Circa tre anni fa, abbiamo introdotto diverse funzionalità nella scheda Firewall nella navigazione del dashboard , con la motivazione "rendere intuitivi i nostri prodotti e servizi". Con il nostro duro lavoro per espandere le offerte di capacità, vogliamo cogliere un'altra occasione per valutare l'intuitività di Cloudflare WAF (Web Application Firewall).

I nostri clienti aprono la strada al nuovo WAF

Il panorama della sicurezza si sta muovendo rapidamente; i tipi di applicazioni Web stanno crescendo rapidamente e all'interno del settore ci sono vari approcci a ciò che un WAF include e può offrire. Cloudflare non solo esegue il proxy delle applicazioni aziendali, ma anche di milioni di blog personali, siti di community e negozi di piccole imprese. La diversità dei casi d'uso è coperta dai vari prodotti che offriamo; tuttavia, questi prodotti sono attualmente dispersi e ciò rende poco chiara la visibilità delle regole di protezione attiva. Questo ci ha spinto a riflettere su come possiamo supportare al meglio i nostri clienti nell'ottenere il massimo valore da WAF fornendo un'offerta più chiara che soddisfi le aspettative.

Alcuni mesi fa, abbiamo contattato i nostri clienti per rispondere a una semplice domanda: cosa ritieni faccia parte di WAF? Abbiamo utilizzato una gamma di metodi di ricerca utente che ci facilitasse, tra cui card sorting, test ad albero, valutazione del progetto e sondaggi. I risultati di questa ricerca hanno illustrato come i nostri clienti pensano a WAF, cosa significa per loro e come supporta i loro casi d'uso. Ciò ha ispirato il team del prodotto ad ampliare l'ambito e a riflettere sul significato di sicurezza nell'ambito Web delle applicazioni, al di là del semplice WAF.

Sulla base di ciò che ci hanno detto centinaia di clienti, i nostri team di ricerca utenti e di progettazione dei prodotti hanno collaborato con il reparto di gestione prodotti per ripensare l'intera esperienza di sicurezza. Abbiamo esaminato le nostre ipotesi e valutato l'efficacia dei concetti di progettazione per creare una struttura (o architettura delle informazioni) che riflettesse i modelli mentali dei nostri clienti.

Questa nuova struttura consolida le regole del firewall, le regole gestite e le regole di limitazione della velocità in modo da diventare parte di WAF. Il nuovo WAF si sforza di essere lo sportello unico per la sicurezza delle applicazioni Web in quanto riguarda la differenziazione del traffico dannoso da quello pulito.

Ad oggi, vedrai le seguenti modifiche al riquadro di navigazione:

  1. Firewall è stato ridenominato in Sicurezza.
  2. In Sicurezza, ora è presente la sezione WAF.
  3. Regole del firewall, Regole gestite e Regole della limitazione della frequenza ora appaiono nella sezione WAF.
Da adesso in poi, quando parleremo di WAF, faremo riferimento a questi tre componenti.

Inoltre, sono in arrivo alcuni importanti aggiornamenti per questi componenti. Le regole avanzate di limitazione delle tariffe verranno lanciate nell'ambito della Security Week e ogni cliente riceverà anche un set gratuito di regole gestite per proteggere tutto il traffico da vulnerabilità di alto profilo. Infine, nei prossimi mesi, le regole del firewall passeranno al motore del set di regole, aggiungendo funzionalità più potenti grazie alla nuova API del set di regole. È vero che non vedete l'ora?

Come i clienti hanno plasmato il futuro di WAF

Quasi 500 clienti hanno partecipato a questo studio di ricerca utente che ci ha aiutato a conoscere le loro esigenze e il contesto di utilizzo. Abbiamo impiegato quattro metodi di ricerca, tutti condotti in modo non moderato; ciò significava che persone in tutto il mondo potevano partecipare da remoto in un momento e in un luogo a loro scelta.

  • Il card sorting ha coinvolto i partecipanti nell'operazione di raggruppamento degli elementi di navigazione in categorie che avevano senso per loro.
  • Il test ad albero ha valutato quanto bene o male una struttura di navigazione proposta ha funzionato per il nostro pubblico di destinazione.
  • La valutazione del progetto prevedeva un approccio basato su attività per misurare l'efficacia e l'utilità dei concetti di progettazione.
  • Le domande dei sondaggi ci hanno aiutato ad approfondire i risultati e ad avere una idea dei partecipanti.

I risultati di questo studio su quattro fronti ci hanno informato sulle modifiche al WAF e alla sicurezza, descritte in dettaglio di seguito.

La nuova esperienza WAF

Il risultato finale rivela il WAF come parte di una categoria di sicurezza più ampia, che include anche Bot, DDoS, API Shield e Page Shield. Questa destinazione ti consente di creare le tue regole (dette anche regole del firewall), distribuire regole gestite da Cloudflare e impostare condizioni di limite di frequenza e include strumenti utili per proteggere le tue applicazioni Web.

Tutti i clienti di tutti i piani ora vedranno i prodotti WAF organizzati come di seguito:

  1. Le regole del firewall consentono di creare logiche personalizzate e definite dall'utente bloccando o consentendo il traffico che sfrutta tutti i componenti delle richieste HTTP e i campi dinamici calcolati da Cloudflare, come il punteggio Bot.
  2. Le regole di limitazione della frequenza includono il tradizionale prodotto basato su IP che abbiamo lanciato nel 2018 e la più recente limitazione della frequenza avanzata per i clienti ORL con il piano Advanced (disponibile a breve).
  3. Le regole gestite consentono ai clienti di distribuire set di regole gestiti dal team di analisti di Cloudflare. Questi set di regole includono un "set di regole gestito gratuito di Cloudflare" attualmente in fase di implementazione per tutti i piani compreso il piano FREE, così come Cloudflare Managed, implementazione di OWASP e Exposed Credentials Check per tutti i piani di pagamento.
  4. La sezione Strumenti consente l'accesso a Regole Access dell'IP, a Zone Lockdown e a User Agent Blocking. Sebbene siano ancora attivamente supportati, questi prodotti coprono casi d'uso specifici che possono essere coperti utilizzando le regole del firewall. Tuttavia, rimangono parte degli strumenti WAF per comodità.

Riprogettazione dell'esperienza WAF

I principi di progettazione della Gestalt suggeriscono che "gli elementi che sono vicini tra loro sono percepiti per condividere funzionalità o tratti simili". Questo principio, oltre al contributo dei nostri clienti, ci ha chiarito le idee sulle decisioni di progettazione.

Dopo aver esaminato le risposte dello studio, abbiamo compreso l'importanza di semplificare l'individuazione dei prodotti di sicurezza nel dashboard e la necessità di chiarire in che modo determinati prodotti erano correlati o funzionavano insieme tra loro.

Fondamentalmente, la pagina doveva:

  • Visualizzare ogni tipo di regola che supportiamo, ad esempio regole del firewall, regole di limitazione della velocità e regole gestite
  • Mostrare la quantità di utilizzo di ciascun tipo
  • Offrire al cliente la possibilità di aggiungere una nuova regola e gestire le regole esistenti
  • Consentire al cliente di ridefinire la priorità delle regole utilizzando la funzionalità di trascinamento e rilascio esistente
  • Essere sufficientemente flessibile per accogliere eventuali aggiunte e consolidamenti delle funzionalità WAF

Abbiamo ripetuto più opzioni, inclusi layout di pagina prevalentemente verticali, layout di pagina basati su tabelle e persino layout di pagina a fisarmonica. Ognuna di queste opzioni, tuttavia, ci costringerebbe a replicare pulsanti con funzionalità simili sulla pagina. Con il rischio di creare ulteriore confusione, abbiamo abbandonato queste opzioni a favore di un layout di pagina orizzontale a schede.

Come visualizzarlo?

Da oggi lanciamo questo nuovo design di WAF per tutti! Nel frattempo, stiamo aggiornando la documentazione per guidarti su come massimizzare la potenza di Cloudflare WAF.

Cosa ci aspetta

Questo è un punto di partenza del nostro viaggio per rendere Cloudflare WAF non solo potente ma anche facile da adattare alle tue esigenze. Stiamo valutando approcci per potenziare il tuo processo decisionale per la protezione delle tue applicazioni Web. Tra informazioni in crescita e ulteriori possibilità di creazione di regole, vogliamo abbreviare il tuo percorso da un possibile rilevamento di minacce (ad esempio tramite una panoramica della sicurezza) all'impostazione della regola giusta per mitigare tale minaccia. Resta sintonizzato!