¿Son necesarios los WAF para las APIs?

API Management

Odoo image and text block

WAF dentro de mi infraestructura

Cada vez las herramientas de Web Application Framework (WAF) se están popularizando como una herramienta más dentro de nuestra arquitectura de APIs y algunas de ellas se venden como forma de proteger ante el top ten de las reglas OWASP.


En cuanto el cuadrante de Gartner, para que las podamos tener de referencia se encuentran Akamai e Imperva de líderes, Radware y Signal Sciences de visionarios, Amazon Web Services y Microsoft de visionarios y algunos players habituales que están cambiando su negocio, como Fortinet, Barracuda, F5 y CloudFlare.


Algunas consideraciones

Hay muchas ventajas de utilizar un WAF delante de la herramienta APIM, porque reduce las peticiones que le llegan. Sin embargo hay que tener en cuenta:


- Latencia en petición. Sobre todo si el WAF está en SaaS, debemos tener en cuenta que se introduce una pieza externa que crea latencia.

- Reglas WAF. Muchas veces los equipos de APIS desconocen las reglas que se aplican, y no son capaces de saber que está fallando sus APIs, puesto que se quedan en una pieza anterior al APIM.

- Logging único. Debemos loggear las peticiones del WAF como una parte más de nuestra infraestructura, Si no, tenemos una pieza "descontrolada"

- Mejor comportamiento ante los ataques más comunes. En general, estos WAF son piezas muy estables y rápidas, que llevan años pretegiendo sobre los ataques más comunes, que son las que recogen las reglas OWASP. Esto hace que estén mejor preparados y sean más rápidos en la protección. 

- Reducción de coste APIM. Ya sea por reducción de infraestructura, o bien por 


Odoo text and image block
Odoo image and text block

Una pieza interesante

Hay que tener cuidado en no pisar las funcionalides entre la herramienta de API Management y la herramienta WAF, aunque cada vez lo veo más difícil, puesto que ambas intentan paliar o mitigar los ataques Top Ten10 de reglas OWASP.  A continuación mostramos la documentación de referencia de los WAF sobre OWASP Top 10:


  • Akamai: https://www.akamai.com/us/en/multimedia/documents/white-paper/how-akamai-augments-your-security-practice-to-mitigate-the-owasp-top-10-risks.pdf

  • Imperva: https://www.imperva.com/learn/application-security/owasp-top-10/

Me parece interesante la parte de api-security de Imperva que permite controlar los modelos de entrada y salida de las APis, que es algo básico para poder cumplir las reglas OWASP y le permite posicionarse no sólo como WAF si no como herramienta de API Security, que hablaremos en otro post. 


APIcurio registry

API Management

Marco Antonio Sanz Molina Prados

Read Next

Escriba un comentario

Usted debe ser registrado escribir un comentario.