Hace unos tres años, incluimos varias funciones en la pestaña Firewall de nuestro panel de navegación con la idea de "hacer que nuestros productos y servicios fueran intuitivos". En los últimos tres años, nos hemos esforzado mucho en ampliar nuestra oferta de capacidades y, queremos aprovechar otra oportunidad para evaluar el carácter intuitivo de Cloudflare WAF (Firewall de aplicaciones web).

Nuestros clientes lideran el camino hacia el nuevo WAF

El panorama de la seguridad está evolucionando vertiginosamente, cada vez hay más tipos de aplicaciones web, y dentro del sector hay varios enfoques de lo que un WAF incluye y puede ofrecer. Cloudflare no solo redirecciona aplicaciones empresariales mediante proxy, sino también millones de blogs personales, sitios de comunidades y tiendas de pequeñas empresas. Varios de nuestros productos incluyen distintos casos de uso. Sin embargo, estos productos están dispersos y eso hace que la visibilidad de las reglas de protección activas sea poco clara. Esta carencia nos invita a reflexionar sobre cómo podemos ayudar a nuestros clientes a sacar el máximo partido al WAF ofreciendo soluciones más claras que cumplan las expectativas.

Hace unos meses, nos pusimos en contacto con nuestros clientes para que nos contestaran a una sencilla pregunta: ¿qué crees que forma parte del WAF? Para ello, empleamos una serie de métodos de investigación de experiencia de usuarios, como la clasificación de tarjetas, pruebas de usabilidad para comprobar la arquitectura de contenidos, evaluación del diseño y encuestas. Los resultados de esta investigación mostraron cómo nuestros clientes valoran el WAF, lo que significa para ellos y cómo respalda sus casos de uso. Sus respuestas inspiraron al equipo de producto a ampliar el alcance y contemplar lo que significa la seguridad (de las aplicaciones web), más allá del WAF.

En base a las respuestas de cientos de clientes, nuestros equipos de investigación de experiencia de usuarios y diseño de productos colaboraron con el equipo de gestión de productos para replantear la experiencia de seguridad. Revisamos nuestras hipótesis y evaluamos la eficacia de los conceptos de diseño para crear una estructura (o arquitectura de la información) que reflejara los modelos mentales de nuestros clientes.

Esta nueva estructura consolida las reglas del firewall, las reglas administradas y las reglas de limitación de velocidad para que formen parte del WAF. El nuevo WAF aspira a ser la ventanilla única para la seguridad de las aplicaciones web en lo que respecta a la diferenciación del tráfico malicioso del legítimo.

A partir de hoy, verás los siguientes cambios en nuestra navegación:

  1. El Firewall pasa a llamarse Seguridad.
  2. En Seguridad, ahora encontrarás WAF.
  3. Las reglas del firewall, las reglas administradas y las reglas de limitación de velocidad aparecerán ahora en WAF.
A partir de ahora, cuando nos refiramos a WAF, nos referiremos a estos tres componentes.

Además, se avecinan algunas actualizaciones importantes para estos componentes. Lanzaremos reglas avanzadas de limitación de velocidad como parte de la Semana de la seguridad, y cada cliente obtendrá también un conjunto gratuito de reglas administradas para proteger todo el tráfico de vulnerabilidades de alto perfil. Por último, en los próximos meses, las reglas del firewall se trasladarán al motor de conjuntos de reglas, añadiendo así capacidades más eficaces gracias a la nueva API de conjuntos de reglas. ¿Te interesa?

Cómo los clientes conformaron el futuro del WAF

Casi 500 clientes participaron en este estudio de investigación de experiencia del usuario que nos ayudó a conocer las necesidades y el contexto de uso. Empleamos cuatro métodos de investigación, todos ellos sin moderar, lo que significaba que personas de todo el mundo podían participar a distancia en el momento y lugar que eligieran.

  • En la clasificación de tarjetas, los participantes agruparon los elementos de navegación en categorías que tenían sentido para ellos.
  • La prueba de usabilidad de la arquitectura de contenido evaluó la eficacia de la estructura de navegación propuesta para nuestro público objetivo.
  • La evaluación del diseño se basó en una tarea para medir la eficacia y la utilidad de los conceptos de diseño.
  • Las preguntas de la encuesta nos ayudaron a analizar los resultados, y a conocer a nuestros clientes participantes.

Los resultados de este estudio de cuatro vertientes sirvieron de base para realizar los cambios en el WAF y la seguridad que se detallan a continuación.

Nueva experiencia WAF

El resultado final revela que el WAF forma parte de una categoría más amplia de soluciones de seguridad entre las que se incluye: Gestión de bots, DDoS, API Shield y Page Shield. Este destino te permite crear tus reglas (también conocidas como reglas de firewall), implementar reglas administradas por Cloudflare, establecer condiciones de límite de velocidad, y además incluye herramientas prácticas para proteger tus aplicaciones web.

Los productos WAF que verán ahora los clientes de todos los planes se organizarán como se indica a continuación:

  1. Las reglas del firewall permiten crear una lógica personalizada y definida por el usuario, bloqueando o permitiendo el tráfico que aprovecha todos los componentes de las solicitudes HTTP y los campos dinámicos calculados por Cloudflare, como la puntuación de bots.
  2. Las reglas de limitación de velocidad incluyen el producto tradicional basado en la IP que lanzamos allá por 2018 y más recientemente la función de Limitación de velocidad avanzada para los clientes Enterprise en el plan Advance (próximamente).
  3. Las reglas administradas permiten a los clientes implementar conjuntos de reglas administradas por el equipo de analistas de Cloudflare. Estos conjuntos de reglas incluyen un "Conjunto gratuito de reglas administradas de Cloudflare" que se está implementando actualmente para todos los planes, incluido el gratuito, así como reglas administradas por Cloudflare, la implementación del conjunto de reglas básicas de OWASP y las comprobaciones de credenciales expuestas para todos los planes de pago.
  4. Las herramientas dan acceso a las reglas de Access de IP, bloqueo de zona y bloqueador de agente de usuario. Aunque todavía siguen recibiendo apoyo activamente, estos productos incluyen casos de uso específicos que se pueden cubrir usando las reglas de firewall. Sin embargo, siguen formando parte del cuadro de herramientas del WAF por comodidad.

Nueva concepción de la experiencia WAF

Los principios de diseño de Gestalt sugieren que "los elementos que están próximos entre sí se perciben como si compartieran una funcionalidad o rasgos similares". Este principio, sumado a las aportaciones de nuestros clientes, nos sirvió para decidir el diseño.

Después de revisar las respuestas del estudio, comprendimos la importancia de facilitar la búsqueda de los productos de seguridad en el panel de control, y la necesidad de aclarar cómo se relacionaban o funcionaban juntos determinados productos.

Lo más importante era que la página debía:

  • Mostrar cada tipo de regla que admitimos, es decir, reglas de firewall, reglas de limitación de velocidad y reglas administradas.
  • Mostrar el uso de cada tipo de regla.
  • Ofrecer al cliente la posibilidad de añadir una nueva regla y administrar las existentes.
  • Permitir que el cliente cambie las prioridades de las reglas utilizando las funciones de arrastrar y soltar.
  • Ser lo suficientemente flexible como para incluir futuros complementos y consolidaciones de las funciones del WAF.

Hemos estudiado varias opciones, incluidos diseños de página predominantemente verticales, diseños de página basados en tablas e incluso diseños en forma de acordeón. Sin embargo, cada una de estas opciones nos obligaría a replicar botones de funcionalidad similar en la página. Ante el riesgo de causar más confusión, descartamos estas opciones en favor de un diseño de página horizontal con pestañas.

¿Cómo puedo conseguirlo?

A partir de hoy, lanzamos este nuevo diseño del WAF para todo el mundo. Mientras tanto, estamos actualizando la documentación para ayudarte a sacar el máximo partido a Cloudflare WAF.

Perspectivas

Este es el punto de partida de nuestro recorrido para hacer que Cloudflare WAF no solo sea eficaz sino también fácil de adaptar a tus necesidades. Estamos evaluando enfoques para potenciar tu proceso de toma de decisiones a la hora de proteger tus aplicaciones web. Teniendo en cuenta la disponibilidad cada vez mayor de información de inteligencia y el aumento de las posibilidades de creación de reglas, queremos acortar el recorrido que tienes que hacer desde la detección de una posible amenaza (por la información general de seguridad, por ejemplo) hasta la configuración de la regla correcta para mitigarla. ¡No te lo pierdas!