Skip to main content
Voir tous les produits
Calcul
Stockage
Bases de données
Mise en réseau
Outils pour les développeurs
Diffusion
Sécurité
Services
Industries
Tarification
Communauté
Engagez-vous avec nous
Explorer le blog
Catégories
13
  1. Aperçu des nuages
    50
  2. Calcul
    15
  3. Conteneurs (Kubernetes, Docker)
    33
  4. Bases de données
    19
  5. Outils pour les développeurs
    37
  6. Linode
    259
  7. Linux
    69
  8. Multicloud
    4
  9. Mise en réseau
    32
  10. Source ouverte
    6
  11. Réseau de partenaires
    7
  12. Sécurité
    60
  13. Stockage
    22
Auteurs 53
  1. Austin Gil 1
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Bradley LaBoon 1
  9. Blair Lyon 11
  10. Billy Thompson 10
  11. Christopher Aker 176
  12. Cassie Bubnis 1
  13. Daniele Polencic 4
  14. David Monschein 2
  15. David Rodriguez 1
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 1
  23. Justin Cobbett 15
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 52
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 18
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Rick Myers 7
  45. Richard Tubb 1
  46. Sal Carrasco 1
  47. Salman Iqbal 1
  48. Shawn Michels 1
  49. Linode Support 13
  50. Tom Asaro 18
  51. Travis Baka 1
  52. Talia Nassi 8
  53. Yuri Goldfeld 1
BlogSécuritéRenforcer la sécurité des applications avec un pare-feu d'application Web

Renforcer la sécurité des applications avec un pare-feu d'application Web

Maddie Presland
Maddie Presland
16 mars 2023
Vue d'ensemble du Web Application Firewall En-tête

Pour les applications de toutes tailles fonctionnant dans le nuage, la sécurité est un modèle de responsabilité partagée. Votre fournisseur d'informatique dématérialisée garantit un niveau de sécurité au niveau du réseau et de l'hôte, mais lorsqu'il s'agit de protéger vos charges de travail, chaque développeur doit comprendre les couches de sécurité disponibles.

Qu'est-ce qu'un WAF ?

Un pare-feu d'application web (WAF) empêche le trafic malveillant d'interagir avec une application et protège les données contre les accès non autorisés. À ne pas confondre avec notre Cloud Firewall qui crée une couche de protection au niveau TCP/IP, le but d'un pare-feu d'application web est de créer des règles finement ajustées et de détecter les comportements pour protéger le type de trafic qui peut réellement atteindre la couche d'application. Les applications web sont vulnérables aux attaques telles que les scripts intersites et les injections SQL qui peuvent contourner les configurations de sécurité plus larges au niveau du réseau.

Cloud Firewall - Diagramme WAF
Notre site Cloud Firewall offre une protection de niveau 3 (réseau), tandis qu'un WAF offre une protection de niveau 7 (application). Notez que vous pouvez avoir des WAFs basés sur le réseau, sur le cloud ou sur l'hôte. L'exemple ci-dessus ressemble à un WAF basé sur l'hôte, le pare-feu résidant dans la pile d'applications.

Voici une comparaison avec le monde réel. Un WAF est similaire au rôle de la sécurité d'un bâtiment lorsque vous y entrez en tant qu'invité. La sécurité procède à...

  • Renseignez-vous sur l'objet de votre inscription
  • Autoriser ou refuser l'accès à des zones spécifiques du bâtiment à l'aide d'un badge ou d'une carte d'invité
  • Soyez attentif à tout comportement suspect pendant que vous êtes dans le bâtiment.
  • Récupérez votre badge en sortant
  • Notez quand vous avez quitté

Pour une application dotée d'un WAF, le gardien de sécurité représente le comportement et les objectifs de base du WAF, mais pour la surveillance du trafic web.

Quand utiliser un WAF ?

Au fur et à mesure que votre application évolue, il se peut que vous traitiez un plus grand volume de données et différentes catégories de données sensibles. Voici quelques questions importantes à prendre en compte pour améliorer la sécurité de votre application et décider de la manière dont vous devez mettre en œuvre vos solutions de sécurité.

  • Comment votre application utilise-t-elle les données ?
  • Quel type de données traitez-vous ?
  • Quels autres réseaux ont accès aux données que vous traitez ?
  • Que se passerait-il pour vos utilisateurs en cas de violation de données ?

Ceci est particulièrement important pour le traitement des informations personnelles identifiables (IPI). Il peut s'agir d'une seule donnée, comme le numéro d'identification d'un passeport, ou de plusieurs données susceptibles de révéler l'identité d'une personne, comme la combinaison du nom complet et de la date de naissance d'une personne.

Un WAF n'est pas toujours nécessaire. Si vous disposez d'une application simple qui ne traite aucune transaction financière, ne recueille que le courrier électronique d'un utilisateur et exige des mots de passe cryptés pour accéder au contenu, il n'est probablement pas essentiel d'exécuter un WAF. Prenons l'exemple d'un calendrier de base ou d'une application de prise de rendez-vous ; un WAF ne renforcerait pas la sécurité de ces informations de base.

Si vous utilisez une petite application avec un volume modéré de transactions PII, la mise en œuvre d'un WAF peut s'avérer utile. Même un volume de transactions modéré peut être la cible d'acteurs malveillants. En outre, si vous envisagez de faire évoluer votre application, la mise en place d'un WAF sécurisera les données de vos utilisateurs et réduira le niveau d'effort nécessaire pour augmenter votre volume de transactions à l'avenir. 

Pour le commerce électronique à haut volume ou d'autres applications qui traitent et stockent de grandes quantités d'informations sensibles, une sécurité accrue est nécessaire. Cela inclut la mise en œuvre d'un WAF robuste. Les applications de ce type sont celles auxquelles on peut penser lorsqu'il s'agit de données nécessitant une protection renforcée : institutions financières, prestataires de soins de santé et entités gouvernementales.

Sélection d'un WAF

Le choix d'un WAF dépend de deux facteurs clés : le niveau de conformité requis par les données traitées par votre application et la question de savoir si votre charge de travail est mieux adaptée à une solution autogérée qu'à une entreprise de sécurité de confiance disposant de l'expertise et de la conformité nécessaires.

Comme d'autres services technologiques, les solutions WAF sont un mélange de solutions autogérées et de solutions gérées par le fournisseur. Il existe des WAF open source gratuits qui nécessitent une gestion et des mises à jour, ce qui convient bien aux développeurs qui souhaitent un niveau de contrôle plus fin. 

Les charges de travail plus importantes et les applications qui traitent des données sensibles bénéficient de solutions gérées par le fournisseur qui sont activement mises à jour en fonction des renseignements les plus récents sur les menaces et les vulnérabilités potentielles. Les entreprises de cybersécurité réputées répertorient et maintiennent leurs niveaux de conformité, ce qui permet de déterminer si leurs produits sont conformes lorsqu'ils interagissent avec votre application. Il en va de même pour le choix d'un fournisseur de services en nuage pour l'hébergement de l'application et des données elles-mêmes.

Les différentes solutions WAF comprennent des fonctionnalités supplémentaires telles que la profondeur de la surveillance (y compris la possibilité d'obtenir des mises à jour en temps réel), la conservation des journaux et les intégrations avec le reste de votre stack technologique ou commercial.

Trouver la bonne solution WAF

Nous proposons différents niveaux de solutions WAF afin que vous puissiez trouver la solution qui vous convient, que vous débutiez avec une solution open source autogérée ou que votre application nécessite une protection puissante.

Pour un WAF assez basique qui protège votre application contre les attaques majeures et assure une certaine surveillance, le Haltdos Community WAF est un excellent point de départ. Haltdos est une solution autogérée dotée d'une interface graphique intuitive qui vous permet de voir le volume des requêtes entrantes, les adresses IP et les principales IP attaquantes à surveiller pour détecter les risques.

Déployer via Linode Marketplace | Installer sur une ressource existante | En savoir plus

Pour les charges de travail d'entreprise et les applications plus importantes qui traitent des informations confidentielles, le site App & API Protector d'Akamai protège les applications et les réseaux d'API contre un large éventail de menaces, y compris les vulnérabilités figurant dans le Top 10 de la sécurité des API de l'OWASP. App & API Protector utilise l'analyse d'apprentissage automatique et les données des équipes d'Akamai chargées de la veille et de l'atténuation des menaces pour renforcer la sécurité de façon continue, en suivant l'évolution des menaces, des normes et des exigences en matière de sécurité.

Télécharger le rapport Gartner sur le WAAP | En savoir plus

Vous pourriez aussi aimer...

Comment se protéger des attaques de ransomware avec Steve Winterfeld, image principale.

Comment se protéger des attaques de ransomware | Steve Winterfeld, Akamai

Dans cette vidéo, Steve Winterfeld, RSSI consultatif chez Akamai, donne des conseils sur la manière dont les entreprises peuvent se protéger contre les attaques de ransomware.
Sécurité
Wazuh est une centrale de cybersécurité où l'on retrouve Code with Harry.

Wazuh est une centrale de cybersécurité - Expert en sécurité Open Source Monitoring & Response

@CodeWithHarry couvre Wazuh, une plateforme de sécurité open-source utilisée pour la collecte et l'analyse de données de sécurité.
Sécurité
Introduction à la sécurité des serveurs.
Talia Nassi

Introduction à la sécurité des serveurs

30 octobre 2023
par Talia Nassi
La sécurité des serveurs est essentielle à l'efficacité d'un environnement en nuage. Pour en savoir plus, cliquez ici.
Sécurité

Commentaires

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.