5. Web Application Firewall (WAF)
✓ Proporciona protección centralizada de sus aplicaciones
web frente a vulnerabilidades y exploits comunes.
✓ Las aplicaciones web son cada vez más objeto de ataques
maliciosos que aprovechan las vulnerabilidades más
conocidas.
7. Azure Application Gateway + WAF
✓ Proporciona protección centralizada de sus aplicaciones
web contra vulnerabilidades y exploits comunes.
✓ WAF en Application Gateway se basa en Core Rule Set (CRS)
3.1, 3.0 o 2.2.9 del Open Web Application Security Project
(OWASP).
✓ Se actualiza automáticamente para incluir protección contra
nuevas vulnerabilidades, sin necesidad de configuración
adicional.
10. Azure Application Gateway + WAF
- Beneficios
➢ Proteja sus aplicaciones web de vulnerabilidades y ataques web sin modificar el
código back-end.
➢ Proteja múltiples aplicaciones web al mismo tiempo. Una instancia de Application
Gateway puede albergar hasta 40 sitios web que están protegidos por un firewall de
aplicaciones web.
➢ Cree políticas WAF personalizadas para diferentes sitios detrás del mismo WAF.
➢ Proteja sus aplicaciones web de bots maliciosos con el conjunto de reglas de
reputación de IP (vista previa).
11. Azure Application Gateway + WAF
- Monitoreo
➢ Supervise los ataques contra sus aplicaciones web mediante un registro WAF en
tiempo real. El registro está integrado con Azure Monitor.
➢ El WAF de Application Gateway está integrado con Azure Security Center. Security
Center proporciona una vista central del estado de seguridad de todos sus recursos de
Azure.
➢ Integrado a Azure Sentinel (Log Analytics Workspace).
12. ¿Por qué desarrollar seguro?
✓ Publicar aplicaciones Web, Web services, móviles sin
seguridad -> NO NEGOCIABLE.
✓ Excusa: no nos pagan por desarrollar seguro
✓ Software seguro = CALIDAD
13. En los últimos meses detectamos:
✓Framework desarrollo instalado en producción.
✓Ausencia de ambientes desarrollo / testing.
✓Ausencia de validaciones en formularios Web.
✓Fallas en validación/autenticación.
✓Software con ”hardcode”.
✓Ausencia de conexiones cifradas.
✓Configuración Web que permite SQL Injection.
✓Usuarios de prueba en producción.
✓Métodos en los URL (Alert(), Prompt(),Confirm())
✓Datos sensibles en base de datos :
✓GDPR
✓PCI-DSS, HIPAA, etc.
14. Desarrollo inseguro
✓ No siempre podemos asegurar
- index.php?r=ctacte%2Ftasasadmin%2Fgrabar
- u2skj"><input type=text autofocus onfocus=alert(1)//b3hwjgwe9
✓ Ver ejemplo (DEMO)
15. Desarrollo seguro – marcos de referencia
✓S-SDLC (Secure Software Development Life Cycle).
✓MS SDL (Microsoft Security Development Livecycle).
✓OWASP (Open Web Application Security Project).
✓NIST 800-64 y 800-95.
✓IEEE.
✓(BSIMM) Building Security In Maturity Model.
16. Desarrollo seguro – marcos de referencia
✓MS SDL (Microsoft Security Development Livecycle).
17. Desarrollo seguro – OWASP
Open Web Application Security Project
✓ Promueve el desarrollo de software seguro
✓ Orientada a la prestación de servicios orientados a la Web
✓ Se centra principalmente en el "back-end" mas que en cuestiones
de diseño Web
✓ Un foro abierto para el debate
✓ Un recurso gratuito para cualquier equipo de desarrollo de software