Qu’est-ce qu’un pare-feu d’application Web (WAF) ?

Un pare-feu d’application Web ou WAF aide à protéger les applications Web en filtrant et en surveillant le trafic HTTP entre une application Web et Internet. Il protège généralement les applications Web contre les attaques telles que la falsification intersites , les scripts intersites (XSS) , l’inclusion de fichiers et l’injection SQL , entre autres. Un WAF est une défense de la couche 7 du protocole (dans le modèle OSI ) et n’est pas conçu pour se défendre contre tous les types d’attaques. Cette méthode d’atténuation des attaques fait généralement partie d’une suite d’outils qui, ensemble, créent une défense globale contre une gamme de vecteurs d’attaque.

Comment fonctionne un pare-feu d’application Web (WAF) ?

Un WAF fonctionne à travers un ensemble de règles souvent appelées politiques. Ces politiques visent à protéger contre les vulnérabilités de l’application en filtrant le trafic malveillant. La valeur d’un WAF provient en partie de la rapidité et de la facilité avec lesquelles la modification de la politique peut être mise en œuvre, permettant une réponse plus rapide aux différents vecteurs d’attaque ; lors d’une attaque DDoS , la limitation du débit peut être rapidement mise en œuvre en modifiant les politiques WAF.

Un WAF peut adopter deux approches pour analyser et filtrer le contenu contenu dans ces requêtes HTTP ou une combinaison hybride des deux :

• Liste blanche : une approche de liste blanche signifie que le WAF refusera toutes les requêtes par défaut et n’autorisera que les requêtes dont on sait qu’elles sont fiables. Il fournit une liste des adresses IP connues pour être sûres. La liste blanche est moins gourmande en ressources que la liste noire. L’inconvénient d’une approche de liste blanche est qu’elle peut involontairement bloquer le trafic bénin. S’il ratisse large et peut être efficace, il peut aussi être imprécis.
• Liste noire : une approche de liste noire laisse passer les paquets par défaut et utilise des signatures prédéfinies pour bloquer le trafic Web malveillant et protéger les vulnérabilités des sites Web ou des applications Web. Il s’agit d’une liste de règles indiquant les paquets malveillants. La liste noire est plus appropriée pour les sites Web publics et les applications Web, car ils reçoivent beaucoup de trafic provenant d’adresses IP inconnues qui ne sont pas connues pour être malveillantes ou bénignes. L’inconvénient d’une approche de liste noire est qu’elle est plus gourmande en ressources ; il nécessite plus d’informations pour filtrer les paquets en fonction de caractéristiques spécifiques, par opposition à l’utilisation par défaut d’adresses IP de confiance.
• Sécurité hybride : un modèle de sécurité hybride utilise des éléments de liste noire et de liste blanche.

La différence entre un pare-feu applicatif Web (WAF), un système de prévention des intrusions (IPS) et un pare-feu de nouvelle génération (NGFW)

Un IPS est un système de prévention des intrusions, un WAF est un pare-feu d’application Web et un NGFW est un pare-feu de nouvelle génération. Quelle est la différence entre eux tous?

Un IPS est un produit de sécurité plus large. Il est généralement basé sur les signatures et les politiques. L’IPS établit une norme basée sur la base de données et les politiques, puis envoie des alertes lorsqu’un trafic s’écarte de la norme. En général, IPS protège le trafic sur une gamme de types de protocoles tels que DNS, SMTP, TELNET, RDP, SSH et FTP. IPS fonctionne et protège généralement les couches 3 et 4. Les couches réseau et session, bien que certaines puissent offrir une protection limitée au niveau de la couche application (couche 7).

Un pare-feu d’application Web (WAF) protège la couche application et est spécifiquement conçu pour analyser chaque requête HTTP/S au niveau de la couche application. Il est généralement conscient de l’utilisateur, de la session et de l’application, conscient des applications Web sous-jacentes et des services qu’elles offrent.

Un NGFW appliquera des politiques basées sur l’utilisateur et ajoutera du contexte aux politiques de sécurité en plus d’ajouter des fonctionnalités telles que le filtrage d’URL, un antivirus/anti-malware et potentiellement ses propres systèmes de prévention des intrusions (IPS). Alors qu’un WAF est généralement un proxy inverse (utilisé par les serveurs), les NGFW sont souvent des proxys directs (utilisés par des clients tels qu’un navigateur).

Que sont les WAF basés sur le réseau, basés sur l’hôte et basés sur le cloud ?

Un WAF peut être mis en œuvre de trois manières différentes, chacune avec ses propres avantages et inconvénients :

• Un WAF basé sur le réseau est généralement basé sur le matériel. Puisqu’ils sont installés localement, ils minimisent la latence, mais les WAF basés sur le réseau sont l’option la plus coûteuse et nécessitent également le stockage et la maintenance d’équipements physiques.
• Un WAF basé sur l’hôte peut être entièrement intégré au logiciel d’une application. Cette solution est moins chère qu’un WAF basé sur le réseau et offre plus de personnalisation. L’inconvénient d’un WAF basé sur l’hôte est la consommation de ressources de serveur local, la complexité de la mise en œuvre et les coûts de maintenance. Ces composants nécessitent généralement du temps d’ingénierie et peuvent être coûteux.
• Les WAF basés sur le cloud offrent une option abordable et très facile à mettre en œuvre ; ils proposent généralement une installation clé en main aussi simple qu’un changement de DNS pour rediriger le trafic. Les WAF basés sur le cloud peuvent également offrir une solution constamment mise à jour pour se protéger contre les menaces les plus récentes sans aucun travail ni coût supplémentaire pour l’utilisateur.