebut. Selain itu, WAF berbasis cloud mudah diterapkan dan dikelola, serta menyediakan opsi patching virtual yang cepat yang memungkinkan pengguna menyesuaikan pengaturan mereka dengan cepat untuk mengatasi ancaman yang baru terdeteksi.

Metode Penerapan WAF

Berikut adalah tiga metode penerapan WAF yang paling banyak digunakan:

  • WAF Berbasis Jaringan. WAF jenis ini biasanya berbasis perangkat keras. Meskipun merupakan pilihan yang paling mahal dan memerlukan penyimpanan serta pemeliharaan peralatan fisik, WAF berbasis jaringan dapat mengurangi latensi karena dipasang secara lokal.
  • WAF Berbasis Host. WAF jenis ini biasanya terintegrasi dalam perangkat lunak aplikasi. Harganya lebih murah dibandingkan dengan WAF berbasis jaringan dan menawarkan lebih banyak opsi kustomisasi. Namun, ada beberapa kekurangan, seperti penggunaan sumber daya server lokal, kesulitan dalam pengelolaan, dan biaya pemeliharaan.
  • WAF Berbasis Cloud. Pemasangan WAF berbasis cloud sangat mudah, cukup dengan mengubah DNS untuk mengalihkan lalu lintas. Pengguna WAF berbasis cloud memiliki biaya awal yang rendah karena mereka membayar layanan keamanan setiap bulan atau tahun. WAF berbasis cloud juga menawarkan layanan yang terus diperbarui untuk melindungi terhadap ancaman terbaru tanpa memerlukan pekerjaan tambahan dari pelanggan. Karena pengguna menyerahkan kontrol kepada penyedia pihak ketiga, mereka mungkin tidak sepenuhnya mengetahui semua fitur yang dimiliki oleh WAF ini.

Contoh WAF

Ada opsi WAF komersial dan sumber terbuka. Mengingat WAF komersial bisa mahal, WAF sumber terbuka dapat menjadi solusi yang berguna jika sebuah organisasi mencari cara yang lebih hemat biaya untuk mengamankan situs web mereka.
Beberapa vendor komersial yang populer antara lain:

  • Barracuda. Barracuda WAF melindungi dari kebocoran data, serangan denial of service (DoS) pada lapisan aplikasi, dan 10 risiko keamanan aplikasi web utama yang tercantum oleh Open Web Application Security Project (OWASP). WAF ini juga melindungi API dan backend seluler.
  • Cloudflare. Cloudflare melindungi terhadap serangan aplikasi web kritis seperti SQL injection, cross-scripting, dan serangan zero-day. Karena ini adalah WAF berbasis cloud, tidak diperlukan pemasangan perangkat keras atau perangkat lunak untuk penerapannya.
  • F5. WAF ini melindungi aplikasi web yang berjalan di tempat maupun di cloud, serta pengaturan IT virtual dan hybrid. Antarmuka berbasis browser mendukung konfigurasi perangkat jaringan, manajemen kebijakan keamanan terpusat, dan hasil audit yang mudah. Selain itu, F5 memeriksa kepatuhan terhadap persyaratan hukum penting, seperti HIPAA, PCI DSS, dan Health Information Trust Alliance. WAF ini menawarkan perlindungan dari kerentanannya yang dikenal maupun yang belum diketahui.

Beberapa vendor open-source yang populer antara lain:

  • ModSecurity. WAF ini ditawarkan oleh TrustWave dan mendukung Apache, Nginx, dan Microsoft Internet Information Services (IIS). Aturan gratis yang ditawarkan oleh ModSecurity berguna untuk melawan serangan tertentu, termasuk cross-site scripting, trojan, SQL injection, dan kebocoran informasi.
  • Naxsi. Nginx Anti XSS dan SQL Injection adalah WAF yang terutama digunakan untuk server Nginx; ini membantu mengurangi serangan cross-scripting dan SQL injection.
  • WebKnight. WAF yang ditawarkan oleh Aqtronix ini mendukung Microsoft IIS dan berfungsi sebagai filter OWASP Enterprise Security API yang mengamankan server web dengan memblokir permintaan berbahaya. Ini juga berguna melawan SQL injection, serangan zero-day, buffer overflow, hotlinking, serta serangan brute force dan pengkodean karakter.

WAF vs IPS vs NGFW vs RASP: Apa Perbedaannya?

Teknologi keamanan — termasuk WAF, IPS, NGFW, dan Runtime Application Self Protection (RASP) — digunakan untuk melindungi sistem dan jaringan. Namun, pendekatan mereka terhadap keamanan dan jenis ancaman yang mereka tangani berbeda.
Berikut adalah perbedaan utama di antara teknologi-teknologi tersebut:

  • WAF. WAF dirancang khusus untuk melindungi aplikasi web dan memastikan integritas, kerahasiaan, serta ketersediaan layanan web. Ini melindungi terhadap serangan aplikasi web seperti SQL injection dan cross-site scripting. Biasanya, WAF ditempatkan antara internet dan aplikasi web untuk menyaring lalu lintas berbahaya.
  • IPS. IPS memonitor lalu lintas jaringan dan merespons potensi ancaman dengan mengambil tindakan untuk mencegah terjadinya serangan. IPS menggunakan teknik seperti deteksi berbasis tanda tangan, pembelajaran mesin, dan analisis perilaku untuk mengidentifikasi serta mengurangi serangan port scanning, DoS, dan infeksi malware. IPS biasanya ditempatkan di ujung jaringan.
  • NGFW. NGFW mengintegrasikan beberapa fungsi keamanan, termasuk firewall, VPN, dan pencegahan intrusi. Ini menawarkan kontrol yang lebih rinci atas lalu lintas jaringan dan dapat mengenali serta menghentikan berbagai ancaman, termasuk malware, phishing, dan eksfiltrasi data. NGFW juga dilengkapi dengan fitur seperti dekripsi SSL, kontrol aplikasi, inspeksi paket dalam, dan pencegahan intrusi.
  • RASP. RASP adalah teknologi keamanan yang biasanya disematkan dalam aplikasi, dirancang untuk melindungi terhadap serangan yang menargetkan lingkungan runtime aplikasi. RASP dapat mengidentifikasi dan menghentikan serangan secara real-time tanpa memerlukan alat keamanan eksternal. RASP dapat melawan berbagai ancaman, termasuk buffer overflow, SQL injection, dan cross-site scripting.

WAF vs Firewall

Firewall adalah istilah umum untuk perangkat lunak yang melindungi jaringan komputer dengan menyaring paket data yang masuk. Dalam definisi umum ini, ada beberapa kategori firewall yang dibedakan berdasarkan jenis perlindungan yang mereka berikan dan cara pemberiannya. Beberapa kategori tersebut termasuk filtering paket, pemeriksaan status, proxy, dan NGFW.
WAF adalah kategori firewall lainnya, yang dibedakan berdasarkan bagaimana cara penyaringan paket data dilakukan. WAF unik karena fokus secara khusus pada peretas berbasis web di lapisan aplikasi, sementara jenis firewall lainnya — seperti penyaringan paket dan pemeriksaan status — mungkin tidak mampu melindungi dari serangan ini. WAF mirip dengan proxy firewall namun dengan fokus khusus pada logika aplikasi di Lapisan 7.

Ancaman terhadap keamanan mobile semakin meningkat seiring dengan semakin meluasnya pekerjaan jarak jauh. Cari tahu apa itu firewall mobile dan bagaimana cara melindungi dari beberapa ancaman tersebut.

Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *