Customização do WAF
Explicando o WAF
Antes de falar sobre como customizar o WAF, é importante entender como ele funciona. O WAF da GoCache consiste em centenas de regras, cuja função de cada uma é identificar se a requisição contém um padrão específico de ameaça que pode ser encontrado em ataques conhecidos a aplicações web.
Se o padrão de uma regra for encontrado em uma requisição, ela imediatamente exigirá uma ação, que pode ser bloquear imediatamente a requisição, enviar um captcha imediatamente ao usuário, incrementar um score (pontuação) contido em uma variável ou gerar um evento de segurança para posterior análise, mas sem interromper a interpretação e ação das demais regras.
A ação do WAF pode ser acionada imediatamente, caso a ação da regra seja de bloqueio ou desafio com captcha, ou pode ser acionada após a análise de outras regras, caso haja uma sequência de regras desabilitadas, com ação de simular, ou ação de score, sendo especial o último caso, pois permite um mecanismo mais sofisticado, em que uma regra final defina a ação sobre a requisição, de acordo com a pontuação de risco da mesma.
No momento, a GoCache disponibiliza apenas um ruleset gerenciado, o gocache-v1, baseado no Core Rule Set OWASP versão 2.2.9. Porém, com o tempo, mais rulesets serão disponibilizados, como o Core Rule Set OWASP versão 3.3 e rulesets gerenciados com propósitos específicos. Também estamos estudando a possibilidade de o cliente criar seu próprio ruleset.
Enquanto a GoCache disponibilizar apenas o ruleset gocache-v1, as configurações contextuais do ruleset como nível de proteção e modo de proteção, serão consideradas configurações globais do WAF. Você pode conhecer melhor o funcionamento do ruleset gocache-v1 aqui.