Un pare-feu d’application Web (WAF) est déployé à la périphérie du réseau et inspecte le trafic vers et depuis les applications Web. Il peut filtrer et surveiller le trafic pour offrir une protection contre les attaques telles que l’injection SQL, les scripts inter-sites (XSS, Cross Site Scripting) et la falsification de demandes inter-sites (CSRF, Cross-Site Request Forgery).
Un WAF fonctionne au niveau de la couche réseau 7 (la couche applicative). Bien qu’il puisse assurer une défense contre un large éventail d’attaques au niveau de la couche applicative, il ne peut pas fonctionner seul et doit être associé à d’autres outils de sécurité pour offrir une protection contre les attaques ciblant d’autres couches réseau ou d’autres parties de l’environnement de sécurité.
« Pare-feu » est un terme générique pour le microprogramme qui filtre les trafics entrant et sortant sur un réseau. Il existe plusieurs catégories dans cette définition générale qui diffèrent par le type de protection qu’elles fournissent. Il s’agit notamment du filtrage dynamique, du filtrage des paquets, des serveurs proxy et des pare-feux nouvelle génération (NGFW, Next Generation Firewalls).
Le WAF est un autre type de pare-feu, qui se distingue par la façon dont il filtre les paquets de données. Le WAF inspecte la couche applicative du réseau et peut empêcher de nombreuses attaques invisibles pour d’autres types de pare-feux. Par exemple, une attaque par injection SQL ne serait pas détectée par un pare-feu normal, car elle n’inspecte pas les charges utiles des demandes d’application, telles que les requêtes SQL.
Contrairement à un pare-feu traditionnel qui peut bloquer le trafic provenant de plages IP spécifiques, de zones géographiques, etc., les WAF vous permettent de définir des règles qui excluent des types spécifiques de comportement d'application qui semblent être malveillants.
Il existe trois principaux types de serveurs d’applications Web : WAF du réseau, WAF basé sur l’hôte et WAF cloud.
Généralement basé sur le matériel, il peut être installé localement à l’aide d’un équipement dédié et peut être installé aussi près que possible de l’application de terrain pour réduire la latence.
La plupart des WAF basés sur du matériel vous permettent de copier les règles et les paramètres entre les appareils, pour prendre en charge des déploiements à grande échelle sur les réseaux d’entreprise. L’inconvénient d’un WAF de réseau est qu’il nécessite un investissement initial important, ainsi que des coûts de maintenance continus.
Une alternative au WAF basé sur le matériel consiste à exécuter le WAF en tant que dispositif virtuel, soit localement, souvent en utilisant la technologie de virtualisation des fonctions réseau (NVF, Network Function Virtualization), soit dans le cloud public, en déployant une image de machine cloud préconfigurée. Cela réduit les dépenses en capital, mais crée toujours des frais généraux de maintenance.
Peut être entièrement intégré à votre code d’application. Les avantages de ce modèle de déploiement comprennent des coûts beaucoup plus bas et une personnalisation améliorée. Cependant, les WAF basés sur l’hôte sont plus complexes à déployer, nécessitant l’installation de bibliothèques spécifiques sur le serveur d’applications et dépendant des ressources du serveur pour une exécution efficace. Le WAF devient également une dépendance de l’application Web qui doit être gérée tout au long du cycle de vie du développement.
Il s’agit d’une option rentable qui fournit une solution WAF clé en main, sans investissement initial et déploiement rapide. Les solutions WAF cloud sont généralement basées sur un abonnement et ne nécessitent qu’une simple configuration DNS ou proxy pour commencer à fonctionner. Les WAF basés sur le cloud ont accès à des informations sur les menaces constamment mises à jour, et peuvent également offrir des services gérés pour vous aider à définir des règles de sécurité et à répondre aux attaques lorsqu’elles se produisent.
Le défi avec les WAF cloud est que vous devez faire confiance à votre fournisseur pour acheminer tout le trafic vers votre application Web. Si le fournisseur WAF tombe en panne, votre site Web tombe également en panne, et si les performances sont médiocres, les performances de votre site Web seront affectées. C’est pour cela que la plupart des fournisseurs WAF cloud offrent une solution de protection WAF, CDN et DDoS intégrée pour garantir la disponibilité et une latence minimale.
Il existe plusieurs modèles de déploiement possibles pour un pare-feu d’application Web :
Dans chacun de ces modèles de déploiement, le WAF se trouve toujours devant l’application Web, interceptant tout le trafic entre l’application et Internet.
Liste blanche vs. Liste noire
Un WAF peut fonctionner dans un modèle de liste blanche, ne laissant passer que le trafic d’applications connues pour être bonnes, ou dans un modèle de liste noire, bloquant le trafic qui correspond aux modèles d’attaques ou aux règles de sécurité connues.
Les WAFs interceptent les requêtes HTTP/S, les inspectent et ne les laissent passer que s'ils confirment qu'elles ne sont pas malveillantes. De la même manière, il inspecte les réponses du serveur, en vérifiant qu'elles ne présentent pas de schémas connus d'attaques d'applications Web, tels que le détournement de session, le dépassement de mémoire tampon, le XSS, les communications de commande et de contrôle (C&C) ou le déni de service (DoS).
Les WAF fournissent généralement les capacités suivantes :
Les WAF sont déployés à la périphérie et tentent de filtrer et de bloquer le trafic soupçonné d’être malveillant. Traditionnellement, ce filtrage a été effectué à l’aide de règles, fournies prêtes à l’emploi par le fournisseur du WAF, ou personnalisées par l’organisation déployant le WAF.
Le problème avec les WAF basés sur des règles est qu’ils nécessitent une maintenance très élevée. Les organisations doivent définir minutieusement des règles qui correspondent à leurs modèles d’application spécifiques, qui peuvent changer au fil du temps lorsque de nouvelles applications sont adoptées et que les applications évoluent. Pour ces raisons, il est également plus difficile de s’attaquer aux vecteurs de menace changeants. De nouvelles attaques peuvent nécessiter de nouvelles règles.
Un défi supplémentaire consiste à exploiter des WAF dans un environnement de microservices. Dans une grande application de microservices, de nouvelles versions de microservices sont publiées plusieurs fois par jour. Il n’est tout simplement pas pratique de déployer un WAF et de mettre à jour des ensembles de règles pour chaque composant. Cela signifie que dans de nombreux cas, les microservices resteront non protégés par un WAF.
Appsec a toujours été difficile, mais avec la vitesse de développement plus élevée que jamais, il est devenu presque impossible de protéger les applications sans nécessiter une maintenance WAF lourde ou bloquer les utilisateurs légitimes.
CloudGuard AppSec de Check Point utilise l'IA pour offrir aux clients une meilleure couverture de sécurité, avec des frais généraux réduits.
Arrêtez les faux positifs, protégez les applications et les API grâce à une solution automatisée aussi rapide que les DevOps, qui fournit une prévention précise, l’administration des politiques zéro et un déploiement automatisé dans tous les environnements.
Commencez votre essai gratuit et sécurisez vos applications dès maintenant.