Ressources Livres blancs

Lancement du pare-feu application Web (WAF) avancé

Pourquoi les organisations ont-elles besoin d’un WAF ?

Aujourd'hui, les entreprises étendent leurs activités en utilisant des applications Web et hébergées dans le cloud. Par conséquent, disposer d'un pare-feu application Web (WAF) robuste et agile pour les protéger des menaces de sécurité n'est pas un luxe, c'est une nécessité.

À mesure que ces applications Web et cloud se propagent plus rapidement, les attaques deviennent de plus en plus sophistiquées et fréquentes, menaçant les données et les opérations critiques des entreprises. Il est donc beaucoup plus difficile pour les administrateurs et les équipes de sécurité de se tenir au courant des dernières attaques et des mesures de protection. Dans le même temps, ils doivent répondre à des exigences de conformité strictes pour le commerce en ligne (par exemple, la norme de sécurité des données de l'industrie des cartes de paiement) ; protéger les applications Web critiques pour l'entreprise contre les attaques courantes telles que l'injection SQL, les attaques DDoS et les attaques zero-day multiformes ; et permettre le partage sécurisé des données dans les environnements traditionnels et cloud.

Que faut-il pour déployer un WAF ?

Les entreprises peuvent utiliser une combinaison de techniques pour garantir une couverture de détection précise qui ne bloque pas le trafic légitime. Traditionnellement, la configuration WAF la plus utilisée est un modèle de sécurité négative, qui autorise toutes les transactions à l’exception de celles qui contiennent une menace/attaque. La sécurité négative utilise des signatures et des règles conçues pour détecter les menaces et les attaques connues. La base de données des règles de signature sera assez conséquente, car les connaissances en matière d’attaque se sont accumulées au fil des années. Il s'agit d'un excellent modèle de protection prête à l'emploi, bloquant les menaces les plus connues, notamment les injections Web, les 10 principales menaces OWASP, les scripts intersites (XSS), etc.

Ces dernières années, les modèles de sécurité positive sont devenus plus populaires. Cette approche bloque tout le trafic, autorisant uniquement les transactions dont on sait qu’elles sont valides et sûres. L’approche positive repose sur une validation stricte du contenu et une analyse statistique, qui peuvent être plus efficaces pour prévenir les menaces zero-day et la manipulation des vulnérabilités. Pour être véritablement efficace, une approche de sécurité positive nécessite une connaissance approfondie de l’ application et de ses usages attendus.

Défis
De multiples étapes interdépendantes à suivre

Les modèles positifs et négatifs sont tous deux capables d’atteindre l’équilibre délicat entre « sécurité » et « fonctionnalité ». Cependant, aucun modèle de sécurité positif ou négatif ne peut à lui seul fournir la solution la plus économique dans chaque situation ou environnement. Associée aux exigences de l'entreprise, une approche positive et négative intégrée peut permettre aux organisations de tirer le meilleur retour sur investissement de toute mise en œuvre de politique de sécurité.

Prendre les décisions appropriées pour un déploiement WAF qui répond au mieux aux objectifs commerciaux peut être un défi. Le besoin de temps et de ressources entre généralement en concurrence avec le besoin de savoir-faire adéquat et de confiance dans l’utilisation du produit sélectionné.

Un client devra suivre plusieurs étapes lors de la planification et de la mise en œuvre d'un projet de mise en œuvre de service WAF :

  1. Construire la stratégie WAF « la plus appropriée » et la faire approuver par toutes les parties prenantes internes.
  2. Utilisez efficacement le produit WAF pour mettre en œuvre l’ensemble correct de politiques et de paramètres.
  3. Planifiez le déploiement du service WAF, souvent sur plusieurs centaines d' applications.
  4. Planifiez les opérations de service quotidiennes et la gestion du cycle de vie en production.
Chaque étape présente des défis communs
  • Les exigences (ou attentes) en matière de sécurité des entreprises et des activités ne prennent pas toujours pleinement en compte les contraintes techniques, opérationnelles et de ressources. La tentation est alors de tenter d’atteindre un objectif de haut niveau en concevant une stratégie très sophistiquée avant de s’assurer que l’organisation a mis en place tout ce qui est nécessaire pour rendre cet objectif atteignable. Dans de nombreux cas, une évaluation et une analyse neutres de la situation peuvent être nécessaires pour résoudre ce problème.
  • L’équilibre entre la disponibilité des application , exigée par les propriétaires d’entreprise, et le niveau de protection requis par l’équipe CISO n’est pas toujours facile à atteindre. Par exemple, les propriétaires d’entreprise ne souhaitent pas que leurs applications soient bloquées en raison de faux positifs ou de politiques WAF trop restrictives. Là encore, une évaluation et une analyse impartiales et éclairées de la situation peuvent aider les organisations à trouver le bon équilibre et à préparer des plans d’atténuation pour faire face aux impacts possibles sur la production.
  • Il est fortement recommandé de suivre une formation auprès d'un éditeur de logiciels ou d'obtenir une certification produit, mais cela n'épargnera jamais l'effort de s'exercer dans le contexte, les objectifs et les contraintes réels de l'entreprise.
  • L’une des questions auxquelles les clients sont souvent confrontés est de savoir comment sécuriser un grand nombre d’ applications. Cependant, bien souvent, le volume lui-même n’est pas le problème principal, alors que la qualité et l’exhaustivité des informations disponibles pour chaque application peuvent en effet entraver un projet WAF et devraient conduire à de nouvelles réflexions sur la stratégie de conception et de mise en œuvre. L’expérience des implémentations WAF sera extrêmement utile pour découvrir des critères pertinents et établir la caractérisation et les regroupements d’ applications, ainsi que pour adapter la stratégie globale de conception et de mise en œuvre du service WAF.
  • Souvent, les clients oublient d’inclure en amont les considérations relatives aux étapes ultérieures pour garantir la faisabilité et la prise en charge. C’est probablement l’erreur la plus fréquemment commise (c’est-à-dire concevoir et planifier la solution sans étudier les implications des modèles de conception et de mise en œuvre sélectionnés lors de l’exploitation de cette solution à long terme dans un environnement de production). Un exemple courant est la sous-estimation des ressources nécessaires pour maintenir des politiques WAF hautement sophistiquées alors que l'ensemble de l'environnement est confronté à des changements réguliers de toutes parts : menaces, atténuations, versions application , etc.
La solution F5
F5 Professional Services personnalise la solution pour votre environnement

L'ensemble complet de fonctions de BIG-IP Advanced WAF, telles que plusieurs méthodes de déploiement (y compris le générateur de politiques de trafic réel) ; l'apprentissage manuel ; et des fonctionnalités avancées telles que l'intégration du scanner de vulnérabilité, les signatures d'attaque, la prévention de la force brute, l'application de la géolocalisation, la détection de robots, l'atténuation des attaques DDoS, et bien plus encore, permettent des configurations rapides et adaptées qui peuvent ensuite évoluer et s'améliorer pour répondre à l'évolution du monde des menaces et aux exigences les plus exigeantes des clients.

F5 Professional Services a spécifiquement créé le service Advanced WAF Launchpad pour les clients qui ont acheté et parfois même provisionné le module Advanced WAF BIG-IP, mais qui n'ont pas encore déployé de service WAF efficace (par exemple, avec peu de politiques uniquement en mode transparent).

Le service Advanced WAF Launchpad peut offrir l'avantage de l'expertise et de l'expérience de F5 Professional Services pour aider les clients à surmonter des problèmes d'utilisation spécifiques et à s'engager dans un projet de mise en œuvre Advanced WAF réussi.

Portée du service

Le service implique une collaboration entre un expert en sécurité de F5 Professional Services et les équipes de gestion des applications du client.

L'objectif double du service est de développer une stratégie de mise en œuvre de politique Advanced WAF adaptée aux besoins en utilisant les meilleures pratiques F5, et de transférer un savoir-faire et une expertise qui peuvent être directement mis en pratique par le client.

Approche de prestation de services

Le service est un engagement de deux jours au cours duquel la théorie et la pratique des fonctionnalités, des déploiements et des exigences de gestion Advanced WAF sont couvertes pour garantir aux clients la confiance et la capacité de mettre en œuvre des solutions Advanced WAF efficaces pour une sécurité optimale des application .

Étape 1 : Stratégie Advanced WAF

La première journée de travail commence par une séance de travail impliquant les architectes de sécurité, les concepteurs, les ingénieurs, les opérations et les autres parties prenantes en charge de la gestion des politiques de sécurité Advanced WAF . Le consultant F5 pilotera la collecte de données et l’analyse impartiale du contexte et des objectifs existants, fournira des recommandations et des meilleures pratiques et mènera des réflexions approfondies pour développer une stratégie de conception et de mise en œuvre de haut niveau.

À la fin de cette première journée, le consultant F5 préparera un rapport qui mettra en évidence les conclusions et les recommandations.

Étape 2 : Création et mise en œuvre des politiques

Cette étape consiste à créer une politique et à l'appliquer à un serveur virtuel pour couvrir une application Web donnée. Elle peut être réalisée en une seule fois ou divisée en sous-tâches distinctes pour s’adapter à la stratégie de mise en œuvre de la politique sélectionnée.

Par exemple, une implémentation de politique dans un banc d'essai client avec la méthode de déploiement rapide peut être effectuée en une seule session, tandis que la génération d'une politique à l'aide du générateur de politique automatique (c'est-à-dire lorsque le trafic « réel » est disponible pour être inspecté sur une période prolongée) peut être divisée en une sous-tâche pour configurer la politique de base, et une autre sous-tâche ultérieure pour effectuer le réglage de la politique et la transition vers le mode de blocage.

Conclusion

L'assistance en direct d'un consultant qualifié doté de l'expertise et de l'expérience pertinentes s'est très souvent avérée être la meilleure solution pour mettre un projet de déploiement de service WAF sur la bonne voie et aider les propriétaires de Advanced WAF à prendre des décisions éclairées et efficaces.

Pour plus d'informations sur le service BIG-IP Advanced WAF Launchpad, veuillez contacter F5 Professional Services .

Publié le 21 mars 2018
  • Partager sur Facebook
  • Partager sur X
  • Partager sur Linkedin
  • Partager par e-mail
  • Partager via AddThis

Connectez-vous avec F5

F5 Labs

Les dernières nouveautés en matière de renseignement sur les menaces applicatives.

Accéder aux laboratoires F5

DevCentral

La communauté F5 pour les forums de discussion et les articles d'experts.

Accéder à DevCentral

Salle de presse F5

Actualités, blogs F5 et plus encore.

Accéder à la salle de presse