Cloudflare anuncia novo Web Application Firewall

A Cloudflare anunciou na semana passada o lançamento de um novo Web Application Firewall. Escrito em Rust, a nova engine oferece melhores desempenhos e integração com outros produtos Cloudflare.

Fonte: blog.cloudflare.com

A nova implementação foi projetada para facilitar o rule browsing, deploy e configuração em um clique, além de rulesets atualizados com base na versão mais recente do OWASP Core Ruleset e a capacidade de implantar a mesma configuração em toda a conta. Tudo indica que o Cloudflare agora esteja migrando do mecanismo anterior escrito em LuaJIT por John Graham-Cumming, implementado como um módulo NGINX.

Para se ter uma ideia, o Cloudflare Web Application Firewall (WAF) bloqueia mais de 57 bilhões de ameaças cibernéticas por dia. Isso representa 650 mil solicitações HTTP bloqueadas por segundo (!). O WAF recebeu muitos elogios, incluindo a pontuação mais alta por capacidade de execução no Quadrante Mágico da Gartner de 2020 para WAF.

O que muda

O Web Application Firewall (WAF) é um componente central da plataforma Cloudflare. A empresa comenta que, sendo um dos produtos mais usados do portfolio, foi possível ganhar muito feedback e experiência ao executá-lo em escala, o que ajudou a guiar essa “iteração maior”, conforme anúncio oficial.

Entre as características do novo WAF Cloudflare, temos:

Rule browsing e configuração aprimoradas – implantação fácil com 1 clique sem perder ferramentas poderosas de: filtragem avançada, edição em massa, tags de regras e muito mais. Entre as tarefas beneficiadas estão: ativar todas as regras do WordPress, definir todas as regras gerenciadas do Cloudflare para LOG ou ainda descobrir quais regras não estão em execução.


Uma nova engine de correspondência – escrita em Rust e compatível com a sintaxe wirefilter – a mesma sintaxe usada por regras de firewall personalizadas. Esse mecanismo possibilita implantações de regras gerenciadas mais rápidas e a capacidade de escalar para o próximo nível ao permitir que o WAF seja implantado em ainda mais tráfego. Tudo isso também com desempenho e segurança aprimorados.


Conjuntos de regras atualizados – O novo WAF oferece rulesets atualizados que fornecem melhor controle, separando o status da regra da ação. O Cloudflare OWASP Core Ruleset também foi aprimorado com base na versão mais recente (v3.3 no momento da publicação deste post), que adiciona níveis de ‘paranoia’ e melhora as taxas de falsos positivos em comparação com a versão atual disponível.

Configuração global – Implementa a mesma configuração em toda a conta. Agrupa regras como rulesets e usa recursos nativos de versionamento e rollback.

De acordo com a Cloudflare, o lançamento da nova versão será incremental, começando com 10% das contas recém-criadas em uma zona do plano Pro ou superior, aumentando para 100% das novas contas durante o mês de abril, seguido pelos esforços de migração para os clientes já existentes na base.


Com informações de InfoQ

Rolar para cima