Bonnes pratiques relatives aux pare-feu d’applications web (WAF)
Un pare-feu d’applications web (WAF) est un composant essentiel de tout programme AppSec moderne. Disposer d’un ensemble de bonnes pratiques pour mettre en œuvre et exploiter efficacement la solution au sein de votre entreprise peut contribuer à votre sécurité.
Qu’est-ce qu’un WAF ?
Un WAF est une solution de sécurité spécialisée qui protège une application web sur Internet en sécurisant le serveur grâce à la détection et au blocage du trafic HTTP et HTTPS malveillant à destination et en provenance d’un service web.
Les WAF fonctionnent souvent comme des proxys inverses entre Internet et les applications web protégées. Cependant, vous pouvez également déployer des WAF dans différentes configurations, notamment en ligne, sur le cloud ou sur site, pour répondre à des exigences de sécurité spécifiques. Quelle que soit la méthode de déploiement, un WAF inspecte tout le trafic entrant avant qu’il n’atteigne les serveurs d’application, créant un bouclier protecteur contre les menaces potentielles.
Quelles sont les bonnes pratiques en matière de WAF pour les équipes de sécurité ?
Au plus haut niveau, les bonnes pratiques pour les équipes de sécurité qui mettent en œuvre et gèrent le déploiement d’un WAF doivent se concentrer sur l’activation du pare-feu d’applications web à sa pleine capacité et sur l’ajustement de ses politiques pour en tirer le meilleur parti.
Voici plusieurs bonnes pratiques plus spécifiques en matière de WAF à mettre en œuvre :
Recourir à des politiques WAF
Les WAF fonctionnent selon des politiques qui les aident à déterminer les trafics sûrs et malveillants : en d’autres termes, quels types de trafic un WAF autorisera ou bloquera. Chaque entreprise ou personne utilisant un pare-feu d’applications web peut personnaliser les politiques selon ses besoins. Les politiques peuvent être mises à jour rapidement, et même automatiquement. C’est l’un des avantages d’un WAF : comme les politiques peuvent être modifiées facilement, la réponse aux différents types d’attaques peut être plus rapide.
Mener des tests continus et mettre fréquemment à jour les règles WAF
Les règles WAF sont des directives de sécurité individuelles au sein des politiques WAF. Une politique WAF contient plusieurs règles WAF. Les règles WAF comportent à la fois des conditions (ce qu’il faut rechercher dans les requêtes de trafic) et des actions (les mesures à appliquer si les conditions de la règle sont remplies). Considérez cela comme une instruction conditionnelle. Une règle définira que « si » un événement se produit, « alors » vous devrez faire ceci, pour une solution WAF.
Mettre fréquemment à jour les règles WAF et en ajouter de nouvelles si nécessaire devrait toujours être une bonne pratique. En effet, de cette façon, vous évitez le blocage du trafic légitime (appelé faux positif) et l’autorisation accidentelle d’un trafic malveillant (appelé faux négatif). Les tests continus permettent de maintenir la précision et l’exactitude des règles WAF.
Mettre en œuvre une gestion des bots
Les règles de gestion des bots aident à filtrer le trafic de bots malveillants et à les empêcher de causer des dommages.
Limiter le débit
La limitation du débit aide à restreindre le taux de requêtes parvenant jusqu’à vos applications web. Cela permet de contrôler le volume global du trafic, d’éviter une surcharge et de protéger vos ressources.
Tenir compte du top 10 de l’OWASP
Veillez à mener des tests et mettre en place des règles et des politiques adéquates pour les vulnérabilités connues de l’OWASP.
Mettre en œuvre une gestion et une surveillance
Intégrez vos logs WAF à vos outils existants (pensez à la gestion des informations et des événements de sécurité) pour vous aider à surveiller toute activité anormale du trafic et à obtenir une meilleure visibilité sur les problèmes identifiés.
Utiliser le profilage et une liste d’autorisation
Utilisez les renseignements du WAF concernant le comportement normal des applications. Créez une liste d’adresses IP et de trafic autorisés afin de prévenir les faux positifs. Certaines solutions de pare-feu d’applications web offrent leurs propres capacités dans ce domaine, permettant ainsi d’éviter plus facilement de bloquer tout trafic légitime.
Quelles sont les bonnes pratiques en matière de WAF pour le DevOps ?
Les bonnes pratiques ci-dessus s’intéressent aux performances et aux impacts du WAF à travers le prisme des équipes de sécurité et de leur efficacité. Toutefois, vous devriez également prendre en compte les impacts sur les équipes de développement, directement liées à l’efficacité et l’intrusivité d’un déploiement WAF dans leurs pipelines de développement existants.
Placer un WAF devant chaque API
Les WAF aident les entreprises à obtenir de la visibilité sur l’état de la durée d’exécution de leurs applications et sur les types de requêtes et d’attaques qui affectent leurs logiciels. Les organisations devraient donc placer un pare-feu d’applications web (WAF) devant toutes les applications exposées à Internet. Elles devraient également passer d’un conteneur à l’autre dans des architectures de microservices ou orientées API.
Sans une solution WAF robuste, une entreprise ne dispose que d’une couverture éparse de son portefeuille d’applications, au mieux. De même, sans informations complètes et sans visibilité sur les menaces qui ciblent leurs applications, elles créent une importante faille de sécurité. Les entreprises peuvent utiliser les logs et les analyses du pare-feu d’applications web en combinaison avec d’autres données de sécurité dans leurs services afin d’obtenir une vision détaillée des risques organisationnels.
Les WAF qui offrent une observabilité améliorée sont indispensables, car ils permettent aux équipes d’automatiser et d’intégrer les logs de surveillance et les attaques dans leurs processus et décisions de sécurité.
Intégrer la sécurité au code
Adopter une approche de sécurité en tant que code dans un environnement de développement permet aux développeurs de communiquer des hypothèses de sécurité de durée d’exécution à l’infrastructure applicative lors du déploiement. En limitant les types de requêtes adressées à une application, il devient possible de prétraiter les entrées en périphérie de l’infrastructure de l’application. Un pare-feu d’applications web (WAF) peut également aider à résoudre des vulnérabilités plus complexes : les équipes peuvent créer un correctif virtuel qui peut être déployé sur le WAF, simplifiant ainsi l’application de correctifs et réduisant les obstacles pour les équipes de développement.
Tester en continu les modifications du WAF
Mentionnée ci-dessus, cette étape est également cruciale lorsqu’il s’agit des équipes de développement. Les WAF configurés en mode « log and block » risquent de provoquer des défaillances applicatives si les modifications et mises à jour du WAF ne sont pas correctement testées.
Les groupes qui effectuent des tests intègrent généralement le WAF au processus de test en tant que composant de l’application. Tout comme pour les modifications apportées à l’application, il est utile de pouvoir observer les impacts potentiels des outils de sécurité avant que la modification ne soit effectuée en phase de production.
Obtenir l’adhésion concernant les décisions liées au WAF
Lorsque l’application web constitue l’activité principale d’une entreprise, comme un vendeur en ligne, ajuster un pare-feu d’applications web peut nécessiter des efforts supplémentaires, car bloquer des clients potentiels légitimes entraînera une perte de chiffre d’affaires.
Il est donc important de travailler en étroite collaboration avec l’équipe de direction sur la stratégie globale à appliquer au WAF et sur les critères spécifiques pour guider les décisions.
Correctement utilisés, les WAF modernes apportent une utilité significative aux groupes DevOps, notamment en fournissant de meilleures informations, en accélérant la mise en œuvre et la réponse en matière de sécurité, ainsi qu’en déplaçant certaines responsabilités de configuration de sécurité au début du processus. S’assurer qu’un déploiement WAF prend en compte à la fois la sécurité et les besoins de développement devrait toujours être une bonne pratique.
Les avantages de Fastly
Lorsque vous choisissez un fournisseur de WAF, il est essentiel d’en sélectionner un qui dispose d’une couverture mondiale, d’une détection puissante et de capacités d’intégration adaptées aux infrastructures modernes.
La solution Next-Gen WAF de Fastly est conçue avec ces fonctionnalités à l’esprit. En tant que plus grande plateforme edge cloud mondiale, elle se trouve à seulement quelques millisecondes des utilisateurs répartis aux quatre coins du monde.
Ce positionnement stratégique permet à Fastly de protéger les sites web et les applications plus rapidement que les WAF traditionnels. L’inspection du trafic près des utilisateurs finaux limite rapidement le champ d’action des menaces, contribuant ainsi à bloquer ces dernières avant qu’elles n’atteignent les serveurs d’origine.
Parmi ses principaux avantages, le WAF de nouvelle génération de Fastly offre :
Protection complète : Fastly détecte et bloque les vulnérabilités des applications web figurant dans le top 10 de l’OWASP et les menaces personnalisées que vous définissez à l’aide de règles simples.
Temps de réponse rapides : grâce à son réseau mondial de POP, la solution Next-Gen WAF de Fastly garantit une inspection à très faible latence pour une expérience utilisateur exceptionnelle, même en cas d’attaques.
Configuration flexible : vous pouvez personnaliser les règles, les pages de réponse et bien plus via l’interface conviviale de Fastly, sans dépendre de longues fenêtres de modification.
Analyses en temps réel : grâce au tableau de bord et à l’API de Fastly pour l’identification proactive des problèmes, vous bénéficiez d’informations précieuses sur le trafic et les événements de sécurité.
Intégration transparente : la solution Next-Gen WAF de Fastly fonctionne de manière transparente avec ses services CDN et d’edge computing pour offrir une sécurité, des performances et des capacités de distribution unifiées.
Découvrez comment la solution Next-Gen WAF de Fastly peut offrir une protection avancée pour vos applications, vos API et vos microservices grâce à des options de déploiement flexibles et des capacités de détection à la pointe de la technologie.
En savoir plus sur l’outil Next-Gen WAF de Fastly