Skip to main content
BlogSécuritéRenforcer la sécurité des applications avec un pare-feu d'application Web

Renforcer la sécurité des applications avec un pare-feu d'application Web

Vue d'ensemble du Web Application Firewall En-tête

Pour les applications de toutes tailles fonctionnant dans le nuage, la sécurité est un modèle de responsabilité partagée. Votre fournisseur d'informatique dématérialisée garantit un niveau de sécurité au niveau du réseau et de l'hôte, mais lorsqu'il s'agit de protéger vos charges de travail, chaque développeur doit comprendre les couches de sécurité disponibles.

Qu'est-ce qu'un WAF ?

Un pare-feu d'application web (WAF) empêche le trafic malveillant d'interagir avec une application et protège les données contre les accès non autorisés. À ne pas confondre avec notre Cloud Firewall qui crée une couche de protection au niveau TCP/IP, le but d'un pare-feu d'application web est de créer des règles finement ajustées et de détecter les comportements pour protéger le type de trafic qui peut réellement atteindre la couche d'application. Les applications web sont vulnérables aux attaques telles que les scripts intersites et les injections SQL qui peuvent contourner les configurations de sécurité plus larges au niveau du réseau.

Cloud Firewall - Diagramme WAF
Notre site Cloud Firewall offre une protection de niveau 3 (réseau), tandis qu'un WAF offre une protection de niveau 7 (application). Notez que vous pouvez avoir des WAFs basés sur le réseau, sur le cloud ou sur l'hôte. L'exemple ci-dessus ressemble à un WAF basé sur l'hôte, le pare-feu résidant dans la pile d'applications.

Voici une comparaison avec le monde réel. Un WAF est similaire au rôle de la sécurité d'un bâtiment lorsque vous y entrez en tant qu'invité. La sécurité procède à...

  • Renseignez-vous sur l'objet de votre inscription
  • Autoriser ou refuser l'accès à des zones spécifiques du bâtiment à l'aide d'un badge ou d'une carte d'invité
  • Soyez attentif à tout comportement suspect pendant que vous êtes dans le bâtiment.
  • Récupérez votre badge en sortant
  • Notez quand vous avez quitté

Pour une application dotée d'un WAF, le gardien de sécurité représente le comportement et les objectifs de base du WAF, mais pour la surveillance du trafic web.

Quand utiliser un WAF ?

Au fur et à mesure que votre application évolue, il se peut que vous traitiez un plus grand volume de données et différentes catégories de données sensibles. Voici quelques questions importantes à prendre en compte pour améliorer la sécurité de votre application et décider de la manière dont vous devez mettre en œuvre vos solutions de sécurité.

  • Comment votre application utilise-t-elle les données ?
  • Quel type de données traitez-vous ?
  • Quels autres réseaux ont accès aux données que vous traitez ?
  • Que se passerait-il pour vos utilisateurs en cas de violation de données ?

Ceci est particulièrement important pour le traitement des informations personnelles identifiables (IPI). Il peut s'agir d'une seule donnée, comme le numéro d'identification d'un passeport, ou de plusieurs données susceptibles de révéler l'identité d'une personne, comme la combinaison du nom complet et de la date de naissance d'une personne.

Un WAF n'est pas toujours nécessaire. Si vous disposez d'une application simple qui ne traite aucune transaction financière, ne recueille que le courrier électronique d'un utilisateur et exige des mots de passe cryptés pour accéder au contenu, il n'est probablement pas essentiel d'exécuter un WAF. Prenons l'exemple d'un calendrier de base ou d'une application de prise de rendez-vous ; un WAF ne renforcerait pas la sécurité de ces informations de base.

Si vous utilisez une petite application avec un volume modéré de transactions PII, la mise en œuvre d'un WAF peut s'avérer utile. Même un volume de transactions modéré peut être la cible d'acteurs malveillants. En outre, si vous envisagez de faire évoluer votre application, la mise en place d'un WAF sécurisera les données de vos utilisateurs et réduira le niveau d'effort nécessaire pour augmenter votre volume de transactions à l'avenir. 

Pour le commerce électronique à haut volume ou d'autres applications qui traitent et stockent de grandes quantités d'informations sensibles, une sécurité accrue est nécessaire. Cela inclut la mise en œuvre d'un WAF robuste. Les applications de ce type sont celles auxquelles on peut penser lorsqu'il s'agit de données nécessitant une protection renforcée : institutions financières, prestataires de soins de santé et entités gouvernementales.

Sélection d'un WAF

Le choix d'un WAF dépend de deux facteurs clés : le niveau de conformité requis par les données traitées par votre application et la question de savoir si votre charge de travail est mieux adaptée à une solution autogérée qu'à une entreprise de sécurité de confiance disposant de l'expertise et de la conformité nécessaires.

Comme d'autres services technologiques, les solutions WAF sont un mélange de solutions autogérées et de solutions gérées par le fournisseur. Il existe des WAF open source gratuits qui nécessitent une gestion et des mises à jour, ce qui convient bien aux développeurs qui souhaitent un niveau de contrôle plus fin. 

Les charges de travail plus importantes et les applications qui traitent des données sensibles bénéficient de solutions gérées par le fournisseur qui sont activement mises à jour en fonction des renseignements les plus récents sur les menaces et les vulnérabilités potentielles. Les entreprises de cybersécurité réputées répertorient et maintiennent leurs niveaux de conformité, ce qui permet de déterminer si leurs produits sont conformes lorsqu'ils interagissent avec votre application. Il en va de même pour le choix d'un fournisseur de services en nuage pour l'hébergement de l'application et des données elles-mêmes.

Les différentes solutions WAF comprennent des fonctionnalités supplémentaires telles que la profondeur de la surveillance (y compris la possibilité d'obtenir des mises à jour en temps réel), la conservation des journaux et les intégrations avec le reste de votre stack technologique ou commercial.

Trouver la bonne solution WAF

Nous proposons différents niveaux de solutions WAF afin que vous puissiez trouver la solution qui vous convient, que vous débutiez avec une solution open source autogérée ou que votre application nécessite une protection puissante.

Pour un WAF assez basique qui protège votre application contre les attaques majeures et assure une certaine surveillance, le Haltdos Community WAF est un excellent point de départ. Haltdos est une solution autogérée dotée d'une interface graphique intuitive qui vous permet de voir le volume des requêtes entrantes, les adresses IP et les principales IP attaquantes à surveiller pour détecter les risques.

Déployer via Linode Marketplace | Installer sur une ressource existante | En savoir plus

Pour les charges de travail d'entreprise et les applications plus importantes qui traitent des informations confidentielles, le site App & API Protector d'Akamai protège les applications et les réseaux d'API contre un large éventail de menaces, y compris les vulnérabilités figurant dans le Top 10 de la sécurité des API de l'OWASP. App & API Protector utilise l'analyse d'apprentissage automatique et les données des équipes d'Akamai chargées de la veille et de l'atténuation des menaces pour renforcer la sécurité de façon continue, en suivant l'évolution des menaces, des normes et des exigences en matière de sécurité.

Télécharger le rapport Gartner sur le WAAP | En savoir plus

Commentaires

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.