Cloud WAF alternativo ao Cloudflare. A Cloudflare é uma empresa líder global em infraestrutura web e segurança cibernética.
Fundada em 2009, a Cloudflare fornece uma ampla gama de produtos e serviços projetados para melhorar o desempenho, a confiabilidade e a segurança de sites e aplicativos da Internet.
Um dos principais focos da Cloudflare é a segurança. A empresa oferece várias soluções de segurança para proteger sites e aplicativos da Internet contra ameaças cibernéticas, como ataques de negação de serviço distribuído (DDoS), tentativas de hackers e bots maliciosos. A Cloudflare emprega tecnologias avançadas, incluindo algoritmos de aprendizado de máquina e inteligência de ameaças, para detectar e mitigar essas ameaças em tempo real.
Principais recursos e benefícios do Cloudflare WAF
Mitigação de DDoS
A Cloudflare mitigou alguns dos maiores ataques DDoS já registrados no mundo. Isso é possível devido aos seus pesados investimentos em infraestrutura que podem lidar com grandes ataques DDoS em aplicativos hospedados em todo o mundo.
A Cloudflare, assim como a AppTrana, também oferece um sistema de mitigação de DDoS que se adapta às mudanças no comportamento do usuário. Isso é especialmente útil quando o tráfego aumenta e diminui de acordo com o desempenho atual da empresa.
Inteligência Global
10% do tráfego da Internet em todo o mundo passa pela Cloudflare em março de 2023. Esta é uma adoção significativa dos produtos WAAP e CDN da Cloudflare.
Isso significa que a Cloudflare processa 2 trilhões de solicitações todos os dias. A qualidade da inteligência de ameaças da Cloudflare está entre as melhores do mercado.
Pacote poderoso para start-ups de SaaS
O gerenciamento de certificados SSL da Cloudflare, o suporte a domínios personalizados e os poderosos produtos de segurança DDoS, WAF e API são ótimos para startups de SaaS.
Embora o plano empresarial venha com um grande prêmio, o preço flexível nos planos Free, Pro e Business é especialmente benéfico para start-ups e scale-ups à medida que as atualizações aumentam com seus negócios.
Razões pelas quais você pode querer mudar do Cloudflare WAF
Embora a Cloudflare tenha seus pontos ideais, aqui estão algumas das razões pelas quais se pode considerar procurar uma alternativa:
Monitoramento de falsos positivos
O software de segurança é diferente da maioria das outras categorias de software, pois deve continuar evoluindo para acompanhar as mudanças no cenário de ameaças.
Embora a Cloudflare tenha inteligência de ameaças de classe mundial, ela também tem o ônus de escrever regras genéricas para as centenas e milhares de aplicativos de sua rede. Isso resulta em falsos positivos.
Gerenciar falsos positivos é um desafio se a segurança for uma responsabilidade de meio período ou se você não tiver uma grande equipe de especialistas em segurança. Em muitos casos, os proprietários de aplicativos são forçados a colocar o WAF no modo somente log ou abrir o WAF, tornando um WAF inútil.
Monitoramento DDoS
Embora a Cloudflare tenha uma das melhores pilhas de mitigação de DDoS, se você precisar de suporte durante um ataque, não há suporte para planos gratuitos e profissionais; Apenas o suporte por chat está disponível para o plano Business. Bons recursos de suporte só começam no plano empresarial. Sob ataques DDoS sofisticados, é importante ter especialistas em segurança para orientá-lo.
Explore as 13 principais alternativas de software de proteção DDoS para a Cloudflare em nosso blog mais recente.
Aplicação de patches virtuais como serviço
As equipes de desenvolvimento, especialmente no setor de tecnologia, seguem uma metodologia ágil, aumentando as chances de novas vulnerabilidades se infiltrarem no código. Uma maneira de corrigir essas vulnerabilidades é aplicando patches virtuais no WAF. Para fazer isso, você precisará de um processo em que verifique as vulnerabilidades em um scanner DAST, remova os falsos positivos e envie as vulnerabilidades abertas para a Cloudflare para correção virtual. Mas isso só é possível quando você tem o plano empresarial.
A alternativa é gerenciar suas regras com uma equipe interna, e o que geralmente vemos é que as pessoas não têm o conjunto de habilidades necessárias para escrever regras e testá-las extensivamente em busca de falsos positivos.
Solicitar tamanho de inspeção
Nos planos gratuito, profissional e empresarial, você pode inspecionar um tamanho máximo de solicitação de 128 KB. Isso não é suficiente, pois é muito fácil enviar uma carga útil maior.
Tempo limite de resposta
Caso você tenha aplicativos com tempos de resposta mais longos, com o Cloudflare, a resposta expirará em 100 segundos. Para tempos limite mais longos, você precisa do plano empresarial.
Quinze alternativas do Cloudflare a serem consideradas
- AppTrana
- Akamai
- Imperva
- Fastly
- AWS WAF
- Radware
- Barracuda
- Azure WAF
- Fortiweb
- F5
- Ameaça X
- Palo Alto
- Sucuri
- Armadura do Google Cloud
- ModSecurity (código aberto)
Uma rápida comparação instantânea para as 5 principais alternativas
| Recurso WAF | Cloudflare | AppTrana | Akamai | Imperva | Fastly | AWS WAF |
| Classificação do Gartner Peer Insights | 4.5 | 4.9 | 4.7 | 4.7 | 4.9 | 4.4 |
| Classificação de recomendação do cliente do Gartner Peer Insights | 93% | 100% | 88% | 92% | 97% | 90% |
| Monitoramento DDoS | Somente empresa | A partir de $ 399 | Complemento | Complemento | Apenas Plano Ultimate | $ 3000 por mês |
| Aplicação de patches virtual | Autogerido | A partir de $ 99 | Complemento | Complemento | Apenas Plano Ultimate | – |
| Tamanho da inspeção da carga útil | 128 KB | 134MB | Início: 8KB
|
Desconhecido | Desconhecido | 64 KB |
| Suporte NTLM | Não | Sim | Não | Desconhecido | Desconhecido | Não |
| Proteção contra bots | Sim | Sim | Complemento | Não disponível no Essentials
|
Sim, mas não tenho certeza se está incluído em todos os planos | Básico |
| Tempo limite de resposta | Padrão: 100 segundos Enterprise: 6000 segundos |
Padrão: 300 segundos
|
Padrão: 120 segundos
|
Padrão: 360 segundos
|
Padrão: 60 segundos
|
Padrão: 30 segundos
|
| Serviços gerenciados | Somente para empresas | A partir de $ 399 | Complemento | Complemento | Apenas Plano Ultimate | Somente por meio de parcerias SI |
| DAST Scanner | Não disponível | Incluído em todos os planos | Não disponível | Não disponível | Não disponível | Não disponível |
| Monitoramento de ativos | Não disponível | Incluído em todos os planos | Não disponível | Não disponível | Não disponível | Não disponível |
| Teste de penetração | Não disponível | Incluído no plano de $ 399 | Não disponível | Não disponível | Não disponível | Não disponível |
| Descoberta de API | Disponível | Disponível | Disponível | Disponível como um complemento | Disponível | Não disponível |
| Segurança de API | Disponível | Disponível | Disponível | Disponível | Disponível | Recursos básicos por meio do API Gateway |
| Verificação de API | Não disponível | Incluído no plano de $ 399 | Não disponível | Não disponível | Não disponível | Não disponível |
| Teste de caneta API | Não disponível | Incluído no plano de $ 399 | Não disponível | Não disponível | Não disponível | Não disponível |
| Mitigação de bot baseada em fluxo de trabalho | Somente para empresas | A partir de $ 399 | Complemento | Complemento | Apenas Plano Ultimate | Somente por meio de parcerias SI |
| Proteção de Origem | Complemento | Incluído em todos os planos | Complemento | Não disponível | Complemento | Disponível |
| Conformidade com o Swyft | Não disponível | Disponível | Não disponível | Não disponível | Não disponível | Não disponível |
As cinco principais alternativas ao Cloudflare: comparação detalhada
AppTrana
De todos os provedores WAAP, o AppTrana é o mais econômico, com paridade de recursos com as ofertas da Cloudflare.
Aqui estão alguns dos prós de usar o AppTrana:
Conformidade com o Swyft
Com o SwyftComply no AppTrana WAAP, a correção de vulnerabilidades leva apenas 72 horas. Isso significa que seus relatórios de segurança para auditorias serão limpos e terão zero vulnerabilidades.
Ele lida com todos os tipos de vulnerabilidades, mesmo aquelas de software de terceiros que você usa. Portanto, manter a conformidade e manter seu site seguro agora é mais simples do que nunca.
Pacotes de serviços gerenciados
Quer se trate de monitoramento DDoS, patches virtuais ou testes falsos positivos, a equipe de pesquisa de segurança da AppTrana sempre está à sua disposição.
Na verdade, é o único fornecedor de WAAP que fala sobre:
-
- 100% dos aplicativos carregados no modo de bloco
- ZERO garantia de falso positivo
- SLA de 24 horas para corrigir virtualmente vulnerabilidades críticas.
Teste de scanner e caneta DAST incorporado
Isso é exclusivo do AppTrana, pois é construído com base no princípio de segurança de aplicativos “baseada em risco”. O scanner DAST incorporado pode ser configurado para verificar aplicativos da Web e de API diariamente ou em qualquer frequência.
Em seguida, o painel fornece uma visão de quantas vulnerabilidades abertas já estão protegidas por regras principais e quantas exigirão regras personalizadas (patches virtuais).
É um simples 1 clique para solicitar uma regra personalizada para qualquer vulnerabilidade aberta. A regra será criada dentro de 24 horas para todas as vulnerabilidades críticas, e a equipe de serviços gerenciados atuará como uma equipe estendida de SOC para testar falsos positivos.
O plano premium também tem uma opção para teste de penetração manual, incluindo uma revalidação.
Solicitar tamanho da inspeção e tempo limite de resposta
O AppTrana, por padrão, permite que você inspecione solicitações de até 134 MB, e a resposta não expira até cinco minutos.
Agora chegando aos contras:
Suporte a API legada
Para segurança de API, o AppTrana WAAP não oferece suporte a formatos de API legados, como SOAP.
Inteligência de ameaças
O AppTrana depende principalmente de feeds de terceiros para inteligência de ameaças e não tem tantas pessoas na equipe de inteligência de ameaças quanto a Cloudflare.
Akamai
A Akamai foi um dos primeiros produtos a proteger sites contra ataques. É o produto mais antigo desse tipo que ainda está sendo usado, enquanto o Google comprou um produto semelhante chamado Sanctum.
O Akamai App & API Protector é uma ferramenta moderna que combina diferentes tipos de proteção, como proteção contra ataques, prevenção de sobrecarga em um site, interrupção de bots prejudiciais e proteção de APIs, tudo em uma única solução.
A Akamai também é a maior provedora de CDN do mundo. Devido à sua experiência em CDN, a Akamai é particularmente popular em áreas como mídia, jogos e streaming.
Aqui estão algumas das vantagens de usar a Akamai:
Segurança adaptável
A Akamai tem 400+ pesquisadores de segurança que atualizam a segurança constantemente. Eles usam aprendizado de máquina e inteligência de ameaças em tempo real para manter o Adaptive Security Engine atualizado. A Akamai afirma que esse processo reduz os falsos positivos em 5 vezes.
Embora a escala da Cloudflare em relação ao número de sites por trás do WAAP seja incomparável, a Akamai também é muito boa, pois tem vários grandes clientes da Fortune 500, e a grande equipe de pesquisa de segurança fornece inteligência sólida de ameaças.
Prolexic
O Prolexic é o serviço de proteção contra DDoS da Akamai, suportado por uma rede de 20 Tbps para defesa contra ataques DDoS. Ele inclui um SOCC (Security Operations Command Center) que oferece suporte 24 horas por dia para uma solução de proteção DDoS totalmente gerenciada.
Além disso, o Prolexic fornece um Network Cloud Firewall, que permite que as equipes de TI automatizem ou controlem manualmente as listas de controle de acesso.
Gerenciador de integridade de página
O Page Integrity Manager da Akamai protege os sites contra ameaças de JavaScript, como ataques de web skimming, Formjacking e Magecart. Ele identifica atividades JavaScript comprometidas e reduz o roubo de dados e a adulteração da experiência do usuário.
A solução opera dentro do navegador da web do usuário, monitorando todas as execuções de JavaScript em páginas protegidas. Ele pode ser implantado rapidamente em minutos para começar a analisar as execuções de script instantaneamente.
Agora chegando aos contras:
Precificação
Mesmo no segmento premium do mercado, a Akamai é mais cara do que a maioria dos outros provedores de WAAP. Se você puder pagar pela Akamai, especialmente com serviços gerenciados, ela realmente funciona bem.
Tamanho da inspeção da carga útil
Assim como a Cloudflare, a Akamai também inspeciona um tamanho máximo de carga útil de 128 KB. Na verdade, a configuração padrão é de apenas 8 KB, que deve ser aumentada por meio da configuração.
Falsos positivos
Como outros provedores líderes de WAAP, lidar efetivamente com falsos positivos pode ser um desafio com a Akamai, especialmente se você não tiver engenheiros de segurança internos certificados ou não tiver assinado o complemento de serviços gerenciados.
Imperva
A Imperva afirma que mais de 90% das implantações de WAAP operam em modo de bloco. Além do AppTrana, que afirma 100% em modo de bloqueio, apenas Imperva e Fastly mencionam esse número em seus sites.
Isso provavelmente se deve aos esforços do Imperva Research Labs, que realiza testes completos para minimizar falsos positivos antes de implementar regras de bloqueio. Além disso, a Imperva é um dos poucos provedores de WAAP que oferece recursos de Autoproteção de Aplicativos em Tempo de Execução (RASP).
Aqui estão algumas das vantagens de usar o Imperva:
Implantação híbrida
Certos setores e organizações governamentais que lidam com dados confidenciais podem preferir um sistema local, e a Imperva oferece essa opção. Além das soluções locais, a Imperva também oferece um Web Application Firewall (WAF) baseado em nuvem. As organizações que optam por uma estratégia WAAP híbrida podem contar com as ofertas abrangentes da Imperva.
Integrações
A Imperva é conhecida por suas integrações perfeitas com data warehouses, ferramentas SIEM e várias ferramentas DevOps. Ele oferece integrações com plataformas populares como Amazon S3, Elastic, Splunk, Terraform e muito mais, permitindo conectividade e compatibilidade suaves.
RASP
Para minimizar ainda mais os falsos positivos e se defender contra padrões de ataque desconhecidos, a Imperva fornece o RASP, uma solução que oferece proteção avançada. O RASP pode analisar o tráfego leste-oeste para eliminar ameaças internas de forma eficaz.
A Imperva oferece suporte a uma ampla variedade de tempos de execução e bancos de dados populares, incluindo Java, Node JS, SQL Server, Oracle e muito mais, garantindo cobertura abrangente para vários aplicativos e ambientes.
Agora vamos discutir as limitações do Imperva.
Os Serviços Gerenciados são um complemento
Se você quiser um WAF gerenciado, precisará assinar os serviços gerenciados que são um complemento. O preço pode ser semelhante ao que a Cloudflare cobra.
API Discovery é um complemento
Como o mundo está se movendo em direção a uma economia de API e a descoberta de API é o desafio #1 quando se trata de segurança de API, pagar mais por esse recurso pode não ser o ideal. Outros provedores de WAAP, como o AppTrana, o agrupam no preço. Na verdade, a licença do AppTrana também inclui testes de penetração de endpoints de API, um serviço que nenhum dos provedores WAAP oferece.
Fastly
A Fastly, como a Imperva, afirma que mais de 90% das implantações WAAP estão em modo de bloco. Apenas o AppTrana WAAP tem uma porcentagem maior de modo de bloqueio em 100%.
Um fator significativo que contribui para isso é a tecnologia SmartParse proprietária da Fastly, que aprimora a detecção de anomalias sem dependência excessiva de assinaturas.
A Fastly também é conhecida por suas integrações perfeitas com ferramentas SIEM, Slack, ferramentas DevOps e muito mais, oferecendo opções aprimoradas de conectividade e compatibilidade.
Aqui estão alguns dos prós de usar o Fastly:
Intercâmbio de Aprendizagem em Rede (NLX – Network Learning Exchange)
O NLX da Fastly é um feed de reputação de IP exclusivo que utiliza dados anônimos de milhares de agentes de software distribuídos para identificar atividades maliciosas confirmadas. O NLX identifica padrões de ataque em toda a rede de clientes da Fastly, permitindo alertas proativos para defender aplicativos da web e APIs.
SmartParse
O SmartParse da Fastly é uma tecnologia exclusiva que avalia o contexto e a execução de cada solicitação para detectar cargas maliciosas ou anômalas. O SmartParse permite um ajuste mínimo e detecção imediata de ameaças, com o objetivo de minimizar falsos positivos e fornecer proteção instantânea.
Opções flexíveis de implantação
A Fastly oferece as opções de implantação mais versáteis para WAF do mercado. Ele pode proteger aplicativos em contêineres, no local, na nuvem ou na borda, tudo por meio de uma solução integrada.
Chegando às limitações do Fastly como substituto do Cloudflare.
Serviços gerenciados e suporte
Assim como o Cloudflare, os serviços gerenciados do Fastly estão disponíveis apenas no plano final. Portanto, você não tem a opção de escolher serviços gerenciados para os planos inicial e vantajoso.
Se você deseja um WAF gerenciado que o ajudará com patches virtuais, monitoramento de DDoS, monitoramento de latência e regras de bot personalizadas baseadas em fluxo de trabalho, você não tem escolha a não ser o plano definitivo.
Suporte
Até mesmo o suporte por telefone e chat está disponível apenas no plano final. Além disso, o suporte 24/7/365 para consultas gerais está disponível apenas no horário comercial de São Francisco, Londres ou Tóquio.
AWS WAF
Dada a posição de liderança da AWS no mercado de nuvem pública, o AWS WAF é uma escolha popular para organizações que já usam a AWS.
Aqui estão algumas das vantagens de usar o AWS WAF:
Flexibilidade na implantação de conjuntos de regras
Os principais provedores, como Fortinet, F5 e assim por diante, fornecem conjuntos de regras para a AWS. Eles oferecem proteção adicional em relação aos conjuntos de regras prontos para uso que a AWS fornece. Há uma taxa de assinatura nominal para usar essas regras, e você também será cobrado pelo tráfego inspecionado por meio delas.
Precificação
O AWS WAF é um modelo completo de pagamento conforme o uso, e você só será cobrado por complementos como AWS Shield, regras personalizadas, largura de banda etc.
Aqui estão os contras de usar o AWS WAF:
O AWS Shield Advanced é caro
O AWS Shield Advanced tem uma cobrança fixa de 3000 USD por mês e é um serviço gerenciado para DDoS. Se você deseja uma boa proteção contra DDoS, a Cloudflare e a AppTrana fornecem DDoS ilimitado a um preço que é uma pequena fração disso.
Notavelmente, a Cloudflare oferece proteção DDoS ilimitada por meio de um complemento, acompanhado por uma taxa de US$ 0,05 para cada 10.000 solicitações. Por outro lado, o AppTrana incorpora perfeitamente a proteção DDoS ilimitada em todos os planos, eliminando a necessidade de cobranças extras.
Nenhum serviço gerenciado
A AWS não fornece nenhum serviço gerenciado para WAF fora do serviço DDoS no AWS Shield.
A única maneira de obter um serviço gerenciado da AWS para regras personalizadas e monitoramento de falsos positivos é firmando grandes contratos de cinco a seis dígitos com integradores de sistemas.
Se o WAF gerenciado é uma das razões pelas quais você está procurando uma alternativa ao Cloudflare, a AWS definitivamente não é a resposta.
Veredicto
Se você está procurando um WAF gerenciado com um orçamento apertado, o AppTrana é sua única opção.
Se você está procurando uma alternativa devido a alguns desafios no nível do aplicativo que a Cloudflare não consegue resolver, não errará com AppTrana, Akamai, Imperva ou Fastly. A chave é iniciar uma avaliação e ver como o firewall funciona com seu aplicativo específico.
Mesmo nas alternativas acima, AppTrana e Imperva são econômicos, especialmente quando você deseja proteger centenas de aplicativos.
Veja também:
- Tem Cara de Golpe, completa um ano e entra em sua segunda fase
- Os ciberataques mais comuns no setor industrial e de manufatura
- AgentTesla é o malware que mais rouba dados e senhas no Brasil.
- 77% dos brasileiros abandonam compras online por insatisfação ou desconfiança
- O que é um ataque DDoS? Tipos, exemplos e como funciona
- Como a cibersegurança protege (também) os estudantes
- 8 tipos de ataques que um WAF foi projetado para impedir
- Webinar: Decodificando a conformidade: o que os CISOs precisam saber
- Como evitar golpes e roubo de dados pessoais por meio de IA
- Retorno ao presencial motivaria troca de emprego
- Novo modus operandi de golpes com deepfake em vídeos na web acende alerta
- O paradoxo da privacidade do Telegram
Deixe sua opinião!