CEVIU Logo
Voltar
An illustration of a hand holding a megaphone with shield and lock icons blaring out
What if your load balancer could stop attacks before your web application even sees them?
🛡️CEVIU DevOps

Fastly integra seu WAF de nova geração ao Google Cloud Service Extensions para proteção em tempo real no load balancer

Aprofundamento CEVIU

Aprofundamento

O Fastly Next-Gen WAF não é só mais um WAF na nuvem: ele roda como callout gRPC dentro do pipeline nativo do Google Cloud Load Balancer, usando o protocolo ExtProc do Envoy. Isso significa que a inspeção acontece *antes* de qualquer roteamento, nos estágios REQUEST_HEADERS, REQUEST_BODY e RESPONSE_HEADERS, sem passar por proxies intermediários ou gateways adicionais. A tecnologia SmartParse, herdada da Signal Sciences, analisa o contexto da requisição (não só padrões regex), reduzindo falsos positivos em mais de 90% e eliminando ajustes manuais constantes.

Essa arquitetura é uma mudança estrutural em relação ao modelo tradicional de WAF em rede perimetral ou reverse proxy. Aqui, a segurança opera no plano de dados do próprio balanceador, com fail-open nativo, escalabilidade automática com o GKE e implantação regional. O agente pode rodar em VMs gerenciadas pelo cliente, pods GKE Multi-Cloud ou até on-premises, mantendo consistência de política mesmo em ambientes multicloud.

O que mudou

Em março de 2026, o Google ainda exigia integrações via API ou proxies externos para WAFs em Cloud Load Balancing. Agora, com a GA dos callouts para Application Load Balancers (desde agosto de 2024) e a nova integração do Fastly (anunciada em 14/05/2026), o WAF atua diretamente no fluxo de tráfego, sem saltos de rede, sem NAT adicional, sem latência de round-trip. Isso é novo em relação à cobertura CEVIU sobre Cloudflare (08/06 e 10/06), que foca em ingestão de IOCs no WAF existente, não em inserção no pipeline do LB. Também difere da F5 (11/06), cujo WAF com IA ainda depende de deployment em gateway dedicado ou appliance virtual.

Por que isso importa

Para equipes de DevOps e engenharia de plataformas, isso elimina a necessidade de operar um WAF como serviço separado, sem manter clusters adicionais, sem sincronizar políticas entre camadas, sem lidar com lacunas de observabilidade entre LB e WAF. A proteção entra no ciclo de CI/CD como código: regras são versionadas, testadas e implantadas junto com a infraestrutura como código (IaC). E como o Fastly representa 22% da receita da empresa em Q1/2026, com crescimento de 40,9% no lucro bruto, há sinal claro de maturação técnica e comercial dessa abordagem.

Linha do tempo

  1. Google Cloud lança a disponibilidade geral dos callouts para Application Load Balancers no Google Cloud Next '24

  2. Google Cloud libera IAP nativo para Cloud Run, simplificando autenticação em aplicações serverless

  3. Cloudflare integra inteligência de ameaças do Cloudforce One ao WAF, permitindo bloqueio automatizado com cf.intel

  4. F5 lança WAF com IA e virtual patching, mas ainda dependente de gateway dedicado

  5. Fastly integra Next-Gen WAF nativamente ao Google Cloud Service Extensions, operando como callout gRPC no pipeline do load balancer

Perguntas frequentes

Como essa integração se compara ao uso de IAP + Cloud Armor no Google Cloud?

O IAP lida com autenticação e autorização de identidade. O Cloud Armor protege no nível da rede (L3/L4) e tem WAF básico baseado em regras OWASP. O Fastly Next-Gen WAF opera em L7 com análise contextual profunda, suporte a APIs REST/GraphQL e detecção de credential stuffing em tempo real, algo que nem Cloud Armor nem IAP oferecem.

Preciso migrar minha aplicação para usar essa integração?

Não. A integração é transparente para a aplicação. Você configura o callout no Application Load Balancer e aponta para um backend com o agente Fastly (VM, GKE pod ou on-prem). Nenhuma alteração no código da aplicação ou no seu GKE Ingress é necessária.

O que acontece se o agente Fastly ficar indisponível?

O comportamento padrão é fail-open: o tráfego segue normalmente para o backend. Isso evita downtime por falha no WAF, uma garantia crítica para sistemas de missão crítica, especialmente em e-commerce e fintech.

Essa solução funciona com Cloud Run ou apenas com GKE?

Funciona com qualquer serviço acessado via Application Load Balancer, incluindo Cloud Run, GKE, Compute Engine e até backends externos. Desde que o tráfego passe pelo LB com Service Extensions habilitado, o callout do Fastly é acionado.

Links relacionados

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU DevOps
Publicado
22 de junho de 2026
Editoria
CEVIU DevOps

Quer receber mais sobre CEVIU DevOps?

Conteúdo curado diariamente, direto no seu e-mail.

Assinar newsletterVer mais de CEVIU DevOps
Conteúdo curado diariamenteDiversas categoriasCancele quando quiser