Qu'est-ce qu'un pare-feu d'application Web (WAF) ?

Un pare-feu d'application Web (WAF) protège les applications Web contre diverses attaques de couche applicative telles que les scripts intersites (XSS) , l'injection SQL et l'empoisonnement des cookies , entre autres. Les attaques contre les applications sont la principale cause de violations : elles sont la porte d’entrée vers vos précieuses données. Avec le bon WAF en place, vous pouvez bloquer la gamme d’attaques qui visent à exfiltrer ces données en compromettant vos systèmes.

Un WAF protège vos applications Web en filtrant, surveillant et bloquant tout trafic HTTP/S malveillant circulant vers l'application Web, et empêche toute donnée non autorisée de quitter l'application. Pour ce faire, il adhère à un ensemble de politiques qui permettent de déterminer quel trafic est malveillant et quel trafic est sûr. Tout comme un serveur proxy agit comme un intermédiaire pour protéger l’identité d’un client, un WAF fonctionne de manière similaire mais à l’envers (appelé proxy inverse) , agissant comme un intermédiaire qui protège le serveur d’application Web d’un client potentiellement malveillant.

Les WAF peuvent se présenter sous la forme d'un logiciel, d'un appareil ou être fournis en tant que service. Les politiques peuvent être personnalisées pour répondre aux besoins uniques de votre application Web ou de votre ensemble d’applications Web. Bien que de nombreux WAF nécessitent de mettre à jour régulièrement les politiques pour remédier aux nouvelles vulnérabilités, les avancées en matière d’apprentissage automatique permettent à certains WAF de se mettre à jour automatiquement. Cette automatisation devient de plus en plus critique à mesure que le paysage des menaces continue de gagner en complexité et en ambiguïté.

Les proxys inverses, qui se trouvent entre les clients (tels que les navigateurs Web) et les serveurs principaux (tels que les serveurs d'applications ou d'autres serveurs Web), peuvent également être utilisés pour mettre en cache les réponses des serveurs principaux. Cela peut améliorer les performances des applications Web en réduisant les temps de réponse des ressources fréquemment consultées et en allégeant la charge sur les serveurs principaux. Les réponses mises en cache peuvent être servies plus rapidement que les réponses générées dynamiquement à partir des serveurs principaux. La mise en cache du proxy inverse peut également conduire à une meilleure évolutivité et à une meilleure utilisation des ressources, en particulier pendant les périodes de trafic élevé ou lors de la diffusion de contenu statique.

Un IPS est un système de prévention des intrusions, un WAF est un pare-feu d'application Web et un NGFW est un pare-feu de nouvelle génération. Quelle est la différence entre eux tous ?

Un IPS est un produit de sécurité plus largement ciblé. Il est généralement basé sur des signatures et des politiques, ce qui signifie qu'il peut vérifier les vulnérabilités et les vecteurs d'attaque bien connus en fonction d'une base de données de signatures et de politiques établies. L'IPS établit une norme basée sur la base de données et les politiques, puis envoie des alertes lorsqu'un trafic s'écarte de la norme. Les signatures et les politiques se développent au fil du temps à mesure que de nouvelles vulnérabilités sont connues. En général, IPS protège le trafic sur une gamme de types de protocoles tels que DNS, SMTP, TELNET, RDP, SSH et FTP. IPS exploite et protège généralement les couches 3 et 4. Les couches réseau et session, bien que certaines puissent offrir une protection limitée au niveau de la couche application (couche 7).

Un pare-feu d'application Web (WAF) protège la couche application et est spécifiquement conçu pour analyser chaque requête HTTP/S au niveau de la couche application. Il est généralement sensible à l'utilisateur, à la session et à l'application, conscient des applications Web qui le sous-tendent et des services qu'elles offrent. De ce fait, vous pouvez considérer un WAF comme l’intermédiaire entre l’utilisateur et l’application elle-même, analysant toutes les communications avant qu’elles n’atteignent l’application ou l’utilisateur. Les WAF traditionnels garantissent que seules les actions autorisées (basées sur la politique de sécurité) peuvent être effectuées. Pour de nombreuses organisations, les WAF constituent une première ligne de défense fiable pour les applications, en particulier pour se protéger contre le Top 10 de l'OWASP, la liste fondamentale des vulnérabilités des applications les plus observées. Ce Top 10 comprend actuellement :

• Attaques par injection
• Authentification brisée
• Exposition de données sensibles
• Entités externes XML (XXE)
• Contrôle d'accès cassé
• Erreurs de configuration de sécurité
• Script intersite (XSS)
• Désérialisation non sécurisée

Obtenez l'ebook sur la façon de se préparer pour le top 10 de l'OWASP

Regardez cette courte vidéo sur IPS vs WAF

Un pare-feu de nouvelle génération (NGFW) surveille le trafic sortant vers Internet, sur les sites Web, les comptes de messagerie et les SaaS. En termes simples, il s’agit de protéger l’utilisateur (par rapport à l’application Web). Un NGFW appliquera des politiques basées sur l'utilisateur et ajoutera du contexte aux politiques de sécurité en plus d'ajouter des fonctionnalités telles que le filtrage d'URL, l'antivirus/anti-malware et potentiellement ses propres systèmes de prévention des intrusions (IPS). Alors qu'un WAF est généralement un proxy inverse (utilisé par les serveurs), les NGFW sont souvent des proxys directs (utilisés par des clients tels qu'un navigateur).

Un WAF peut être déployé de plusieurs manières : tout dépend de l'endroit où vos applications sont déployées, des services nécessaires, de la manière dont vous souhaitez le gérer et du niveau de flexibilité architecturale et de performances dont vous avez besoin. Voulez-vous le gérer vous-même ou souhaitez-vous externaliser cette gestion ? Est-il préférable d’avoir une option basée sur le cloud ou souhaitez-vous que votre WAF soit installé sur site ? La manière dont vous souhaitez déployer vous aidera à déterminer quel WAF vous convient le mieux. Vous trouverez ci-dessous vos options.

• Basé sur le cloud + entièrement géré en tant que service : c'est une excellente option si vous avez besoin du moyen le plus rapide et le plus simple pour placer WAF devant vos applications (en particulier si vous disposez de ressources de sécurité/informatique internes limitées)
• Basé sur le cloud + autogéré : bénéficiez de toute la flexibilité et de la portabilité des politiques de sécurité du cloud tout en conservant le contrôle de la gestion du trafic et des paramètres de la politique de sécurité
• Basé sur le cloud + provisionnement automatique : c'est le moyen le plus simple de démarrer avec un WAF dans le cloud, en déployant une politique de sécurité de manière simple et rentable
• WAF avancé sur site (appliance virtuelle ou matérielle) : il répond aux besoins de déploiement les plus exigeants où la flexibilité, les performances et les problèmes de sécurité plus avancés sont essentiels à la mission

Voici un guide pour vous aider à choisir le WAF et le mode de déploiement qui vous conviennent .

Apprenez-en plus sur WAF et comment protéger vos applications avec la technologie WAF avancée de F5.  F5 propose également F5 NGINX App Protect, une application WAF moderne qui fonctionne avec F5 NGINX Plus , F5 NGINX Ingress Controller et d'autres serveurs. NGINX Plus fournit également une solution de mise en cache extrêmement évolutive et un proxy inverse pour fournir du contenu statique et changeant rarement à une grande variété de clients de manière optimisée et fiable. Le serveur de mise en cache NGINX Plus peut également gérer les réponses dynamiques renvoyées par les langages de script à l'aide de protocoles tels que FastCGI, SCGI et uwsgi.