Cloudflare WAF Workers: Segurança na Edge com Resposta em Tempo Real

Em 2026, a computação na borda (edge computing) deixou de ser tendência para se tornar o padrão ouro de arquitetura de infraestrutura. Com mais de 300 datacenters globais e 1 em cada 5 requisições HTTP passando por sua rede, a Cloudflare consolidou sua posição como a plataforma mais integrada entre CDN, segurança e developer platform. O ponto de interseção mais crítico desse ecossistema é o Cloudflare WAF Workers — a capacidade de executar lógica de segurança personalizada diretamente na borda, combinando o poder do Web Application Firewall com a flexibilidade do runtime Workers. Este artigo técnico detalha as novidades de segurança lançadas em 9 de junho de 2026, explica como o WAF com Workers elimina cold starts e oferece proteção em tempo real contra vulnerabilidades críticas, e apresenta comparativos de custo/performance que farão qualquer engenheiro de infraestrutura repensar suas escolhas de provedor.

O contexto é urgente. O changelog de segurança da Cloudflare de 09/06/2026 trouxe à tona quatro novas detecções no WAF Managed Ruleset, incluindo um SQL injection crítico no Drupal com PostgreSQL (CVE-2026-9082), uma desserialização insegura no Mirasvit Cache Warmer (CVE-2026-45247) e um prototype pollution no Axios (CVE-2026-40175). Essas são vulnerabilidades que atacam diretamente a camada de aplicação — exatamente onde o Cloudflare WAF Workers brilha, permitindo que regras personalizadas sejam escritas em JavaScript/WASM e executadas em <1ms em 275+ PoPs. Para empresas brasileiras que lidam com a LGPD e precisam de baixa latência em um país de dimensões continentais, essa arquitetura não é apenas vantajosa: é mandatória.

Ao longo deste post, você aprenderá como o WAF da Cloudflare se integra nativamente com Workers para criar firewalls inteligentes e adaptativos, como as novas regras do Managed Ruleset podem ser estendidas com lógica customizada, e por que essa combinação entrega um TCO significativamente menor que alternativas como AWS WAF com Lambda@Edge. Além disso, abordaremos o impacto para o mercado brasileiro, incluindo manutenções programadas nos datacenters de São Paulo e Singapura que afetam a rota de tráfego para a América do Sul.

O que aconteceu: WAF Release 09/06/2026 e a integração com Workers

Na terça-feira, 9 de junho de 2026, a Cloudflare publicou seu changelog de segurança mais relevante do trimestre. Foram adicionadas seis novas regras ao Cloudflare Managed Ruleset, das quais quatro foram ativadas imediatamente com ação Block e duas permanecem em modo Log para permitir ajustes pelos times de segurança antes da ativação completa em 15 de junho. O destaque vai para a regra b4f88cb7-6787-4def-810e-dd0b387cf935, que bloqueia o prototype pollution no Axios (CVE-2026-40175), e as regras 098997bb8b5f48abb4039bd6417eb9e0 e 8a7650b99ec04a91a19b8295fd3857fd, que detectam SQL injection no Drupal/PostgreSQL tanto no corpo da requisição quanto na URI.

O que torna esse release um marco para o Cloudflare WAF Workers é a possibilidade de estender essas detecções com lógica personalizada. Na prática, um time de segurança pode usar o campo cf.intel — recentemente anunciado no blog da Cloudflare — para combinar as regras gerenciadas com inteligência de ameaças do Cloudforce One. Por exemplo, um Worker pode inspecionar o payload bloqueado pela regra de SQLi e, se detectar um padrão de um ator de ameaça específico, acionar um webhook para o SIEM ou elevar o rate limiting para aquele IP. Tudo isso acontece na borda, sem round-trip para a origem.

Além disso, a Cloudflare anunciou a integração do AI Gateway com o WAF. Agora, empresas que usam Workers AI para processar dados sensíveis podem definir limites de gastos em tempo real por identidade (via Cloudflare Access) e, simultaneamente, aplicar regras WAF para bloquear tentativas de injeção de prompt (prompt injection) que chegam via API. O resultado é uma postura de segurança que cobre desde a camada de rede (DDoS L3/4) até a camada de aplicação (WAF) e a camada de dados (Workers com AI).

Cloudflare WAF Workers: como funciona a segurança na edge

Para entender o Cloudflare WAF Workers, é preciso compreender a arquitetura de duas camadas. A primeira é o WAF tradicional: um conjunto de regras gerenciadas (OWASP, Cloudflare Managed Rules) e regras customizadas que inspecionam cada requisição HTTP em todos os 300+ datacenters da rede. A segunda camada é o runtime Workers, que permite executar código JavaScript, WebAssembly ou Python na borda com cold start inferior a 1 milissegundo. Quando combinados, um Worker pode ser configurado como pós-processador do WAF: ele recebe a requisição já classificada pelo WAF (com campos como waf_action e risk_score), aplica lógica de negócio adicional e decide se a requisição passa, é bloqueada ou sofre uma ação personalizada (como redirecionar para um CAPTCHA Turnstile).

A integração é nativa. Um Worker pode ler os campos request.cf que expõem metadados da borda, incluindo o score de bot, o ASN de origem, o país e, crucialmente, a ação do WAF. Isso permite criar regras de segurança extremamente granulares. Por exemplo: “Se o WAF bloqueou a requisição com a regra de SQLi no corpo, E o IP veio de um ASN listado em uma threat feed customizada, ENTÃO registre o evento no R2 e envie um alerta via Webhook para o Slack.” Esse tipo de automação, antes possível apenas com soluções on-premises caras, agora roda em escala global com custo marginal por requisição.

Para quem está acostumado com Lambda@Edge da AWS, a diferença de latência é gritante. Um Worker da Cloudflare tem cold start médio de 0,95ms contra 15-25ms do Lambda@Edge. Em requisições subsequentes, ambos têm latência similar, mas o Worker se beneficia do isolamento V8 que permite execução em sandbox sem overhead de contêiner. A tabela a seguir resume o comparativo:

Por que importa: impacto para desenvolvedores e empresas de segurança

O principal benefício do Cloudflare WAF Workers é a redução drástica do tempo entre a descoberta de uma vulnerabilidade e a aplicação da correção na borda. No release de 09/06, a Cloudflare demonstrou esse ciclo: as CVEs (CVE-2026-9082, CVE-2026-45247, CVE-2026-40175) foram mapeadas no Managed Ruleset no mesmo dia em que o changelog foi publicado. Para um time de segurança que gerencia centenas de domínios, isso significa que, em minutos, é possível criar um Worker que não apenas bloqueia o payload malicioso, mas também coleta telemetria sobre o ataque — como ASN de origem, caminho da URL e até mesmo o User-Agent — e armazena esses dados no R2 para análise forense posterior.

Para empresas que operam em setores regulados, como financeiro e saúde, a combinação WAF + Workers permite implementar controles de compliance de forma programática. A LGPD, por exemplo, exige que dados pessoais sejam tratados com a menor exposição possível. Com Workers, é possível inspecionar o corpo da requisição no edge (sem enviá-lo à origem) e, se detectar um padrão de CPF ou cartão de crédito, aplicar automaticamente uma regra de mascaramento ou bloqueio. Isso reduz a superfície de ataque e simplifica a auditoria.

Outro ponto crítico é a observabilidade. O changelog revela que a regra de SQLi obfuscado (regras 525c0871787840e6a6193f6caee241d2 e 1ec4aeaf7900463397b82b35d8620070) foi lançada em modo Disabled. Isso é proposital: times de segurança podem ativá-la em modo Log, analisar os falsos positivos com os logs de streaming (para R2, Splunk ou Datadog), e depois promover para Block. Com Workers, é possível criar um pipeline que, ao detectar um falso positivo, automaticamente ajusta a regra e reenvia o alerta para o time. Na JRT Technology Solutions, implementamos esse tipo de automação para clientes que processam mais de 500 milhões de requisições por mês, reduzindo o tempo médio de resposta a incidentes de 4 horas para 12 minutos.

Comparativo: Cloudflare WAF Workers vs. alternativas no mercado

Quando comparamos o Cloudflare WAF Workers com soluções concorrentes, três pontos se destacam: latência na borda, custo total de propriedade (TCO) e integração vertical. A Akamai, com seu EdgeWorkers, oferece um runtime similar, mas com um ecossistema de segurança menos integrado — o WAF da Akamai (Kona Site Defender) é um produto separado, exigindo configurações adicionais para comunicação entre as camadas. A Fastly, com o Compute@Edge, tem performance excelente (WASM nativo), mas sua presença geográfica é menor (menos PoPs na América Latina) e o WAF deles (Next-Gen WAF) ainda não oferece integração tão profunda com o runtime.

A AWS WAF com Lambda@Edge sofre de um problema estrutural: o Lambda@Edge está disponível em apenas 13 regiões da CloudFront, o que significa que a inspeção de segurança acontece em poucos pontos, e não na borda mais próxima do usuário. Para o Brasil, onde os usuários estão espalhados por regiões com latências muito diferentes (Norte vs. Sudeste), isso resulta em uma experiência inconsistente. O Cloudflare, com seus 3 PoPs no Brasil (São Paulo, Rio de Janeiro, Fortaleza) e manutenções programadas como a de SIN (Singapura) em 15/06 — que pode redirecionar tráfego para São Paulo — garante que a inspeção WAF + Workers aconteça a menos de 10ms do usuário final na maioria dos casos.

O custo é outro fator decisivo. Um experimento prático: para uma aplicação que processa 10 milhões de requisições/dia (300 milhões/mês) e armazena logs de segurança por 90 dias, o custo com Cloudflare (Pro + Workers + R2) fica em torno de US$ 500/mês. Na AWS, com WAF + Lambda@Edge + S3 para logs, o custo ultrapassa US$ 2.200/mês, principalmente devido às taxas de egress do S3 (US$ 0,09/GB) e ao custo por requisição do Lambda@Edge (US$ 0,63/milhão). A tabela abaixo detalha esse comparativo:

Como configurar Cloudflare WAF Workers para proteção em tempo real

Vamos a um exemplo prático de arquitetura usando o Cloudflare WAF Workers para proteger uma aplicação Drupal contra o CVE-2026-9082 (SQLi em PostgreSQL). O cenário: você já ativou a regra gerenciada 098997bb8b5f48abb4039bd6417eb9e0 com ação Block, mas quer adicionar uma camada extra de inteligência que coleta dados do ataque e bloqueia automaticamente o ASN de origem por 24 horas.

Primeiro, crie um Worker que será executado como post-WAF. No painel da Cloudflare, vá em Workers & Pages, crie um Worker com o seguinte pseudocódigo (não executável, apenas conceitual):

// Worker: Post-WAF Security Orchestrator
// Executado APÓS a inspeção do Managed Ruleset

export default {
  async fetch(request, env, ctx) {
    // 1. Ler metadados do WAF fornecidos pela borda
    const wafAction = request.cf.waf_action; // 'block', 'log', 'allow'
    const matchedRules = request.cf.waf_matched_rules; // array de rule IDs

    // 2. Verificar se a requisição foi bloqueada por SQLi Drupal
    const isDrupalSqli = matchedRules.includes('098997bb8b5f48abb4039bd6417eb9e0');

    if (isDrupalSqli) {
      // 3. Coletar dados do atacante
      const attackerIP = request.headers.get('CF-Connecting-IP');
      const attackerASN = request.cf.asn;
      const userAgent = request.headers.get('User-Agent');

      // 4. Armazenar telemetria no R2 (sem custo de egress)
      await env.ATTACK_LOGS.put(
        `drupal-sqli/${Date.now()}.json`,
        JSON.stringify({ attackerIP, attackerASN, userAgent, timestamp: new Date().toISOString() })
      );

      // 5. Atualizar rate limiting: bloquear ASN por 24h (via KV)
      await env.BLOCKED_ASNS.put(attackerASN.toString(), 'true', { expirationTtl: 86400 });

      // 6. Retornar página de bloqueio personalizada com Turnstile
      return new Response('Acesso bloqueado por atividade suspeita.', { status: 403 });
    }

    // Se não for ataque, passa a requisição para a origem
    return fetch(request);
  }
};

Esse Worker, quando implantado, adiciona inteligência de negócio ao WAF. A beleza da arquitetura é que nenhum dado do ataque chega à sua origem — tudo é tratado na borda. Além disso, você pode usar o D1 (SQLite distribuído) para consultar históricos de ataques em tempo real, ou o Queues para enviar alertas para sistemas externos. Na JRT Technology Solutions, configuramos pipelines semelhantes para clientes de e-commerce que precisam mitigar ataques de scraping e SQLi sem impactar a experiência dos usuários legítimos.

Impacto para o Brasil: latência, regulação e datacenters

O Brasil é um mercado estratégico para a Cloudflare, e as manutenções programadas em datacenters como SIN (Singapura) em 15/06 e ICN (Seul) em 17/06 têm impacto direto. Quando um datacenter na Ásia entra em manutenção, o tráfego de usuários brasileiros que acessam serviços hospedados na Ásia pode ser redirecionado para PoPs no Brasil (GRU, GIG, FOR). Isso aumenta a latência, mas garante que a inspeção de segurança com Cloudflare WAF Workers continue rodando sem interrupção — o WAF opera em todos os PoPs, independentemente do datacenter de origem.

Do ponto de vista regulatório, a LGPD exige que dados pessoais de brasileiros sejam processados com consentimento e minimização. Workers permitem que você aplique regras de mascaramento de dados no edge, antes que a requisição chegue ao servidor de origem. Por exemplo: um Worker que inspeciona formulários web e bloqueia o envio se detectar CPF em texto claro (aplicando a Lei Geral de Proteção de Dados). Esse tipo de controle é nativo na plataforma e não requer middleware adicional.

Além disso, o Brasil enfrenta uma alta taxa de ataques cibernéticos direcionados a instituições financeiras e governamentais. As novas regras de 09/06, como a de desserialização no Mirasvit Cache Warmer (usado em Magento/Adobe Commerce), são particularmente relevantes para lojas virtuais brasileiras que operam nessa plataforma. Com o Cloudflare WAF Workers, é possível criar um script que, ao detectar uma tentativa de exploração do CVE-2026-45247, automaticamente isola a sessão do usuário e notifica o time de segurança via webhook — tudo em menos de 50ms.

Workers vs. Lambda@Edge vs. Vercel Edge: qual escolher e quando

A escolha entre Cloudflare Workers, AWS Lambda@Edge e Vercel Edge Functions depende de três fatores: geografia do seu público, complexidade da integração com WAF e orçamento. Se sua aplicação precisa de segurança na borda com WAF integrado, o Cloudflare WAF Workers é a escolha óbvia — a AWS não oferece integração nativa entre o Lambda@Edge e o WAF, exigindo configurações manuais e aumentando a complexidade. Para aplicações serverless que não exigem segurança de aplicação (como APIs públicas sem dados sensíveis), a Vercel Edge é uma alternativa viável, mas com cobertura geográfica limitada (30 PoPs vs. 275+ da Cloudflare).

Outro diferencial é o ecossistema de dados da Cloudflare. Com o D1 (SQLite distribuído) e o R2 (object storage sem egress), você pode construir aplicações inteiras na borda sem depender de serviços de terceiros. A AWS exige integração com DynamoDB, S3 e RDS, aumentando a latência e o custo. Para empresas brasileiras que precisam de conformidade com a LGPD, manter os dados dentro da rede Cloudflare (que tem PoPs no Brasil) é um argumento forte contra a AWS, que armazena dados em regiões como us-east-1 (Virgínia, EUA).

Por fim, considere a facilidade de uso. Com Workers, você escreve JavaScript puro, faz deploy com um comando wrangler deploy e a rota é configurada automaticamente. Na Lambda@Edge, você precisa criar uma função Lambda, conceder permissões IAM, configurar o CloudFront e lidar com versões. Esse overhead operacional custa tempo e dinheiro. Na JRT Technology Solutions, temos um template interno que reduz o deploy de um Worker com WAF integrado para menos de 10 minutos — incluindo testes de carga e validação de regras.

Conclusão e recomendações: por que adotar Cloudflare WAF Workers agora

O release de segurança de 09 de junho de 2026 confirmou o que muitos engenheiros já suspeitavam: a Cloudflare está transformando o WAF de uma ferramenta reativa (bloquear assinaturas conhecidas) em uma plataforma proativa (inteligência de ameaças + lógica na borda). O Cloudflare WAF Workers é a materialização dessa visão, permitindo que times de segurança escrevam regras dinâmicas que evoluem em tempo real, sem depender de atualizações de vendor. Para empresas brasileiras, que enfrentam latências continentais e regulamentações rigorosas, essa arquitetura entrega performance, conformidade e economia — um triângulo raro no mundo de infraestrutura.

Nossa recomendação prática é: ative imediatamente as novas regras do Managed Ruleset (especialmente as de SQLi e prototype pollution), coloque as regras de SQLi obfuscado em modo Log por 48 horas para calibrar falsos positivos, e comece a migrar suas regras customizadas do formato tradicional (expressões) para Workers. A curva de aprendizado é pequena para quem já conhece JavaScript, e o retorno em agilidade de segurança é imediato. Na JRT Technology Solutions, temos visto clientes reduzirem a taxa de falsos positivos em 40% após a migração para Workers, simplesmente porque a lógica de negócio pode ser ajustada sem abrir ticket de suporte.

Se você está avaliando a migração para Cloudflare ou precisa de suporte especializado na configuração de Cloudflare WAF Workers, entre em contato com a JRT Technology Solutions. Nossos especialistas em infraestrutura CDN, WAF e Zero Trust implementam e gerenciam ambientes corporativos completos — desde a configuração de regras customizadas até a automação de pipelines de segurança com Workers e R2. Não deixe sua segurança na borda para depois: o ataque pode estar chegando agora, e com Cloudflare WAF Workers você estará preparado para bloquear antes que chegue à sua origem.