Qu’est-ce qu’un pare-feu d’application Web ?

Un pare-feu d’application Web (WAF) est déployé à la périphérie du réseau et inspecte le trafic vers et depuis les applications Web. Il peut filtrer et surveiller le trafic pour offrir une protection contre les attaques telles que l’injection SQL, les scripts inter-sites (XSS, Cross Site Scripting) et la falsification de demandes inter-sites (CSRF, Cross-Site Request Forgery).

Un WAF fonctionne au niveau de la couche réseau 7 (la couche applicative). Bien qu’il puisse assurer une défense contre un large éventail d’attaques au niveau de la couche applicative, il ne peut pas fonctionner seul et doit être associé à d’autres outils de sécurité pour offrir une protection contre les attaques ciblant d’autres couches réseau ou d’autres parties de l’environnement de sécurité.

En savoir plus Évaluation gratuite

Qu’est-ce qu’un pare-feu d’applications Web (WAF, Web Application Firewall) ?

Quelle est la différence entre le WAF et un pare-feu ?

« Pare-feu » est un terme générique pour le microprogramme qui filtre les trafics entrant et sortant sur un réseau. Il existe plusieurs catégories dans cette définition générale qui diffèrent par le type de protection qu’elles fournissent. Il s’agit notamment du filtrage dynamique, du filtrage des paquets, des serveurs proxy et des pare-feux nouvelle génération (NGFW, Next Generation Firewalls).

 

Le WAF est un autre type de pare-feu, qui se distingue par la façon dont il filtre les paquets de données. Le WAF inspecte la couche applicative du réseau et peut empêcher de nombreuses attaques invisibles pour d’autres types de pare-feux. Par exemple, une attaque par injection SQL ne serait pas détectée par un pare-feu normal, car elle n’inspecte pas les charges utiles des demandes d’application, telles que les requêtes SQL.

 

Contrairement à un pare-feu traditionnel qui peut bloquer le trafic provenant de plages IP spécifiques, de zones géographiques, etc., les WAF vous permettent de définir des règles qui excluent des types spécifiques de comportement d'application qui semblent être malveillants.

Types de pare-feux d’application Web

Il existe trois principaux types de serveurs d’applications Web : WAF du réseau, WAF basé sur l’hôte et WAF cloud.

Appliance WAF

Généralement basé sur le matériel, il peut être installé localement à l’aide d’un équipement dédié et peut être installé aussi près que possible de l’application de terrain pour réduire la latence.

 

La plupart des WAF basés sur du matériel vous permettent de copier les règles et les paramètres entre les appareils, pour prendre en charge des déploiements à grande échelle sur les réseaux d’entreprise. L’inconvénient d’un WAF de réseau est qu’il nécessite un investissement initial important, ainsi que des coûts de maintenance continus.

 

Une alternative au WAF basé sur le matériel consiste à exécuter le WAF en tant que dispositif virtuel, soit localement, souvent en utilisant la technologie de virtualisation des fonctions réseau (NVF, Network Function Virtualization), soit dans le cloud public, en déployant une image de machine cloud préconfigurée. Cela réduit les dépenses en capital, mais crée toujours des frais généraux de maintenance.

WAF basé sur l'hôte

Peut être entièrement intégré à votre code d’application. Les avantages de ce modèle de déploiement comprennent des coûts beaucoup plus bas et une personnalisation améliorée. Cependant, les WAF basés sur l’hôte sont plus complexes à déployer, nécessitant l’installation de bibliothèques spécifiques sur le serveur d’applications et dépendant des ressources du serveur pour une exécution efficace. Le WAF devient également une dépendance de l’application Web qui doit être gérée tout au long du cycle de vie du développement.

cloud WAF

Il s’agit d’une option rentable qui fournit une solution WAF clé en main, sans investissement initial et déploiement rapide. Les solutions WAF cloud sont généralement basées sur un abonnement et ne nécessitent qu’une simple configuration DNS ou proxy pour commencer à fonctionner. Les WAF basés sur le cloud ont accès à des informations sur les menaces constamment mises à jour, et peuvent également offrir des services gérés pour vous aider à définir des règles de sécurité et à répondre aux attaques lorsqu’elles se produisent.

 

Le défi avec les WAF cloud est que vous devez faire confiance à votre fournisseur pour acheminer tout le trafic vers votre application Web. Si le fournisseur WAF tombe en panne, votre site Web tombe également en panne, et si les performances sont médiocres, les performances de votre site Web seront affectées. C’est pour cela que la plupart des fournisseurs WAF cloud offrent une solution de protection WAF, CDN et DDoS intégrée pour garantir la disponibilité et une latence minimale.

Comment fonctionne un pare-feu d’application Web ?

Il existe plusieurs modèles de déploiement possibles pour un pare-feu d’application Web :

  • Dispositif matériel ou virtuel
  • Logiciel s’exécutant sur le même serveur Web que l’application Web
  • Service basé sur le cloud

 

Dans chacun de ces modèles de déploiement, le WAF se trouve toujours devant l’application Web, interceptant tout le trafic entre l’application et Internet.

 

Liste blanche vs. Liste noire

 

Un WAF peut fonctionner dans un modèle de liste blanche, ne laissant passer que le trafic d’applications connues pour être bonnes, ou dans un modèle de liste noire, bloquant le trafic qui correspond aux modèles d’attaques ou aux règles de sécurité connues.

 

Les WAFs interceptent les requêtes HTTP/S, les inspectent et ne les laissent passer que s'ils confirment qu'elles ne sont pas malveillantes. De la même manière, il inspecte les réponses du serveur, en vérifiant qu'elles ne présentent pas de schémas connus d'attaques d'applications Web, tels que le détournement de session, le dépassement de mémoire tampon, le XSS, les communications de commande et de contrôle (C&C) ou le déni de service (DoS).

Capacités du WAF

Les WAF fournissent généralement les capacités suivantes :

 

  • Base de données des signatures d'attaques :il s'agit de modèles qui peuvent être utilisés pour identifier le trafic malveillant. Il peut s'agir d'adresses IP malveillantes connues, de types de requêtes, de réponses inhabituelles du serveur, etc. Dans le passé, les WAFs s'appuyaient principalement sur des bases de données de modèles d'attaques, mais cette technique est largement inefficace contre les attaques nouvelles et inconnues.
  • Analyse IA/ML des schémas de trafic -les WAF moderneseffectuent une analyse comportementale du trafic à l'aide d'algorithmes d'intelligence artificielle. Ils identifient les lignes de base pour des types de trafic spécifiques et détectent les anomalies susceptibles de représenter une attaque. Cela permet d'identifier les attaques même si elles ne correspondent pas à un modèle malveillant connu.
  • Profilage des applications - leWAF analyse la structure Web des applications, y compris les URL, les requêtes types, les types de données et les valeurs autorisées. Cela permet d'identifier les requêtes anormales ou malveillantes et de les bloquer.
  • Moteur de personnalisation : leWAF permet aux opérateurs de définir des règles de sécurité spécifiques à l'organisation ou à l'application Web, et de les appliquer instantanément au trafic applicatif. Ceci est important pour permettre la personnalisation du comportement du WAF et éviter de bloquer le trafic légitime.
  • Moteur de corrélation - analyse letrafic entrant et le classe en fonction des signatures d'attaques connues, de l'analyse IA/ML, du profilage application et des règles personnalisées afin de déterminer s'il doit être bloqué ou non.
  • Protection DDoS - Les WAFss'intègrent généralement aux plateformes de protection contre les dénis de service distribués (DDoS) basées sur le site cloud. Lorsqu'une attaque DDoS est détectée par le WAF, celui-ci peut bloquer les requêtes et transférer le trafic vers le système de protection DDoS, qui peut s'adapter pour résister à des attaques volumétriques de grande ampleur.
  • Réseau de diffusion de contenu (CDN)- Étant donné que les WAF sont déployés à la périphérie du réseau, les WAF basés sur le site cloudpeuvent également fournir un CDN qui met en cache le site web afin d'en améliorer le temps de chargement. Le WAF/CDN est déployé sur plusieurs points de présence (PoP) répartis dans le monde entier, et le site web est mis à la disposition des utilisateurs par le PoP le plus proche.

Inconvénients des pare-feux d’application Web (WAF, Web Application Firewall) basés sur des règles

Les WAF sont déployés à la périphérie et tentent de filtrer et de bloquer le trafic soupçonné d’être malveillant. Traditionnellement, ce filtrage a été effectué à l’aide de règles, fournies prêtes à l’emploi par le fournisseur du WAF, ou personnalisées par l’organisation déployant le WAF.

 

Le problème avec les WAF basés sur des règles est qu’ils nécessitent une maintenance très élevée. Les organisations doivent définir minutieusement des règles qui correspondent à leurs modèles d’application spécifiques, qui peuvent changer au fil du temps lorsque de nouvelles applications sont adoptées et que les applications évoluent. Pour ces raisons, il est également plus difficile de s’attaquer aux vecteurs de menace changeants. De nouvelles attaques peuvent nécessiter de nouvelles règles.

 

Un défi supplémentaire consiste à exploiter des WAF dans un environnement de microservices. Dans une grande application de microservices, de nouvelles versions de microservices sont publiées plusieurs fois par jour. Il n’est tout simplement pas pratique de déployer un WAF et de mettre à jour des ensembles de règles pour chaque composant. Cela signifie que dans de nombreux cas, les microservices resteront non protégés par un WAF.

Application Web Check Point et protection des API

Appsec a toujours été difficile, mais avec la vitesse de développement plus élevée que jamais, il est devenu presque impossible de protéger les applications sans nécessiter une maintenance WAF lourde ou bloquer les utilisateurs légitimes.

CloudGuard AppSec de Check Point utilise l'IA pour offrir aux clients une meilleure couverture de sécurité, avec des frais généraux réduits.

Arrêtez les faux positifs, protégez les applications et les API grâce à une solution automatisée aussi rapide que les DevOps, qui fournit une prévention précise, l’administration des politiques zéro et un déploiement automatisé dans tous les environnements.

Commencez votre essai gratuit et sécurisez vos applications dès maintenant.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK