El servicio Oracle Cloud Infrastructure WAF debe utilizarse para cualquier aplicación web accesible desde Internet o API basada en HTTP.

Responsabilidad	Oracle	Cliente
Incorporar/Configurar la política de WAF para la aplicación web	No	Sí
Configurar las dependencias de incorporación de WAF (DNS, reglas de acceso, red)	No	Sí
Proporcionar alta disponibilidad (HA) para el servicio WAF	Sí	No
Supervisar ataques de denegación de servicio distribuida (DDoS)	Sí	No
Mantener la infraestructura de WAF con los últimos parches y actualizaciones	Sí	No
Supervisar los registros del plano de datos para detectar comportamientos anormales y no deseados	Sí	Sí
Crear nuevas reglas en función de las nuevas vulnerabilidades y medidas de mitigación	Sí	No
Revisar y aceptar nuevas reglas recomendadas	No	Sí
Ajustar las reglas de acceso y las estrategias de gestión de bots de WAF según su tráfico	No	Sí

Oracle Cloud Infrastructure WAF filtra las solicitudes maliciosas a su aplicación web o API. También ofrece más visibilidad sobre el origen del tráfico y mitiga los ataques DDoS de capa 7, lo que garantiza una mayor disponibilidad.

La solución de gestión de bots utiliza técnicas de detección como la limitación de direcciones IP, CAPTCHA, huella digital de dispositivos y desafíos de interacción humana para identificar e impedir que las actividades incorrectas o sospechosas de los bots atraviesen su sitio web para obtener datos que supongan una ventaja competitiva. Al mismo tiempo, el servicio WAF puede permitir que el tráfico legítimo de bots de Google, Facebook y otros continúe accediendo a sus aplicaciones web según lo previsto.

Oracle Cloud Infrastructure WAF emplea un algoritmo inteligente de DNS basado en datos que determina el mejor punto de presencia (POP) global para atender a un usuario determinado en tiempo real. Como resultado, se redirige a los usuarios para evitar problemas de la red mundial y posibles latencias a la vez que se les ofrece los mejores tiempos de actividad y niveles de servicio posibles.

• Despliegue de la arquitectura y bloqueo del origen: Restrinja el tráfico a los puertos 80 y 443, lo que hará que se interrumpan todas las demás conexiones.
• Enrutamiento dinámico del tráfico a través de DNS: Aproveche los algoritmos de enrutamiento del tráfico basados en DNS que tienen en cuenta la latencia de usuarios de miles de ubicaciones globales para determinar las rutas con menor latencia.
• Alta disponibilidad: Al configurar la entrega de aplicaciones web, Oracle Cloud Infrastructure WAF ofrece varias opciones de configuración de alta disponibilidad con la posibilidad de añadir varios servidores de origen. Estas configuraciones y/o servidores solo se utilizarán cuando los servidores de origen principales estén fuera de línea o no respondan correctamente a las comprobaciones de estado.
• Gestión de políticas: Configure y gestione las prestaciones y funcionalidades dentro de la configuración de Oracle Cloud Infrastructure WAF.
• Supervisión e informes: Esta funcionalidad ofrece a los usuarios la posibilidad de acceder a informes relacionados con su biblioteca de contenido.
• Soporte: Avise a los equipos de soporte de la existencia de un problema y escale una incidencia en función de la urgencia (por ejemplo, gravedad1, 2 o 3).

Oracle Cloud Infrastructure WAF está disponible para los suscriptores del modelo de créditos universales. Estos suscriptores pueden acceder a Oracle Cloud Infrastructure WAF a través de la consola de Oracle Cloud Infrastructure en la pestaña Servicios perimetrales. En la documentación hay una Guía de inicio que es el lugar ideal para comenzar.

El servicio Oracle Cloud Infrastructure WAF utiliza el modelo de créditos universales y de consumo según las siguientes métricas:

• Número de solicitudes (precio más alto cuando la gestión de bots está habilitada)
• Cantidad de datos/tráfico de salida de WAF
• Número de puntos finales que no son de Oracle Cloud Infrastructure (mensual)

Sí. Oracle Cloud Infrastructure WAF está disponible para los suscriptores del modelo de créditos universales. Los clientes pueden optar por usar solo Oracle Cloud Infrastructure WAF para proteger las cargas de trabajo que no son de OCI. Hay una pequeña dependencia del almacenamiento de objetos para utilizar la consola de Oracle Cloud Infrastructure que aparecerá en su facturación.

Sí. Oracle Cloud Infrastructure WAF se diseñó dando prioridad a las API, por lo que todo lo que se puede hacer en la consola está disponible en la API.

No a partir de febrero de 2019. Hay algunas funciones de gestión que solo se pueden realizar a través de la API. Estas son algunas de las funciones que solo se pueden realizar desde la API:

• Inteligencia de amenazas
• Exclusiones a las reglas de protección
• Limitación de direcciones IP
• Ordenación de las reglas de acceso
• Gestión de certificados (más allá de cargar un solo certificado o clave)
• Huella digital de dispositivos y desafíos de bots de interacción humana
• Informes y telemetría (suponiendo que no disponga de la telemetría pública de Oracle Cloud Infrastructure)

Seguimos añadiendo estos elementos a la consola y publicaremos ejemplos de API, SDK y Terraform para gestionar estas funciones.

Se recomienda utilizar la API para que SIEM consuma los registros de WAF. Actualmente no proporcionamos ningún complemento predefinido para proveedores de SIEM.

Oracle Cloud Infrastructure WAF es un servicio global que se puede configurar desde cualquier región comercial. Sin embargo, no está limitado a esa región para los datos. Cualquier configuración de Oracle Cloud Infrastructure WAF se añade al "perímetro" global.

Actualmente, Oracle cuenta con un total de 22 nodos perimetrales con la siguiente presencia global*:

• Vancouver
• Seattle
• Los Ángeles
• Toronto
• Chicago
• Dallas
• Ashburn
• Miami
• São Paulo
• Dublín
• Londres
• Fráncfort
• Ámsterdam
• Singapur
• Hong Kong
• Tokio
• Sídney

*Tenga en cuenta que algunas ubicaciones tienen más de un PoP.

Sí. Oracle Cloud Infrastructure proporciona protección ilimitada contra ataques de DDoS para aplicaciones y servicios web.

La protección contra DDoS se proporciona a través de la red perimetral de Oracle Cloud Infrastructure, que se compone de puntos de presencia (PoP) de alta capacidad distribuidos por todo el mundo que admiten una amplia gama de aplicaciones de extremo. Los PoP perimetrales de Oracle se encuentran en regiones de Oracle Cloud Infrastructure y en ubicaciones independientes de todo el mundo. En concreto, los ataques de DDoS de L7 se gestionan mediante Oracle Web Application Firewall (WAF), que incluye un conjunto completo de funciones de control de acceso y gestión de bots diseñadas para frustrar las amenazas de DDoS de L7. Oracle WAF está diseñado para proteger contra la inmensa mayoría de los ataques de DDoS en cada PoP. En caso de que se produzca un ataque de DDoS de L7 de un volumen excesivamente alto, Oracle utiliza centros de depuración de DDoS, que están distribuidos por todo el mundo para garantizar tiempos de respuesta rápidos.

El servicio está disponible desde la consola de Oracle Cloud Infrastructure. El cliente tiene que seleccionar la protección de DDoS de L7 en la consola como parte del menú de gestión de bots de WAF. Se puede seleccionar una de dos opciones:

1. On-demand: La protección de DDoS de L7 se activa a discreción del cliente.

2. Siempre activa: La protección de DDoS de L7 siempre está activada y proporciona protección automática.

La mitigación de DDoS de L7 forma parte del servicio Oracle Cloud Infrastructure WAF y se activa cuando los usuarios seleccionan una serie de opciones de política diseñadas para frustrar ataques sofisticados de DDoS de L7. Las opciones de política incluyen, entre otras, desafíos de JavaScript, limitación de direcciones IP, huella digital de dispositivos y desafíos de interacción humana. Cuando se selecciona la opción "siempre activa", estas contramedidas están totalmente automatizadas. Los usuarios también pueden seleccionar la opción "on-demand" para activar manualmente la protección de DDoS de L7 a su discreción.

La mitigación de DDoS de L7 forma parte del servicio Oracle Cloud Infrastructure WAF. Se trata de una suscripción de pago según los volúmenes de tráfico y solicitudes. Consulte la página de precios de Oracle para obtener más información.

El tráfico se dirige automáticamente a la red perimetral de Oracle Cloud Infrastructure a través de una arquitectura de proxy inverso. La red perimetral incluye PoP distribuidos por todo el mundo que inspeccionan todo el tráfico HTTP y HTTPS antes de que llegue a la aplicación web. Los PoP utilizan las contramedidas activadas de DDoS para eliminar automáticamente el tráfico que se identifica como procedente de redes de bots maliciosas.

El portal de Oracle Cloud Infrastructure contiene consolas con informes casi en tiempo real sobre alertas, solicitudes bloqueadas, mitigaciones de bots y registros.

Configure sus reglas de acceso de origen para que solo acepten conexiones de los siguientes rangos de CIDR:

130.35.0.0/20

130.35.112.0/22

130.35.120.0/21

130.35.128.0/20

130.35.144.0/20

130.35.16.0/20

130.35.176.0/20

130.35.192.0/19

130.35.224.0/22

130.35.232.0/21

130.35.240.0/20

130.35.48.0/20

130.35.64.0/19

130.35.96.0/20

138.1.0.0/20

138.1.104.0/22

138.1.128.0/19

138.1.16.0/20

138.1.160.0/19

138.1.192.0/20

138.1.208.0/20

138.1.224.0/19

138.1.32.0/21

138.1.40.0/21

138.1.48.0/21

138.1.64.0/20

138.1.80.0/20

138.1.96.0/21

147.154.0.0/18

147.154.128.0/18

147.154.192.0/20

147.154.208.0/21

147.154.224.0/19

147.154.64.0/20

147.154.80.0/21

147.154.96.0/19

192.157.18.0/23

192.29.0.0/20

192.29.128.0/21

192.29.144.0/21

192.29.16.0/21

192.29.32.0/21

192.29.48.0/21

192.29.56.0/21

192.29.64.0/20

192.29.96.0/20

192.69.118.0/23

198.181.48.0/21

199.195.6.0/23

205.147.88.0/21

Sí, pero esta no es una opción de autoservicio. Puede registrar una incidencia de soporte en My Oracle Support para solicitar una actualización de su página de CAPTCHA. Es preciso que tenga formato HTML con todo el código de JavaScript en línea, sin archivos externos.

Oracle Cloud Infrastructure WAF es compatible con CRS 3.0.

Sugerimos usar la API, la CLI, el SDK o Terraform para generar este script.