Firewall și WAF
Model Partajat — controale compensatorii stratificate în loc de WAF; Model Dedicat — AWS WAF opțional
Context
Abordarea privind firewall-ul de aplicație diferă între cele două modele de deployment:
Model Partajat (SaaS)
Platforma rulează pe Heroku, care nu include un Web Application Firewall în modelul shared dyno. Protecțiile pe care un WAF le-ar oferi în mod tipic sunt implementate prin controale stratificate la nivelul platformei, framework-ului, aplicației și observabilității (vezi tabelul de mai jos).
Model Enterprise (Dedicat)
În infrastructura AWS dedicată per client este disponibil, opțional, AWS WAF ca firewall de aplicație gestionat de AWS (vezi secțiunea Model Dedicat — AWS WAF). Controalele stratificate la nivel de aplicație și framework rămân active în ambele modele.
Model Partajat — Controale Compensatorii
Documentul de mai jos este aprobat ca substituție pentru WAF în modelul Partajat (multi-tenant). Versiunea: 1.0 | Data aprobare: 2026-04-29.
| Funcție WAF | Control(e) substitut în vigoare |
|---|---|
| Terminare TLS & aplicare HTTPS | Heroku Router cu certificate wildcard Let's Encrypt (gestionate de echipa de suport tehnic); TLS 1.2+; HTTPS forțat în configurare aplicație; header HSTS activat |
| Headere de răspuns securitate | Headere de securitate configurate la nivel de aplicație: HSTS, X-Frame-Options, X-Content-Type-Options, X-XSS-Protection, Referrer-Policy |
| OWASP Top 10 — injection, XSS, CSRF | Protecții integrate în framework-ul web: verificare token CSRF pe orice cerere de modificare stare; auto-escaping output HTML (XSS); interogări de baze de date parametrizate (SQL injection); validare și filtrare explicită a input-ului |
| Abuz upload fișiere | Fișierele uploadate sunt validate per tip — exclusiv extensii permise, limite de dimensiune și verificare tip MIME pentru uploadere sensibile |
| Brute-force autentificare / credential stuffing | Blocare cont după tentative repetate eșuate; timeout sesiune; audit autentificări; politică lungime parolă (8–128 caractere); 2FA TOTP opțional; SSO federat (OIDC per organizație în Partajat; SAML pe domeniu în Enterprise) |
| Throttling rate / IP | Throttling la nivel de autentificare prin mecanismul de blocare cont. Middleware de throttling IP/rate-based a fost evaluat — nu a fost activat deoarece nu au fost observate probleme de abuz care să justifice adăugarea sa. Se utilizează protecția DDoS la nivel de platformă Heroku și throttling AWS API Gateway pentru apeluri microservicii |
| Dependențe vulnerabile | Analiză statică a codului (SAST) și scanare vulnerabilități dependențe; constatările sunt triate și remediate în ciclul de dezvoltare |
| Detectare pattern-uri atac / anomalii | Politici de alerte pe rate de erori aplicație (New Relic) furnizând semnale de detecție anomalii; monitorizare excepții runtime (Sentry); log-uri activitate clienți (Postgres, retenție 3 luni) accesibile administratorilor tenant; trail audit semnare în AWS CloudWatch Logs (retenție 5 ani) |
| Rețea / DDoS la edge | Protecție DDoS la nivel de platformă Heroku (gestionată de provider); AWS API Gateway — throttling cereri și usage plans pentru trafic microservicii |
| Expunere object storage | AWS S3 Block Public Access activat; criptare server-side (SSE); acces exclusiv prin API autentificat; replica cross-region este un backup pasiv fără acces aplicație |
| Expunere secrete / credențiale | Secretele aplicației stocate exclusiv în variabile de mediu gestionate de platformă (nu incluse în codul sursă); 2FA obligatoriu pe GitHub, Heroku, AWS și alte console administrative; protecție branch GitHub — PR review obligatoriu pe branch main |
Aprobare
Controalele compensatorii listate mai sus sunt aprobate ca substituție în vigoare pentru un WAF în modelul de deployment Partajat. Data: 2026-04-29.
Model Dedicat — AWS WAF
În infrastructura AWS dedicată per client, protecția perimetrală poate fi asigurată direct prin AWS WAF, activat opțional în funcție de cerințele de securitate ale clientului:
| Serviciu | Rol | Funcționalități |
|---|---|---|
| AWS WAF | Web Application Firewall în fața aplicației | Reguli managed (inclusiv OWASP Top 10 / common rule sets), rate limiting, filtrare la nivel de cerere, blocare IP/geografică, protecție împotriva pattern-urilor de atac comune |
Atunci când este activat, acest serviciu completează controalele stratificate la nivel de framework și aplicație (care rămân active în ambele modele) — nu le înlocuiește. Spre deosebire de modelul Partajat, în modelul Dedicat firewall-ul de aplicație este un serviciu dedicat, nu un set de controale compensatorii.