Glossaire

Qu’est-ce qu’un Web Application Firewall (WAF) ?

Un pare-feu d’application Web (WAF) protège les applications Web contre diverses attaques en couche applicative comme le cross-site scripting (XSS), l’injection SQL, et le cookie poisoning, entre autres. Les attaques affectant les applications sont la principale cause de failles — les applications sont une porte d’entrée vers vos données sensibles. En vous dotant d’un WAF adapté, vous pouvez bloquer toute une gamme d’attaques visant à exfiltrer ces données en compromettant vos systèmes.

Comment fonctionne un pare-feu d’application Web (WAF) ?

Un WAF protège vos applications Web en filtrant, surveillant et bloquant tout trafic HTTP/S malveillant circulant vers l’application Web, et empêche toute donnée non autorisée de quitter l’application. Pour ce faire, il applique un ensemble de politiques visant à déterminer quel trafic est malveillant et quel trafic est sûr. Tout comme un serveur proxy agit comme un intermédiaire pour protéger l’identité d’un client, un WAF fonctionne de manière similaire, mais en inverse (ce qu’on nomme d’ailleurs proxy inversé), en tant qu’intermédiaire protégeant le serveur d’application Web d’un client potentiellement malveillant.

Les WAF peuvent se présenter sous la forme d’un logiciel, d’un appareil ou en tant que service. Les politiques peuvent être personnalisées pour répondre aux besoins uniques de votre application ou ensemble d’applications Web. Bien que de nombreux WAF exigent que vous mettiez régulièrement à jour les politiques pour tenir compte des nouvelles vulnérabilités, les progrès de l’apprentissage machine permettent à certains WAF de se mettre à jour automatiquement. Cette automatisation devient de plus en plus critique à mesure que le paysage des menaces devient de plus en plus complexe et ambigu.

La différence entre un pare-feu applicatif Web (WAF), un système de prévention des intrusions (IPS) et un pare-feu de nouvelle génération (NGFW)

Un IPS est un système de prévention des intrusions, un WAF est un pare-feu applicatif Web, et un NGFW est un pare-feu de nouvelle génération. Quelle est la différence entre tous ces systèmes ?

Un IPS est un produit de sécurité à visée plus large. Il est généralement basé sur des signatures et des politiques, ce qui signifie qu’il peut vérifier les vulnérabilités connues et les vecteurs d’attaque en se basant sur une base de données établie de signatures et de politiques. L’IPS établit une norme basée sur la base de données et les politiques, puis envoie des alertes lorsqu’un trafic s’écarte de la norme. Les signatures et les politiques se développent au fil du temps, à mesure que de nouvelles vulnérabilités sont connues. En général, un IPS protège le trafic à travers une gamme de types de protocoles comme DNS, SMTP, TELNET, RDP, SSH et FTP. En général, un IPS exploite et protège les couches 3 et 4 : réseau et session. Certains peuvent également offrir une protection limitée au niveau de la couche application (couche 7).

Un pare-feu applicatif Web (WAF) protège la couche application et est spécifiquement conçu pour analyser chaque requête HTTP/S au niveau de la couche application. Il est généralement conscient de l’utilisateur, de la session et de l’application, et connaît les applications Web impliquées et les services qu’elles offrent. De ce fait, on peut considérer un WAF comme un intermédiaire entre l’utilisateur et l’application elle-même, analysant toutes les communications avant qu’elles n’atteignent l’application ou l’utilisateur. Les WAF traditionnels garantissent que seules les actions autorisées (selon la politique de sécurité) peuvent être effectuées. Pour de nombreuses organisations, les WAF constituent une première ligne de défense fiable pour les applications, en particulier pour se protéger contre le Top 10 de l’OWASP, la liste fondamentale des vulnérabilités applicatives les plus fréquentes. Ce Top 10 comprend actuellement :

  • Attaques par injection
  • Authentification défectueuse
  • Exposition de données sensibles
  • Entités externes XML (XXE)
  • Contrôle d’accès défectueux
  • Mauvaise configuration de la sécurité
  • Scripts intersites (XSS)
  • Désérialisation non sécurisée

Obtenez l’Ebook sur les méthodes de protection contre le top 10 de l’OWASP

Regardez cette courte vidéo sur IPS contre WAF

Un pare-feu de nouvelle génération (NGFW) surveille le trafic sortant vers Internet — via les sites Web, les comptes de courrier électronique et le SaaS. En d’autres termes, il protège l’utilisateur (et non l’application Web). Un NGFW appliquera des politiques basées sur l’utilisateur et ajoutera un contexte aux politiques de sécurité en plus d’ajouter des fonctionnalités telles que le filtrage des URL, l’antivirus/anti-malware, et potentiellement ses propres systèmes de prévention des intrusions (IPS). Alors qu’un WAF est généralement un proxy inversé (utilisé par les serveurs), les NGFW sont souvent des proxys directs (utilisés par des clients tels qu’un navigateur).

Les différentes façons de déployer un WAF

Un WAF peut être déployé de plusieurs façons, tout dépend de l’endroit où vos applications sont déployées, des services nécessaires, de la façon dont vous voulez le gérer et du niveau de flexibilité et de performance de l’architecture dont vous avez besoin. Voulez-vous le gérer vous-même, ou voulez-vous externaliser cette gestion ? Est-il préférable d’opter pour un modèle basé sur le cloud ou voulez-vous que votre WAF soit installé dans vos locaux ? La manière dont vous souhaitez le déployer vous aidera à déterminer quel WAF vous convient le mieux. Vous trouverez ci-dessous les options qui s’offrent à vous.

Modes de déploiement d’un WAF :
  • Basé en cloud + entièrement géré en tant que service — c’est une excellente option si vous avez besoin de la manière la plus rapide et la plus simple de placer un WAF au-devant de vos applications (surtout si vous avez des ressources internes limitées en matière de sécurité/informatique)
  • Basé en cloud + géré en interne — obtenez toute la flexibilité et la portabilité des politiques de sécurité du cloud tout en gardant le contrôle de la gestion du trafic et des paramètres de sécurité
  • Basé en cloud + provisionné automatiquement — c’est la façon la plus simple de démarrer avec un WAF en cloud, en déployant la politique de sécurité de façon simple et rentable
  • Advanced WAF sur site (équipement virtuel ou matériel) — répond aux besoins les plus exigeants en matière de déploiement, lorsque la flexibilité, les performances et des préoccupations de sécurité plus poussées sont essentielles à la mission

Voici un guide pour vous aider à choisir le WAF et le mode de déploiement qui vous conviennent.

En savoir plus sur les WAF et sur la protection de vos applications avec la technologie Advanced WAF de F5