Glossaire : Termes et définitions de la cybersécurité

Qu'est-ce que la protection des applications Web et des API (WAAP) ?

La protection des applications Web et des API (WAAP) fait référence à un ensemble intégré de services de sécurité qui fonctionnent ensemble pour atténuer les risques de sécurité des API et des applications Web.

Signification de WAAP

Les solutions WAAP protègent contre les risques de sécurité des applications liés aux exploits de vulnérabilité, aux robots, aux attaques automatisées, au déni de service, à la fraude et aux abus, ainsi qu'aux intégrations d'API tierces non sécurisées. 

Les contrôles de sécurité intégrés permettent aux organisations d’améliorer la visibilité grâce à des informations exploitables qui peuvent arrêter des attaques spécifiques et identifier des campagnes de menaces coordonnées qui couvrent plusieurs vecteurs de menaces.

Buu Lam donne cette leçon Brightboard sur ce qu'est un WAAP, à quoi il résout et comment en tirer parti.

Que sont les API et les passerelles API ?

Les interfaces de programmation d’applications (API) sont le moyen le plus courant de connecter les utilisateurs, les applications et les services entre eux dans un environnement informatique moderne. La plupart des applications modernes sont créées à l’aide d’API, des interfaces logicielles qui permettent aux applications ou aux services de communiquer et autorisent l’interactivité entre les produits et les services sous forme de demandes et de réponses. Cependant, plus d’API signifie plus de surface d’attaque. À mesure que les API deviennent plus courantes et sont distribuées dans les architectures de microservices, une infrastructure supplémentaire est nécessaire pour garantir l’évolutivité et la sécurité.

Pour les applications basées sur des microservices, une passerelle API agit comme un point d’entrée unique dans le système et est responsable du routage des requêtes, de la composition et de l’application des politiques. Il gère certaines requêtes en les acheminant simplement vers le service backend approprié, et gère d'autres en appelant plusieurs services backend et en agrégeant les résultats.

Les passerelles API disposent également de fonctionnalités de sécurité intégrées pour protéger les API contre les menaces courantes et fournissent également des fonctions de sécurité critiques, notamment la gestion du contrôle d'accès, de l'authentification et de l'autorisation de vos API, garantissant que seuls les utilisateurs authentifiés et autorisés peuvent y accéder.

Une passerelle API peut être déployée devant un cluster Kubernetes en tant qu'équilibreur de charge (niveau multi-cluster), à sa périphérie en tant que contrôleur d'entrée (niveau cluster) ou au sein de celui-ci en tant que maillage de services (niveau service). Pour les déploiements de passerelle API en périphérie et au sein du cluster Kubernetes, il est recommandé d’utiliser un outil natif Kubernetes comme passerelle API. Ces outils sont étroitement intégrés à l'API Kubernetes, prennent en charge YAML et peuvent être configurés via l'interface de ligne de commande Kubernetes standard.

L’utilisation d’une passerelle API avec une solution WAAP peut fournir des couches de sécurité supplémentaires qui se complètent.  Par exemple, une passerelle API se concentre principalement sur la gestion et la sécurisation de l'accès aux API, tandis qu'une solution WAAP protège les applications Web et les API contre un large éventail de menaces de sécurité, notamment les 10 principales vulnérabilités de l'OWASP, les attaques DDoS et le trafic de robots, et offre des fonctionnalités avancées telles que la veille sur les menaces et la détection d'anomalies basée sur le comportement.  

Pourquoi la protection des applications Web et des API est-elle importante ?

Engager les clients avec des expériences numériques convaincantes et sécurisées est un impératif commercial et une priorité absolue pour les responsables de la sécurité et des risques. Le calcul risque/récompense qui tente d’équilibrer la sécurité et la convivialité n’a jamais été aussi difficile, important ou lucratif qu’aujourd’hui dans l’économie numérique moderne. 

Un choix sans précédent, une faible tolérance des clients aux frictions ou aux échecs et des implications réglementaires croissantes modifient la perspective de la sécurité, passant d'un centre de coûts à un différenciateur numérique compétitif. De plus, les applications sont de plus en plus décentralisées et distribuées, déployées sur des architectures hétérogènes et multi-cloud, et intégrées dans des chaînes d’approvisionnement logicielles complexes et des pipelines CI/CD. 

Diagramme WAAP 1

Figure 1 : Les applications sont de plus en plus décentralisées et distribuées

La sophistication croissante des robots et des attaques automatisées ainsi que la prolifération des points de terminaison API résultant de l'utilisation accrue des applications mobiles et du développement d'applications modernes élargissent considérablement la surface des menaces et introduisent des risques imprévus liés aux intégrations tierces.

Le cycle de vie des attaques industrialisées commence par l’automatisation et se termine par la prise de contrôle de compte et la fraude.

Diagramme WAAP 1

Figure 2 : Les attaques d'applications sont persistantes et sophistiquées

 

Une solution WAAP représente l’évolution du marché WAF dans des domaines adjacents, notamment la gestion des robots , la sécurité des API et l’atténuation des attaques DDoS .

Un WAF qui s'intègre aux centres de nettoyage DDoS basés sur le cloud, historiquement qualifiés de WAAP, que le WAF soit un appareil matériel ou virtuel dans un centre de données, un cloud privé ou un cloud public. Cependant, le marché se trouve à un point d’inflexion où de nombreuses organisations préféreront les plateformes WAAP basées sur le cloud , sous la forme d’ une sécurité en tant que service .

Plusieurs facteurs accroissent l’intérêt pour les plateformes WAAP basées sur le cloud :

  1. La nécessité d'une technologie de gestion de robots spécialisée pour dissuader la fraude et les abus
  2. Contrôles de découverte et d'application des API pouvant atténuer les risques liés aux intégrations tierces
  3. Maintenance continue des politiques via des API, des cadres de développement et des pipelines CI/CD
  4. Protections automatisées et correction des faux positifs à l'aide de l'IA alimentée par l'homme

Les WAF basés sur des appareils qui s'intègrent aux services de sécurité basés sur le cloud et axés sur les résultats commerciaux continueront d'être des options viables, voire préférées, dans les secteurs hautement réglementés comme les services bancaires et financiers (BFSI).

Comment évaluer un service Cloud WAAP

L’efficacité et la facilité d’utilisation sont souvent citées comme des critères d’achat clés pour WAAP.

Le WAAP de premier ordre aide les organisations à améliorer leur posture de sécurité au rythme de l'entreprise, à atténuer les compromis sans frictions ni faux positifs excessifs et à réduire la complexité opérationnelle pour protéger en permanence les architectures hybrides multicloud contre les vulnérabilités critiques, les abus de logique métier et les risques imprévus. 

Les principales fonctionnalités incluent :

  • Observabilité universelle sur l'infrastructure cloud native et la pile d'applications complète
  • Découverte et application dynamiques d'API
  • Résilience lors du réoutillage, de l'escalade et de l'évasion des attaquants

Comment fonctionne la protection des applications Web et des API ?

Les solutions WAAP atténuent le risque de compromission, d'exfiltration de données, de prise de contrôle de compte et de temps d'arrêt des applications en intégrant divers contrôles de sécurité pour protéger les applications, notamment :

  • Pare-feu d'application Web (WAF)
  • Gestion des robots
  • Sécurité des API
  • Atténuation des attaques DDoS

Les solutions WAAP sont disponibles sous plusieurs formats :

  1. Appareils WAF physiques/virtuels qui s'intègrent aux services de sécurité basés sur le cloud
  2. Instances WAF basées sur des microservices qui s'intègrent aux services de sécurité basés sur le cloud
  3. Plateformes WAAP basées sur le cloud avec contrôles de sécurité WAF, Bot, API et DDoS intégrés

Les solutions WAAP incluent également une sécurité côté client pour détecter les scripts/skimmings malveillants (tels que les attaques Magecart ), des contrôles de sécurité pour empêcher les attaques via des agrégateurs malveillants et une protection de compte qui empêche la prise de contrôle de compte par fraude manuelle.

Les solutions Application Infrastructure Protection (AIP) renforcent davantage la sécurité des applications et améliorent la correction grâce à la découverte dynamique des vulnérabilités et à la sécurité des charges de travail dans le cloud, empêchant ainsi l'exploitation et l'abus de l'infrastructure sous-jacente via l'intégration avec les contrôles WAAP.

Comment F5 gère-t-il la protection des applications Web et des API ?

Les solutions F5 WAAP s'intègrent nativement dans n'importe quelle architecture, cloud et modèle d'exploitation, offrant aux équipes de sécurité et de gestion des risques une visibilité universelle et une application cohérente des politiques pour protéger les applications héritées et modernes du cœur au cloud jusqu'à la périphérie. Les solutions F5 WAAP offrent flexibilité et choix en matière de modèle de déploiement et de modèle d'exploitation.

F5 Distributed Cloud WAAP offre une observabilité inégalée associée à un grand lac de données du monde réel et à des algorithmes d'apprentissage automatique qui permettent aux clients F5 d'adopter des services à valeur ajoutée (VAS) basés sur l'IA, par exemple, Authentication Intelligence, qui optimise les transactions clients légitimes en améliorant la personnalisation et en supprimant les frictions pour augmenter la rétention, la conversion et la fidélité.

Diagramme WAAP 1

Figure 3 : Plateforme de protection des API et des applications Web distribuées dans le cloud F5

F5 NGINX propose également plusieurs options pour déployer et exploiter une passerelle API en fonction de vos cas d'utilisation et de vos modèles de déploiement. Les outils universels incluent F5 NGINX Plus , qui peut être déployé en tant que passerelle API légère et hautes performances dans les environnements cloud, sur site et périphériques.

Les outils natifs de Kubernetes incluent NGINX Ingress Controller , qui gère la connectivité des applications à la périphérie d’un cluster Kubernetes avec des fonctionnalités de passerelle API, d’identité et d’observabilité.