DataSunrise Obtient le Statut Compétence DevOps AWS dans AWS DevSecOps et Surveillance, Journalisation, Performance

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

WAF. Un chevalier en armure brillante

WAF. Un chevalier en armure brillante

Aujourd’hui, nous continuons la série de blogs consacrée aux différents types de pare-feu. Dans le premier article, nous avons décrit les catégories de base des pare-feu, donné un aperçu des modes de pare-feu et énoncé les avantages et les inconvénients potentiels des types mentionnés. Dans cet article, nous parlerons en détail du pare-feu d’application Web – WAF.

Résumé

Chaque année, de plus en plus d’organisations déplacent leurs opérations vers des sites web et des applications web et conservent leurs informations dans le cloud, exposant inévitablement des données sensibles à des cyberattaques sophistiquées. Pour protéger les applications et rester conformes aux exigences réglementaires, de nombreuses entreprises mettent en place des pare-feux d’application Web.

Les WAFs répondent aux menaces attaquant les applications web personnalisées de l’entreprise et les données. Ils incluent des techniques de protection conçues spécifiquement pour la sécurité web. Traditionnellement, le WAF est l’outil le plus efficace pour protéger les applications internes et publiques de l’organisation. Les applications web peuvent être déployées localement (sur site) ou à distance (hébergées, dans le cloud ou en tant que service). Les WAFs visent à bloquer les tentatives de piratage, surveiller l’accès aux applications web et collecter des journaux pour la conformité, l’audit et l’analyse.

 

Qu’est-ce qu’un WAF ?

Le WAF est différent du pare-feu réseau traditionnel, du NGFW (Next Generation Firewall) et du système de prévention des intrusions (IPS). Il fournit une protection à un niveau de granularité plus élevé. Il protège les serveurs web et les applications web spécifiques de l’entreprise contre les attaques à la couche application et les attaques non volumétriques à la couche réseau. Il identifie et corrige également les vulnérabilités “auto-infligées” dans les applications développées sur mesure. La personnalisation des règles pour une application donnée permet d’identifier et de bloquer de nombreuses attaques. Les WAFs sont capables de prévenir les XSS (Cross-site Scripting), les injections SQL, le détournement de session, les débordements de tampon, les inclusions de fichiers distants (RFI) et les empoisonnements de cookies.

Ils peuvent également inclure des techniques de protection contre les attaques DDoS (Distributed Denial of Service). De plus, certains WAFs protègent contre la traversée de répertoire, la navigation forcée d’URL, etc.

Vecteurs de Menaces

Les applications web sont vulnérables à de nombreuses menaces, qui ne sont pas toujours reconnues par les pare-feu réseau classiques, les NGFWs et les IPSs. Les attaques les plus courantes sont les suivantes :

Injection

Les attaques par injection SQL sont utilisées par des utilisateurs malveillants pour obtenir l’accès à des données restreintes ou pour intégrer du code malveillant sur un serveur web. Cette technique déclenche l’exécution des commandes injectées par la base de données backend et permet aux utilisateurs non autorisés d’accéder à des informations sensibles contenues dans la base de données. En cas d’intégration de code malveillant, le serveur web infecté diffusera des logiciels malveillants aux clients sans méfiance.

Cross-site Scripting (XSS)

Les attaques Cross-site Scripting permettent à un malfaiteur d’obtenir des informations sensibles ou de compromettre un serveur web. L’attaquant insère des scripts Java dans les pages d’un site de confiance et en modifie le contenu. Ensuite, le site web vulnérable est utilisé comme un véhicule pour livrer un script malveillant dans le navigateur de la victime. L’attaquant exploite la confiance qu’un utilisateur a pour un site web.

Détournement de requête intersites (CSRF)

Les attaques de détournement de requête intersites forcent les utilisateurs finaux à apporter des modifications d’informations qu’ils n’avaient pas l’intention de faire. Cela peut être la mise à jour de données personnelles, la publication de contenu ou l’initiation de transactions falsifiées. Un attaquant provoque un utilisateur à transmettre une requête HTTP malveillante, incluant le cookie de session de la victime, à une application ou un site web cible. Le site web vulnérable le fait confiance sans le consentement de l’utilisateur. Dans ce cas, l’attaquant exploite la confiance qu’un site web accorde au navigateur de l’utilisateur.

Exposition de Données Sensibles

Lorsque une application web ne protège pas correctement les données sensibles en transit et au repos, les attaquants peuvent voler ou manipuler les données pour commettre un vol d’identité, une fraude à la carte de crédit ou d’autres crimes. Ce type de vulnérabilité est lié au manque de chiffrement des données sensibles, telles que les numéros de carte de crédit, les informations d’authentification, les numéros de sécurité sociale (SSN), les identifiants fiscaux, etc.

Traversée de Répertoire

Les attaques de traversée de répertoire permettent d’accéder à des fichiers et répertoires restreints et d’exécuter des commandes en dehors du répertoire racine du serveur web. Un attaquant manipule une URL de telle manière que le site web révèle les fichiers confinés sur le serveur web.

Déploiement de WAF

Le WAF peut être exécuté sous forme d’appliance physique, virtuelle ou logicielle, de plug-in serveur ou de service basé sur le cloud. Actuellement, les services cloud sont principalement adaptés aux petites et moyennes entreprises (PME), tandis que les grandes entreprises sont plus susceptibles d’investir dans des appliances physiques ou virtuelles spécifiquement conçues.

Le WAF peut être déployé devant un serveur web ou intégré directement sur un serveur web. Le plus souvent, un WAF est déployé en ligne, en tant que proxy inverse, mais il peut également être déployé en mode bridge, en mode miroir (positionné hors bande) ou agir comme proxy transparent. Dans le cas d’un déploiement en mode miroir, un WAF fonctionne sur une copie du trafic réseau.

Chaque déploiement de WAF est différent en fonction de l’utilisation. Cela dépend de l’objectif principal de la mise en œuvre de la technologie – qu’il soit utilisé pour le patching virtuel, l’enregistrement des audits HTTP, le suivi des données sensibles ou l’identification des vulnérabilités des applications. Pour certains WAFs, le mode de déploiement hybride est disponible offrant un déploiement en ligne combiné avec le déploiement de capteurs hors ligne pour collecter les données d’audit et ensuite communiquer avec l’application d’agent installée sur un serveur web spécifique. De nombreux produits WAF prennent en charge non seulement un déploiement de serveur web unique mais aussi multiple.

Comment fonctionne un WAF ?

Opérant au niveau de l’application, le WAF fonctionne comme une barrière flexible entre les utilisateurs finaux et les applications. Il surveille et filtre le trafic HTTP entrant et sortant et bloque les activités qui contredisent les règles de sécurité configurées. Un WAF intercepte et analyse chaque paquet de données HTML, HTTPS, SOAP et XML-RPC. L’inspection du trafic de données à la recherche de motifs inhabituels permet de détecter et de bloquer de nouvelles attaques inconnues. De cette manière, le WAF offre des capacités au-delà de celles offertes par le NGFW et l’IPS, qui ne couvrent que les vulnérabilités connues.

Intégration avec d’autres technologies de sécurité

Le WAF s’intègre avec d’autres technologies de sécurité de l’information, telles que les scanners de vulnérabilité d’application, les appareils de protection DDoS, les solutions de sécurité de base de données, la détection de fraude web, le SIEM (Information and Event Management). La consolidation des WAFs avec d’autres technologies de sécurité permet de maximiser le taux de détection et de blocage des menaces connues et évolutives. Une personnalisation fine minimise les faux positifs et garantit une détection précise des anomalies. Cela aide finalement à atténuer les risques et à réduire considérablement la surface d’attaque de l’entreprise.

Limites du WAF

Avec tous les avantages que le WAF peut offrir, viennent des difficultés dans le déploiement et la gestion continue du logiciel. Pour fournir le niveau attendu de sécurité des applications et des données, le WAF doit être déployé et géré efficacement. Cela implique une maintenance appropriée des politiques de pare-feu et la personnalisation des règles de sécurité, ce qui à son tour demande un niveau avancé des compétences des administrateurs de WAF.

Il y a des problèmes qui attirent l’attention dans le processus de déploiement et de mise en œuvre de WAF :

Politiques inefficaces. Les politiques de pare-feu et les capacités doivent évidemment suivre le rythme des nouvelles menaces émergentes, ce qui n’est pas toujours le cas. Un autre problème est le manque d’informations et de documentation sur les politiques efficaces, de sorte que les utilisateurs doivent fournir des efforts et du temps supplémentaires pour comprendre ce qui fonctionne et comment améliorer.

Personnalisation des règles de sécurité. Il faut du temps pour déterminer toutes les règles nécessaires pour bloquer ou permettre le passage du trafic au travers des applications. Les règles doivent également être constamment mises à jour à mesure que le code change et que de nouvelles fonctionnalités apparaissent. Bloquer des requêtes légitimes crée des faux positifs, conduisant à une attaque malveillante ignorée dans cette masse d’alertes non pertinentes.

Lacunes de compétences. Les clients ont souvent du mal à maintenir les dispositifs existants en fonctionnement, car toutes les organisations n’ont pas les compétences internes pour utiliser un WAF correctement et efficacement. Externaliser la gestion du WAF n’est pas toujours la meilleure décision non plus. Lors du choix d’un déploiement WAF, en particulier pour les besoins de conformité, les administrateurs doivent prioriser les fonctionnalités critiques les mieux adaptées aux besoins actuels de l’organisation. Après le processus de déploiement et de configuration, le WAF nécessite une grande compétence technique de l’équipe pour fonctionner efficacement et ajouter une valeur durable au système de sécurité de l’entreprise.

Mouvement des opérations vers le cloud. Comme de plus en plus d’entreprises déplacent leurs applications et données dans l’infrastructure de cloud public, elles doivent inévitablement migrer le pare-feu d’application Web et les politiques associées vers cette nouvelle architecture fondamentalement différente. Le problème réside dans le fait que tous les fournisseurs ne fournissent pas un substitut durable pour l’appliance sur site, ou ils peuvent ne pas être en mesure d’offrir les API dont une organisation a besoin pour réaliser un scénario de déploiement dans un environnement cloud dynamique.

Conclusion

Les pare-feu d’application web sont un outil de sécurité couramment utilisé par les entreprises pour protéger les applications web contre les exploits malveillants, l’usurpation, les vulnérabilités connues et les nouvelles menaces évolutives, ainsi que pour identifier les vulnérabilités auto-infligées des applications développées sur mesure. Ils aident également à répondre aux exigences de conformité. Et bien que cette technologie soit définitivement indispensable pour les entreprises visant à sécuriser leurs ressources web, elle n’est pas suffisante en ce qui concerne la sécurité des bases de données.

Dans nos prochains articles, nous discuterons du Pare-feu d’accès à la base de données (DAF) et pourquoi le seul pare-feu d’application web ne peut pas totalement sécuriser les bases de données.

Lisez toute la série sur les pare-feu :

  1. Cinquante nuances de pare-feu
  2. WAF. Un chevalier en armure brillante
  3. DAF. Sauvez la base de données du dragon
  4. WAF + DAF = Ils vécurent heureux pour toujours
 

Suivant

Comment les Bases de Données Populaires Gèrent les Commandes DDL dans les Transactions

Comment les Bases de Données Populaires Gèrent les Commandes DDL dans les Transactions

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Countryx
United States
United Kingdom
France
Germany
Australia
Afghanistan
Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belgium
Belize
Benin
Bermuda
Bhutan
Bolivia
Bosnia and Herzegovina
Botswana
Bouvet
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Canada
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Congo, Republic of the
Congo, The Democratic Republic of the
Cook Islands
Costa Rica
Cote D'Ivoire
Croatia
Cuba
Cyprus
Czech Republic
Denmark
Djibouti
Dominica
Dominican Republic
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard Island and Mcdonald Islands
Holy See (Vatican City State)
Honduras
Hong Kong
Hungary
Iceland
India
Indonesia
Iran, Islamic Republic Of
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Japan
Jersey
Jordan
Kazakhstan
Kenya
Kiribati
Korea, Democratic People's Republic of
Korea, Republic of
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Libyan Arab Jamahiriya
Liechtenstein
Lithuania
Luxembourg
Macao
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States of
Moldova, Republic of
Monaco
Mongolia
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
North Macedonia, Republic of
Northern Mariana Islands
Norway
Oman
Pakistan
Palau
Palestinian Territory, Occupied
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Helena
Saint Kitts and Nevis
Saint Lucia
Saint Pierre and Miquelon
Saint Vincent and the Grenadines
Samoa
San Marino
Sao Tome and Principe
Saudi Arabia
Senegal
Serbia and Montenegro
Seychelles
Sierra Leone
Singapore
Slovakia
Slovenia
Solomon Islands
Somalia
South Africa
South Georgia and the South Sandwich Islands
Spain
Sri Lanka
Sudan
Suriname
Svalbard and Jan Mayen
Swaziland
Sweden
Switzerland
Syrian Arab Republic
Taiwan, Province of China
Tajikistan
Tanzania, United Republic of
Thailand
Timor-Leste
Togo
Tokelau
Tonga
Trinidad and Tobago
Tunisia
Turkey
Turkmenistan
Turks and Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Venezuela
Viet Nam
Virgin Islands, British
Virgin Islands, U.S.
Wallis and Futuna
Western Sahara
Yemen
Zambia
Zimbabwe
Choose a topicx
Informations générales
Ventes
Service clientèle et support technique
Demandes de partenariat et d'alliance
Informations générales :
info@datasunrise.com
Ventes :
sales@datasunrise.com
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
partner@datasunrise.com