Ce qu'il faut rechercher dans un WAF

Les firewalls d’applications web (WAF) sont des solutions de sécurité spécialisées qui sécurisent les applications web et les API. Avec autant de capacités et d'offres WAF différentes, il peut s'avérer difficile de savoir quoi rechercher.  Nous allons examiner plus en détail chacune des caractéristiques suivantes d'une « bonne » solution WAF :

  • Fonctionnalités de base

  • Sécurité

  • Usabilité

  • Flexibilité et rapidité

  • Scalabilité et performances

  • Précision

Fonctionnalités de base à rechercher dans un pare-feu d’applications web

Une capacité minimale de base d’un pare-feu d’applications web devrait être l’identification et la couverture du Top 10 de l’OWASP.  Si un WAF n’est pas capable d’identifier et de bloquer les risques détaillés dans le classement Top 10 de l’OWASP, vos environnements resteront exposés aux menaces les plus dangereuses. 

Parmi les autres fonctionnalités indispensables des WAF, on retrouve la prise en charge des listes noires et blanches en matière d’adresses IP (Internet Protocol), de routage inter-domaines sans classe (CIDR, Classless Inter-Domain Routing), de numéros de système autonome (ASN, Autonomous System Number) et de géolocalisation. Ces fonctionnalités offrent une protection générale contre le trafic malveillant en autorisant ou en bloquant le trafic en fonction des adresses IP, des géolocalisations ou des ASN. Cela réduit le besoin de créer de nombreuses règles WAF granulaires complètes et donc la charge de travail imposée à vos équipes de sécurité.

Vous devriez toujours avoir la possibilité d’appliquer des politiques granulaires ; un WAF doit vous permettre de définir des règles aux niveaux de détail variés et applicables à grande échelle à des groupes de domaines ou des domaines distincts. Cela garantit un bon équilibre entre efficacité et personnalisation en fonction des différentes applications ou régions concernées.

Un pare-feu d’applications web doit livrer des capacités de sécurité fiables

Une solution complète offre une architecture de défense par couches contre des menaces de sécurité des différentes API et applications. Certains fournisseurs ont adopté le terme Web Application and API Protection (WAAP) pour désigner leurs solutions. La plupart des plateformes WAAP reposent sur un WAF doublé d’autres capacités qui sont soit intégrées, soit fournies dans le cadre de modules complémentaires. Selon les besoins de votre entreprise, il se peut que vous ayez besoin de l’ensemble ou d’une partie de ces capacités. 

Les offres de sécurité de base devraient inclure :

Atténuation des bots 

Les WAF doivent aider à se protéger contre les bots automatisés responsables du scraping de données, des attaques en déni de service (DDoS) ou du credential stuffing, tout en autorisant l’exécution des bots inoffensifs et le trafic humain. L’atténuation des bots emploie diverses techniques telles que les challenges JavaScript et CAPTCHA, le fingerprinting client et les contrôles de réputation des adresses IP pour identifier et bloquer automatiquement le trafic des bots. Les solutions d’atténuation des bots doivent faire preuve d’un niveau de granularité suffisant pour différencier les bots inoffensifs (p. ex. bots de moteurs de recherche) des bots malveillants (p. ex. bots de scraping de données). 

Protection contre les attaques DDoS 

La protection DDoS permet de protéger vos applications et API contre les attaques par déni de service distribué (DDoS) qui submergent les flux de trafic de vos systèmes pour provoquer des interruptions. Les solutions de WAF peuvent limiter les attaques DDoS en filtrant le trafic malveillant, en absorbant le volume de trafic des attaques et en maintenant la disponibilité des applications. Les attaques peuvent survenir sur différentes couches de votre réseau. Ainsi, une solution qui offre une protection contre les DDoS de couche 3/4 et de couche 7 offrira un niveau de sécurité plus étendu qu’une solution qui ne couvre que la couche 7.

Sécurité des API 

De nombreuses applications modernes reposent principalement sur des API pour se connecter et échanger des données. Les solutions de WAF doivent être en mesure d’offrir des contrôles de sécurité spécifiques à la protection des API, notamment en matière d’authentification, d’autorisation et de surveillance du trafic des API. Pour la sécurité de vos API, il faut vous assurer que votre WAF en prend en charge les formats (REST, GraphQL, gRPC, etc.). 

Renseignements sur les menaces (Threat Intelligence) 

Les renseignements sur les menaces constituent un élément précieux pour toute solution de WAF. Ils fournissent des informations en temps réel à propos des méthodes d’attaque et cybermenaces en constante évolution dans le but de permettre aux équipes de sécurité d’adopter une approche de défense proactive. Des flux de données propriétaires sur la réputation des adresses IP actualisées chaque jour assurent une sécurité renforcée et plus précise. Ils permettent d’éviter que les activités malveillantes de la journée précédente affectent le trafic légitime de la journée en cours, particulièrement dans le cas d’adresses IP partagées. 

Usabilité

Une solution WAF moderne est conçue en gardant à l’esprit que l’avenir de la sécurité repose sur les développeurs de logiciels : les outils doivent leur permettre d’innover et ne jamais les ralentir (ni eux, ni personne d’autre) et s’intégrer aux chaînes de compilation et aux flux de travail existants. 

Les principales capacités d'usabilité à considérer incluent

Visibilité, informations et prise de décisions accélérée 

Regrouper toutes vos données de WAF dans un tableau de bord unique sans avoir à comparer différentes plateformes ou réaliser des exportations et fusions de données constantes est un atout majeur. Les WAF doivent être en mesure de fournir une vue d’ensemble instantanée à l’aide de tableaux de bord intuitifs et personnalisables doublés de rapports qui offrent des informations en temps réel sur les attaques en cours et les incidents de sécurité potentiels à l’échelle de l’ensemble des déploiements. Les “boîtes noires” et le manque de visibilité sont des plaintes qui reviennent souvent concernant les solutions de WAF, car les utilisateurs peinent à analyser et atténuer les menaces lorsque les données ne sont pas présentées clairement. 

De nombreux WAF ne sont pas en mesure d’offrir la visibilité granulaire en temps réel qui est utile pour leurs activités impliquant une prise de décision. De plus, de nombreuses entreprises déploient plusieurs WAF sur l’ensemble de leurs environnements, car elles n’ont pas identifié de solution à même de couvrir tous leurs besoins. Cela entrave leur visibilité sur les problèmes, car leurs données de WAF sont éparpillées dans différents outils et tableaux de bord et les équipes perdent du temps à basculer d’un système à l’autre. Regrouper toutes vos données de WAF dans un tableau de bord unique sans avoir à comparer différentes plateformes ou réaliser des exportations et fusions de données constantes est un atout majeur. 

Intégrations par défaut pour les chaînes de compilation des DevOps et de la sécurité 

Les WAF doivent s’intégrer aux flux de travail existants, plutôt que de forcer les équipes à adapter ou à modifier les flux qui fonctionnent déjà. Les WAF doivent donc être fournis avec des intégrations prédéfinies avec les chaînes d’outils DevOps et de sécurité. Les équipes doivent être en mesure de bénéficier instantanément des données inédites et améliorées qu’offre le WAF en les intégrant aux outils et flux de travail d’intégration et de déploiement continus (CI/CD, Continuous Integration, Continuous Deployment) qu’elle utilise déjà, pour garantir l’efficacité des opérations au quotidien et faciliter leur implémentation à grande échelle sans goulots d’étranglement en matière de sécurité. 

Par exemple, des alertes en temps réel intégrées à Slack peuvent permettre à votre équipe de réagir rapidement, l’envoi de journaux à votre solution de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management) d’établir des liens et des analyses plus poussées, et l’automatisation des mises à jour de règles à l’aide de l’infrastructure en tant que code (IaC, Infrastructure as Code) de réduire le volume de tâches manuelles. En somme, un WAF convivial assure une mise en œuvre accélérée, réduit vos coûts opérationnels, stimule l’efficacité des équipes et améliore la visibilité sur la sécurité de votre entreprise.

Vitesse et flexibilité du déploiement

Les WAF doivent aider à se protéger contre les bots automatisés responsables du scraping de données, des attaques en déni de service (DDoS) ou du credential stuffing, tout en autorisant l’exécution des bots inoffensifs et le trafic humain. L’atténuation des bots emploie diverses techniques telles que les challenges JavaScript et CAPTCHA, le fingerprinting client et les contrôles de réputation des adresses IP pour identifier et bloquer automatiquement le trafic des bots. Les solutions d’atténuation des bots doivent faire preuve d’un niveau de granularité suffisant pour différencier les bots inoffensifs (p. ex. bots de moteurs de recherche) des bots malveillants (p. ex. bots de scraping de données). 

Les WAF modernes aident à alléger le fardeau de la construction, de la gestion et de la création de règles fastidieuses. La sécurité en un clic. 

Vitesse et flexibilité du déploiement 

Choisissez un WAF qui offre plusieurs options de déploiement qui protégeront également votre futur environnement de sécurité avec simplicité et efficacité. Tenez compte non seulement de la facilité et de la rapidité du déploiement, mais aussi de la couverture des options de déploiement disponibles. 

Un retour sur investissement accéléré grâce à un déploiement rapide 

Un pare-feu d’applications web doit être facilement et rapidement déployé, le temps perdu dans des déploiements longs ou fastidieux se traduit par des conséquences négatives en matière de sécurité et de finances. Une bonne solution de pare-feu d’applications web doit être déployée en quelques minutes ou quelques jours, et non en quelques semaines ou mois. 

Un déploiement automatisé grâce à l’infrastructure en tant que code (IaC) 

Il peut être utile de choisir un WAF qui permet l’automatisation des déploiements avec l’infrastructure en tant que code (IaC), comme Terraform. Cela aide à réduire le temps de latence pour l'approvisionnement et les modifications de sécurité tout en renforçant les capacités des développeurs d'applications grâce à l'automatisation des déploiements. 

Scalabilité et performances

Les solutions WAF dotées d’une capacité de déploiement en périphérie permettent une protection et une accélération de la distribution au plus proche de l’utilisateur, ce qui améliore les performances et facilite la scalabilité. 

Le trafic des applications peut fluctuer considérablement selon le jour ; des pics soudains de trafic peuvent submerger les WAF classiques, entraînant des ralentissements, des pannes et des pertes de revenus. Il est donc important d'étudier le réseau, l'architecture et la plateforme sous-jacents sur lesquels un WAF est conçu. 

Un bon WAF répartit les ressources en fonction de la demande, propose un réseau distribué à l’international et à faible latence et assure un traitement à haut débit sans compromettre l’efficacité de la sécurité. Cela garantira une expérience utilisateur fluide, une sécurité renforcée et une continuité des opérations améliorée pour l’ensemble de vos applications critiques.

Un réseau mondialement distribué gérera la protection au plus proche de vos utilisateurs finaux où qu’ils se trouvent, pour leur offrir une expérience aussi rapide que possible. Une telle architecture permettra également une application accélérée des règles à l’ensemble du réseau, garantissant que les nouvelles mesures de sécurité sont mises en œuvre à grande échelle instantanément.

Les avantages de Fastly

Lorsque vous choisissez un fournisseur de WAF, il est essentiel d’en sélectionner un qui dispose d’une couverture mondiale, d’une détection puissante et de capacités d’intégration adaptées aux infrastructures modernes. 

La solution Next-Gen WAF de Fastly est conçue avec ces fonctionnalités à l’esprit. En tant que plus grande plateforme edge cloud mondiale, elle se trouve à seulement quelques millisecondes des utilisateurs répartis aux quatre coins du monde.

Ce positionnement stratégique permet à Fastly de protéger les sites web et les applications plus rapidement que les WAF traditionnels. L’inspection du trafic près des utilisateurs finaux limite rapidement le champ d’action des menaces, contribuant ainsi à bloquer ces dernières avant qu’elles n’atteignent les serveurs d’origine.

Parmi ses principaux avantages, le WAF de nouvelle génération de Fastly offre :

  • Protection complète : Fastly détecte et bloque les vulnérabilités des applications web figurant dans le top 10 de l’OWASP et les menaces personnalisées que vous définissez à l’aide de règles simples.

  • Des temps de réponse rapides : grâce à son réseau mondial de POP, la solution Next-Gen WAF de Fastly garantit une inspection à très faible latence pour une expérience utilisateur exceptionnelle, même en cas d’attaques.

  • Configuration flexible : vous pouvez personnaliser les règles, les pages de réponse et bien plus via l’interface conviviale de Fastly, sans dépendre de longues fenêtres de modification.

  • Analyses en temps réel : grâce au tableau de bord et à l’API de Fastly pour l’identification proactive des problèmes, vous bénéficiez d’informations précieuses sur le trafic et les événements de sécurité.

  • Intégration transparente : la solution Next-Gen WAF de Fastly fonctionne de manière transparente avec ses services CDN et d’edge computing pour offrir une sécurité, des performances et des capacités de distribution unifiées.

Découvrez comment la solution Next-Gen WAF de Fastly peut offrir une protection avancée pour vos applications, vos API et vos microservices grâce à des options de déploiement flexibles et des capacités de détection à la pointe de la technologie.  

En savoir plus sur l’outil Next-Gen WAF de Fastly

Demander une démonstration