Catégorie

Cloud

Catégorie

Comment fonctionne un Web Application Firewall (WAF) ?

⌚: 4 minutes

Un WAF protège vos applications Web en filtrant, surveillant et bloquant tout trafic HTTP/S malveillant se dirigeant vers votre application Web, et empêche toute donnée non autorisée de quitter l’application ou votre site. Pour ce faire, un ensemble de politiques de sécurité aident à déterminer quel trafic est malveillant et quel trafic est sûr. Tout comme un serveur proxy agit comme un intermédiaire pour protéger l’identité d’un client, un WAF fonctionne de la même manière, mais à l’inverse, c’est un proxy inversé, il agit comme un intermédiaire qui protège le serveur de l’application web contre un client potentiellement malveillant.

Les WAF peuvent prendre la forme d’un logiciel, d’un appareil ou d’un service à la demande. Les politiques peuvent être personnalisées pour répondre aux besoins uniques de votre application Web ou de votre ensemble d’applications Web. Bien que de nombreux WAF exigent que vous mettiez régulièrement à jour les politiques de sécurité de votre entreprise pour tenir compte des nouvelles vulnérabilités, les progrès du Machine Learning permettent à certains WAF de se mettre à jour automatiquement. Cette automatisation devient de plus en plus critique à mesure que la complexité  des menaces ne cessent de croître.

La différence entre un pare-feu d’application Web (WAF), un système de prévention des intrusions (IPS) et un pare-feu de nouvelle génération (NGFW)

Un IPS est un système de prévention des intrusions, un WAF est un pare-feu d’application Web et un NGFW est un pare-feu de nouvelle génération. Quelle est la différence entre eux ?

Un IPS est un produit de sécurité plus largement ciblé. Il est typiquement basé sur la signature et les politiques, c’est-à-dire qu’il peut vérifier les vulnérabilités des attaque disons classiques, à partir d’une base de données de signatures identifiantes et des politiques de sécurité établies. L’IPS établit une norme basée sur les données et les politiques de sécurité, puis envoie des alertes lorsque le trafic est anormalement élevé. Les signatures et les politiques augmentent avec le temps à mesure que de nouvelles vulnérabilités sont connues. En général, un IPS protège le trafic sur une gamme de protocoles tels que DNS, SMTP, TELNET, RDP, SSH, et FTP. L’IPS fonctionne et protège généralement sur les couches 3 et 4, les couches réseau et session bien que certains IPS puissent offrir une protection limitée au niveau de la couche d’application (couche 7).

Un pare-feu d’application Web (WAF) protège la couche application et est spécialement conçu pour analyser chaque requête HTTP/S au niveau de la couche applicative. Il prend en compte l’utilisateur, la session et l’application, connaissant les applications web qui tournent et les services qu’elles offrent. Pour cette raison, vous pouvez penser à un WAF comme intermédiaire entre l’utilisateur et l’application elle-même, analysant toutes les communications avant qu’elles n’atteignent l’application ou l’utilisateur. Les WAF traditionnels garantissent que seules les actions autorisées (basées sur la politique de sécurité) peuvent être exécutées. Pour de nombreuses organisations, les WAF sont une première ligne de défense fiable pour les applications, en particulier pour se protéger contre le Top 7 de l’OWASP – la liste fondamentale des vulnérabilités applicatives les plus visibles. Ce Top 10 comprend actuellement :

  • Attaques par injection
  • Authentification brisée
  • Exposition aux données sensibles
  • Entités externes XML (XXE)
  • Contrôle d’accès cassé
  • Mauvaises configurations de sécurité
  • Scripting multi-sites (XSS)

Visionnez cette courte vidéo sur IPS vs WAF :

 

Un pare-feu de nouvelle génération (NGFW – next-generation firewall) surveille le trafic sortant vers les sites Web, les comptes de messagerie et les application SaaS d’Internet. En termes simples, il s’agit de protéger l’utilisateur (par opposition à l’application Web). Une NGFW appliquera les politiques de sécurité basées sur les utilisateurs et ajoutera un contexte aux politiques de sécurité en plus d’ajouter des fonctionnalités telles que le filtrage d’URL, l’anti-virus/anti-malware, et potentiellement ses propres systèmes de prévention des intrusions (IPS). Alors qu’un WAF est généralement un proxy inversé (utilisé par les serveurs), les NGFW sont souvent des proxy forward (utilisés par des clients tels qu’un navigateur).

Les différentes façons de déployer un WAF

Un WAF peut être déployé de plusieurs façons – tout dépend de l’endroit où vos applications sont stockées, des services nécessaires, de la façon dont vous voulez le gérer et du niveau de flexibilité et de performance architecturale dont vous avez besoin, plusieurs questions se posent :

Voulez-vous le gérer vous-même, ou voulez-vous externaliser cette gestion ?
Est-ce un meilleur modèle d’avoir une option basée sur le Cloud ou voulez-vous que votre WAF soit installé sur site ?
La façon dont vous voulez vous déployer vous aidera à déterminer quel WAF vous convient le mieux.

Voici les options qui s’offrent à vous :

  • Cloud-based + Fully Managed as a Service-c’est une excellente option si vous avez besoin du moyen le plus rapide et le plus simple d’obtenir un WAF pour vos applications (surtout si vous avez des ressources internes limitées en sécurité/TI).
  • Cloud-based + Self Managed – Bénéficiez de toute la flexibilité et de la portabilité de la politique de sécurité du Cloud tout en conservant le contrôle de la gestion du trafic et des paramètres de la politique de sécurité.
  • Cloud-based + Auto-Provisioned – c’est le moyen le plus simple de démarrer avec un WAF dans le Cloud, en déployant une politique de sécurité de manière simple et économique.
  • WAF avancé sur site (virtuelle ou matérielle) – répond aux besoins de déploiement les plus exigeants lorsque la flexibilité, les performances et les préoccupations de sécurité très avancées sont essentielles à la mission.