Skip to main content
Voir tous les produits
Calcul
Stockage
Bases de données
Mise en réseau
Outils pour les développeurs
Diffusion
Sécurité
Services
Industries
Tarification
Communauté
Engagez-vous avec nous
Explorer le blog
Catégories
13
  1. Aperçu des nuages
    50
  2. Calcul
    15
  3. Conteneurs (Kubernetes, Docker)
    33
  4. Bases de données
    19
  5. Outils pour les développeurs
    37
  6. Linode
    258
  7. Linux
    69
  8. Multicloud
    4
  9. Mise en réseau
    32
  10. Source ouverte
    6
  11. Réseau de partenaires
    7
  12. Sécurité
    60
  13. Stockage
    22
Auteurs 52
  1. Austin Gil 1
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Bradley LaBoon 1
  9. Blair Lyon 11
  10. Billy Thompson 10
  11. Christopher Aker 176
  12. Cassie Bubnis 1
  13. Daniele Polencic 4
  14. David Monschein 2
  15. David Rodriguez 1
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Justin Cobbett 15
  23. Jon Frederickson 1
  24. Jonathan Hill 2
  25. Justin Mitchel 4
  26. James Steel 5
  27. Jamie Sherkness 8
  28. Linode 52
  29. Linode Events 8
  30. The Linode Security Team 122
  31. The Linode Network & Security Teams 1
  32. LINQ 1
  33. Leslie Salazar 1
  34. Michelle Berg 1
  35. Mitch Donaberger 1
  36. Mike Fischler 1
  37. Mike Maney 10
  38. Maddie Presland 18
  39. Mike Quatrani 4
  40. Nathan Melehan 2
  41. Nigel Poulton 1
  42. Prasoon Pushkar 1
  43. Rick Myers 7
  44. Richard Tubb 1
  45. Sal Carrasco 1
  46. Salman Iqbal 1
  47. Shawn Michels 1
  48. Linode Support 13
  49. Tom Asaro 18
  50. Travis Baka 1
  51. Talia Nassi 8
  52. Yuri Goldfeld 1
BlogSécuritéDigest de sécurité Linode 10-17 janvier 2022

Digest de sécurité Linode 10-17 janvier 2022

Linode
The Linode Security Team
14 janvier 2022
Digest de sécurité Linode

Nous allons commencer la nouvelle année en discutant de la nécessité d'un pare-feu d'application Web (WAF), de l'utilisation de cadres et de bibliothèques de sécurité pour le code source, et d'un nouveau service appelé Bugalert qui vous informera à la volée de toute vulnérabilité de gravité élevée/critique. 

Utiliser ou ne pas utiliser un WAF 

L'efficacité des WAF est un sujet très débattu car il peut être difficile de déterminer l'efficacité d'un WAF. Les WAFs peuvent être bénéfiques lorsque les conditions suivantes sont remplies : 

  • Le coût de la correction des vulnérabilités est plus élevé que la mise en œuvre d'un WAF ; ou
  • Le volume de trafic qui sera bloqué est inférieur à votre seuil de tolérance. 

Vous pouvez également utiliser un pare-feu pour mettre en œuvre des mesures d'atténuation qui empêchent les robots et les racleurs d'accéder à votre site web, offrent une sécurité au niveau de la couche d'application et autorisent/interdisent l'inscription d'adresses IP. Une mise en œuvre simple d'un WAF pourrait inclure l'utilisation d'un Captcha ou d'un défi Javascript pour réduire ces types de bots. Vous pouvez utiliser un WAF comme un proxy pour autoriser un trafic spécifique tout en interdisant le reste. 

Un point important à retenir à propos des WAF est qu'il ne s'agit pas d'une solution prête à l'emploi et à oublier. Ils nécessitent des soins attentifs depuis leur conception jusqu'à leur déploiement. Il faut une équipe dédiée pour maintenir le WAF afin d'optimiser son utilisation en permanence. 

La façon idéale d'aborder un WAF est de le considérer comme une solution principalement conçue pour bloquer le trafic indésirable vers votre application web. 

Exploiter les cadres et les bibliothèques de sécurité pour sécuriser le code

La mise en œuvre d'un code sécurisé par ses propres moyens peut être une tâche difficile à exécuter correctement. Les attaquants peuvent abuser de petits bouts de votre code pour rendre votre application vulnérable.  

En ce qui concerne la capacité à sécuriser votre code, il existe des frameworks et des bibliothèques qui vous permettent de vous concentrer sur la sécurité tout en vous permettant de vous concentrer sur la construction de votre produit. Cet article de Github présente différentes méthodes et facteurs qui peuvent vous aider à évaluer ce que vous devez rechercher lorsque vous utilisez ces frameworks et bibliothèques. 

Lorsque vous décidez d'utiliser une bibliothèque, vous devez tenir compte de ces cinq facteurs : 

  1. Le paquet est-il largement utilisé ?
  2. Le paquet jouit-il d'une bonne réputation ? 
    • La bibliothèque en question fait-elle l'objet de bonnes critiques ?
  3. Le paquet fait-il l'objet d'une maintenance active ? 
  4. Le paquet a-t-il une maturité ? 
    • C'est un bon indicateur de l'existence d'une feuille de route claire, la plupart des fonctionnalités étant mises en œuvre de manière cohérente. 
  5. Les problèmes de sécurité du paquet sont-ils résolus en temps utile ? 

Lorsque l'on travaille avec des frameworks web et que l'on souhaite les sécuriser, il est important de déterminer quelles tâches de sécurité (encodage de sortie XSS ou validation d'entrée) doivent être prises en charge par le framework. 

Un facteur important à prendre en compte lors de l'utilisation d'un cadre web intégrant une certaine forme de sécurité est de permettre au cadre de gérer l'encodage des données à votre place. Lorsque vous laissez le cadre gérer l'encodage des données pour vous, vous réduisez les risques qu'un utilisateur manque une mesure de sécurité ou qu'il la mette en œuvre de manière incorrecte. Si vous autorisez un comportement non sécurisé, vous devez procéder à une analyse approfondie du comportement autorisé et vous rendre compte qu'il ne s'agit pas du comportement par défaut. 

Lorsque vous intégrez des bibliothèques et des frameworks, il est important de mettre à jour les dépendances dans votre code source. Vous pouvez utiliser des outils d'analyse de composition logicielle tels que GitHub Dependabot pour maintenir vos dépendances à jour. 

Bugalert

Après la vulnérabilité de log4j, un professionnel de la sécurité, Matthew Sullivan, a lancé un nouveau service appelé Bugalert, qui alerte les professionnels de la sécurité et de l'informatique en cas de vulnérabilités importantes et critiques. Le seul objectif de Bugalert est de notifier rapidement les failles logicielles graves par courrier électronique, téléphone ou SMS. 

Bugalert recherche actuellement des contributeurs pour développer et améliorer son programme. Si vous souhaitez contribuer, n'hésitez pas à ouvrir une question sur Github

Vous pourriez aussi aimer...

Comment se protéger des attaques de ransomware avec Steve Winterfeld, image principale.

Comment se protéger des attaques de ransomware | Steve Winterfeld, Akamai

Dans cette vidéo, Steve Winterfeld, RSSI consultatif chez Akamai, donne des conseils sur la manière dont les entreprises peuvent se protéger contre les attaques de ransomware.
Sécurité
Wazuh est une centrale de cybersécurité où l'on retrouve Code with Harry.

Wazuh est une centrale de cybersécurité - Expert en sécurité Open Source Monitoring & Response

@CodeWithHarry couvre Wazuh, une plateforme de sécurité open-source utilisée pour la collecte et l'analyse de données de sécurité.
Sécurité
Introduction à la sécurité des serveurs.
Talia Nassi

Introduction à la sécurité des serveurs

30 octobre 2023
par Talia Nassi
La sécurité des serveurs est essentielle à l'efficacité d'un environnement en nuage. Pour en savoir plus, cliquez ici.
Sécurité

Commentaires

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.