Retour au centre d’apprentissage

Qu’est-ce qu’un WAF ?

Un WAF (pare-feu d’applications web) est une solution de sécurité spécialisée qui protège les applications connectées à Internet et leurs serveurs en détectant et en bloquant le trafic HTTP et HTTPS malveillant, reçu et envoyé par un service internet. 

Une fois correctement configuré et activé, le WAF permet d’éviter les attaques de la couche applicative (couche 7) qui exploitent les vulnérabilités des applications web. Il prévient notamment les risques répertoriés par l’OWASP, tels que les injections SQL, les scripts intersites (XSS) et les violations du protocole HTTP.

Comment les WAF fonctionnent-ils ?

Les WAF fonctionnent souvent comme des proxy inverses, placés avant les serveurs d’une application internet. Cependant, ils peuvent aussi être déployés avec d’autres configurations, y compris en mode inline, sur le cloud ou sur site, en fonction de vos besoins en sécurité. Quelle que soit la méthode de déploiement, un WAF inspecte le trafic internet avant qu’il n’atteigne les serveurs de votre application, créant ainsi une protection contre les cybermenaces.

Les WAF se présentent sous différentes formes et répondent à différents besoins :

  • WAF logiciel : Un WAF logiciel peut être installé directement sur votre serveur web ou intégré dans le code de votre application, offrant une solution flexible et économique.

  • WAF matériel : Les WAF matériels sont des appareils spécialisés qui peuvent être déployés et gérés facilement. Ils disposent de leur propre puissance de traitement pour gérer les pics de trafic importants.

  • WAF en tant que service : Ce type de WAF, proposé par des fournisseurs tiers, protège vos applications web sans installer de matériel dans vos locaux. Ils gèrent la maintenance à votre place et adaptent leurs capacités en fonction de votre trafic.

La fonction première d’un WAF est d’analyser les conversations HTTP entre des clients et serveurs. Cette analyse examine les composantes essentielles de tout type de requête, telles que les en-têtes, le texte et les paramètres. Le WAF peut alors identifier le trafic HTTP qui correspond à des modèles d’attaque connus ou qui enfreint les règles de sécurité  et bloquer proactivement les requêtes dangereuses en amont pour protéger vos applications internet.

Politiques WAF

Les WAF ne protègent pas contre tous les types de menaces et d’attaques. Ils doivent être considérés comme un élément important d’une suite d’outils utilisés pour protéger les sites internet et les applications. Les règles qui déterminent quel trafic est considéré comme sûr ou malveillant (en d’autres termes, quel type de trafic un WAF autorisera ou bloquera) sont appelées « politiques ».

Chaque entreprise ou personne qui utilise un WAF peut créer des règles de protection personnalisées dans les politiques de son WAF. Les politiques peuvent être mises à jour rapidement, et même automatiquement. C’est l’un des avantages des WAF : comme les politiques peuvent être modifiées facilement, la réponse aux différents types d’attaques peut être plus rapide.

Les WAF suivent généralement plusieurs méthodes de détection pour mettre en œuvre ces politiques :

  • Regex (expressions régulières) : Identifiez des modèles spécifiques au sein du trafic pour détecter et bloquer efficacement les entrées de texte malveillantes.

  • Modèles de scoring : Ces modèles attribuent des scores de risque au trafic entrant en se basant sur des critères prédéfinis. Le WAF évalue ensuite ces scores pour déterminer si le trafic doit être autorisé, bloqué ou inspecté, permettant d’aborder les menaces potentielles avec une approche plus nuancée.

  • SmartParse : Cette méthode avancée analyse des structures de données complexes au sein des requêtes pour identifier des modèles d’attaque qui pourraient passer sous le radar d’autres techniques de détection. Le SmartParse améliore les capacités d’un WAF à détecter et éviter les menaces plus élaborées.

WAF vs NGFW

À ce stade, vous avez compris les principes de la technologie WAF et la manière dont elle fonctionne, mais il se peut que vous ayez du mal à cerner d’autres systèmes, comme les NGFW. En comprenant les différences entre ces deux outils, vous trouverez plus facilement la solution la mieux adaptée à vos besoins de sécurité. Penchons-nous sur chacun de ces termes pour y voir plus clair.

  • WAF (pare-feu d’applications web) : Un pare-feu d’applications web inspecte chaque requête en temps réel entre vos serveurs web et le trafic entrant. Cette inspection en temps réel bloque les menaces les plus courantes et les activités suspectes avant qu’elles n’atteignent vos applications. Bien que les WAF sont souvent déployés en tant que proxy inverses, ils peuvent être configurés de plusieurs façons pour mettre en place une protection adaptée à vos besoins.

  • NGFW (pare-feu de nouvelle génération) : Un pare-feu de nouvelle génération réunit les fonctions d’un pare-feu dynamique classique et des fonctions plus avancées dans un seul appareil. En plus de filtrer les ports/adresses, un NGFW identifie le trafic en s’appuyant sur des modèles d’utilisation plutôt que sur les ports uniquement. Il utilise également les renseignements sur les menaces issus du réseau mondial de son fournisseur et peut inspecter le trafic chiffré.

En résumé, si un WAF permet principalement de protéger vos applications web, une solution NGFW assure une sécurité réseau complète soutenue par des fonctions avancées. Étant donné que ces deux pare-feux ont des approches différentes, ils peuvent être combinés pour protéger l’ensemble de votre infrastructure et intercepter les menaces sur plusieurs fronts.

Quels sont les types de déploiements WAF ?

Pour l’essentiel, les WAF peuvent être mis en place sur site, dans le cloud et de manière hybride. Voyons chacune de ces approches plus en détail.

  • WAF sur site

Les WAF sur site, également connus sous le nom de WAF matériels, sont une approche courante. À l’origine, tous les WAF étaient sur site et de nombreuses entreprises utilisent encore des WAF matériels pour protéger des workloads, en particulier des applications plus anciennes ou obsolètes.

  • WAF basé sur le cloud

Hébergés par des fournisseurs, les WAF cloud sont un moyen pratique et rapide d’obtenir une protection WAF. Ces solutions ont gagné en popularité grâce à la simplicité de leur déploiement et leur capacité à bloquer les menaces sans devoir gérer de logiciel sur site. Les entreprises dont les ressources informatiques internes sont limitées ou celles qui ne peuvent pas contrôler l’ensemble de leur infrastructure ont tendance à privilégier les WAF cloud. En choisissant ce type de WAF, les entreprises peuvent réduire les coûts associés à la gestion logicielle tout en protégeant leurs applications et API de manière efficace.

  • Déploiement en périphérie

Les déploiements Edge installent le WAF à la périphérie d’un CDN (réseau de distribution de contenu), c’est-à-dire plus proche de l’origine du trafic. Ce placement stratégique permet de bloquer les menaces avant qu’elles n’atteignent le réseau, offrant ainsi une protection supplémentaire. Le déploiement WAF à la périphérie est particulièrement efficace pour réduire la latence, étant donné qu’il inspecte et filtre le trafic à un point plus proche des utilisateurs. Il améliore donc les performances globales tout en protégeant les applications web contre les attaques.

  • WAF hybrides

Les WAF hybrides combinent des déploiements sur site et dans le cloud pour offrir une visibilité sur les requêtes web transmises aux applications et API quel que soit l’environnement.

Les déploiements hybrides permettent aux entreprises de protéger à la fois les applications obsolètes qui n’ont pas été adaptées au cloud et les applications distribuées modernes. Ce modèle tire parti de la combinaison entre le déploiement sur site et cloud pour transmettre les données de télémétrie de sécurité à une console de gestion centralisée. Cela permet d’avoir une vue d’ensemble de tous les déploiements WAF dans des tableaux de bord et des rapports faciles à consulter.

Idéalement, quelle que soit la méthode de déploiement, le fournisseur WAF doit également proposer une API permettant aux clients d’envoyer des données et indicateurs de sécurité à des outils SIEM (gestion des informations et des événements de sécurité) ou SOAR (orchestration, automatisation et réponse aux incidents).

Que signifie WAAP ?

La protection des applications web et des API (WAAP, Web Application and API Protection) est un terme utilisé pour décrire les services cloud conçus pour protéger ces applications web et API vulnérables. Ce type d’outil protège vos applications web et vos API contre de nombreuses attaques. Un service WAAP (protection des applications web et des API) doit fournir des capacités de protection qui inspectent efficacement les requêtes web avant qu’elles n’atteignent l’endpoint de l’application ou de l’API.

Un service WAAP se concentre uniquement sur la couche applicative (couche 7) du modèle OSI et réside à la périphérie d’un réseau. Les services WAAP cloud incluent généralement l’atténuation des bots, un WAF, la protection des API et la protection contre les attaques DDoS.

Quand faut-il utiliser un WAF ?

Les WAF sont un élément essentiel de toute stratégie de sécurité efficace. Bien qu’il ne s’agisse pas d’une solution miracle, ils restent très utiles dans de nombreuses situations. Voici quelques cas dans lesquels un WAF peut faire toute la différence :

1. Protection contre les vulnérabilités de l’OWASP Top 10

L’OWASP Top 10 présente les principaux risques de sécurité liés aux applications web, tels que les failles permettant d’injecter du code pour remplacer des données ou obtenir des informations sensibles. Un WAF surveille constamment le trafic pour détecter tout signe d’attaque exploitant des vulnérabilités, comme les injections SQL et les failles XSS (script intersite). Il analyse ensuite le trafic en temps réel en le comparant à des règles de détection de cyberattaques connues. 

2. Déploiement de nouvelles applications web

Le lancement d’une nouvelle application grand public comporte un certain nombre de risques tandis que votre équipe corrige des bugs et découvre des problèmes. Un WAF permet de surveiller attentivement l’ensemble du trafic web pour détecter rapidement des attaques ou anomalies en temps réel et bloquer les hackers avant qu’ils ne mettent la main sur les données de votre nouvelle application.

3. Prévention des attaques par ATO

La prise de contrôle de compte (account takeover) est une attaque cherchant à voler des identifiants de connexion qui représente un risque important pour toutes les entreprises. Une fois ces identifiants dérobés, ils peuvent être utilisés à de multiples reprises pour accéder à des comptes sur plusieurs plateformes. Un WAF inspecte chaque requête pour détecter tout comportement suspect indiquant qu’une personne tente de deviner des identifiants. Ce type de pare-feu utilise des filtres de rate-limiting personnalisés pour identifier et bloquer les adresses IP qui ont effectué plusieurs tentatives de connexion infructueuses.

4. Respect des normes et réglementations

Les entreprises qui gèrent des informations sensibles sur leurs clients doivent respecter diverses normes et réglementations de protection des données, dont la norme de sécurité PCI DSS. La norme PCI DSS 4.0 exige notamment de mettre en œuvre un WAF pour protéger les applications web. Des audits de conformité sont régulièrement menés pour évaluer les mesures de détection et de prévention des attaques. Un WAF génère des preuves vérifiables que le trafic est surveillé en temps réel et que les menaces connues exploitant les vulnérabilités sont bloquées. Il permet donc de prouver aux évaluateurs en sécurité que vous respectez la norme PCI tout en protégeant votre entreprise contre les violations de données.

5. Prévention des accès non autorisés 

Un rate-limiting correctement configuré permet d’éviter les tentatives de connexion frauduleuses et bloque le téléchargement de fichiers malveillants. Un WAF permet de mettre en place des règles de trafic granulaires qui bloquent les tentatives d’accès non autorisées, comme les adresses IP qui ont effectué plusieurs tentatives de connexion non réussies. Les filtres d’un WAF bloquent ou ralentissent les pics de trafic anormaux provenant de certaines sources pour que vos applications restent réactives, même si la charge est élevée. 

6. Protection contre les attaques DDoS

Bien qu’il ne s’agisse pas d’une solution de prévention contre les attaques DDoS (déni de service distribué) à part entière, un WAF peut détecter les signes avant-coureurs d’une attaque DDoS. En analysant les mouvements du trafic, le WAF identifie les comportements anormaux tels que les volumes de requêtes anormalement élevés qui ciblent des URL. Ses filtres bloquent ensuite le trafic provenant des sources qu’il a identifiées pour limiter les vecteurs d’attaque de manière immédiate. En déployant un WAF pour intercepter le trafic malveillant, vous empêcherez vos serveurs web d’être surchargés, ce qui laissera suffisamment de temps à votre équipe pour déclencher les mesures de protection contre les attaques DDoS.

Le WAF de Fastly

Avant de choisir un WAF, il faut s’assurer que le fournisseur propose une couverture mondiale, une détection efficace et des capacités d’intégration conçues pour les infrastructures modernes. Avec le WAF de nouvelle génération Fastly, toutes ses caractéristiques sont intégrées dès le départ. Hébergé par la plus grande plateforme Edge Cloud au monde, il se trouve à quelques millisecondes des utilisateurs à travers le monde.

Ce placement stratégique permet à Fastly de protéger les sites web et applications bien plus rapidement que n’importe quel WAF classique. En inspectant le trafic au plus proche des utilisateurs finaux, la surface d’attaque est rapidement réduite et les menaces sont bloquées avant d’atteindre vos serveurs d’origine.

Voici quelques-uns des principaux avantages du WAF de nouvelle génération Fastly :

  • Protection complète : Fastly détecte et bloque les principales vulnérabilités web listées dans l’OWASP Top 10, ainsi que d’autres menaces que vous définissez par des règles simples.

  • Temps de réponse rapides : Grâce à son réseau de PoP, le WAF de nouvelle génération Fastly effectue des inspections à ultrafaible latence qui assurent une expérience utilisateur exceptionnelle même en cas d’attaque.

  • Configuration flexible : Personnalisez des règles, des pages de réponse et plus encore, sans fenêtres de modification chronophages grâce à l’interface conviviale de Fastly.

  • Analytiques en temps réel : L’API et le tableau de bord Fastly vous aident à obtenir des informations essentielles sur le trafic et les événements de sécurité en identifiant les incidents de manière proactive.

  • Intégration transparente : Le WAF de nouvelle génération Fastly fonctionne parfaitement avec notre CDN et nos services edge computing pour allier sécurité, performances et capacités de distribution.

Découvrez comment le WAF de nouvelle génération Fastly assure une protection avancée pour vos applications, API et microservices avec des options de déploiement flexibles et des capacités de détection de pointe.

Ready to get started?

Get in touch or create an account.

Essayez Fastly gratuitementTalk to an expert
Fastly
© Fastly 2024