Présentation de l’architecture et du déploiement du Fastly Next-Gen WAF
Cette feuille de données détaille l'architecture brevetée et hautement performante du Fastly Next-Gen WAF, et fournit des informations sur le large éventail d'options de déploiement disponibles.
On this page
Sécurité unifiée des applications web et des API pour tout environnement
Fastly propose le WAF le plus flexible du marché et peut protéger vos applications et API où qu'elles se trouvent (dans des conteneurs, sur site, dans le cloud ou en périphérie) grâce à une solution intégrée. Bénéficiez d'une protection complète sans sacrifier les performances ni nécessiter de personnel dédié : le Fastly Next-Gen WAF (optimisé par Signal Sciences) est prêt à l'emploi et si efficace que près de 90 % de nos clients l'utilisent en mode de blocage complet.
Le Fastly Next-Gen WAF offre la protection proactive requise par les applications modernes tout en s'intégrant à vos chaînes d'outils DevOps et de sécurité pour une visibilité inégalée. Notre architecture flexible peut améliorer votre stratégie de sécurité des applications en fournissant aux développeurs, aux équipes opérationnelles et aux équipes de sécurité des informations sur les points vulnérables et les méthodes utilisées pour attaquer vos applications Web et vos API.
Aperçu de l'architecture
Le Fastly Next-Gen WAF est une solution hybride de logiciel en tant que service (SaaS) composée de trois éléments principaux. Cette approche brevetée, développée par Signal Sciences, nous permet de faire évoluer et de protéger facilement les applications et les API les plus volumineuses sans affecter les performances.
Agents
Des agents légers que vous déployez sur votre infrastructure existante pour effectuer rapidement et précisément la détection et la prise de décision concernant les requêtes.
Les agents sont constitués d'un petit processus démon et sont conçus pour gérer des charges extrêmement lourdes tout en effectuant localement des détections et des décisions hautement performantes et précises. L’agent collecte également des métadonnées sur les requêtes malveillantes qu’il a traitées et partage ces métadonnées avec le moteur Cloud. Nous assurons la protection de certains des sites les plus fréquentés sur Internet, où des dizaines de milliers d'agents traitent collectivement des milliards de demandes de production sans affecter les performances des applications ou des API. Les agents bloquent les attaques avant qu'elles n'atteignent les applications ou les API et offrent une visibilité non seulement sur les requêtes entrantes, mais aussi sur les réponses des serveurs et les anomalies qui révèlent le comportement de l'application.
Modules
Composant optionnel mais puissant qui s'associe à nos agents pour garantir des performances et une fiabilité élevées.
Les modules fonctionnent sur pratiquement n’importe quel serveur web (NGINX, Apache, IIS, et plus encore) ou langage applicatif (.NET, Java, Python, PHP, .nodeJS, et plus encore). Le module ne comporte que quelques centaines de lignes de code pour garantir à la fois fiabilité et performances extrêmes. Sa seule fonction consiste à transmettre les requêtes à l'agent, à recevoir et à appliquer les décisions de l'agent afin d'autoriser la requête à passer vers l'application ou de l'enregistrer/la bloquer (selon le mode défini dans la console).
Moteur cloud
Le back-end analytique hébergé dans le cloud enrichit l'agent de manière asynchrone avec des informations recueillies auprès de sources externes et propriétaires afin d'effectuer des détections dynamiques et spécifiques à l'application.
Le moteur cloud collecte et analyse les données d'attaques anonymisées et les données télémétriques provenant des milliers d'agents logiciels de nos clients. L'agent utilise localement les résultats du moteur cloud pour améliorer la détection et prendre des décisions de blocage plus agressives. La décision des agents est améliorée par notre Network Learning Exchange (NLX) qui partage des sources IP malveillantes confirmées dans la console de gestion, vous alertant ainsi de la présence d'acteurs suspects avant qu'ils ne constituent une menace pour vos applications et vos API. D'autres flux comprennent des listes externes d'adresses IP malveillantes et des listes d'adresses IP personnalisées par les clients, qui fournissent toutes un contexte supplémentaire pour les requêtes, enrichissant ainsi la prise de décision des agents. Cette visibilité et ce contexte sont partagés via notre API et nos intégrations natives avec les outils DevOps que votre équipe utilise déjà, notamment Slack, PagerDuty, Jira, etc., ainsi que des outils de sécurité tels que Elastic et Palo Alto Networks Cortex XSOAR. Les indicateurs et les rapports d'événements pour l'ensemble de votre empreinte applicative sont également facilement accessibles via des tableaux de bord dans une console de gestion unifiée.
Options de déploiement
Options de déploiement natives pour les data centers, le cloud, les conteneurs et les environnements serverless.
Option de déploiement n° 1 : cloud et conteneur natif
La paire agent-module s'installe sur votre serveur web, votre passerelle API ou au niveau de l'application en quelques minutes. Notre agent est indépendant de l'infrastructure, ce qui vous offre la flexibilité de le déployer où vous en avez besoin, sans vous soucier des dépendances aux langages ou frameworks sous-jacents.
Déploiement dans Kubernetes et réseau de services
Les nouveaux outils et frameworks d'application, tels que Kubernetes, amènent rapidement les entreprises dans un monde axé sur le DevOps. Les entreprises publient désormais du code plus rapidement que jamais, et Fastly propose des options de déploiement flexibles qui s'adaptent à votre stratégie de conteneurs grâce à trois « couches » vous permettant d'installer notre WAF dans Kubernetes et quatre méthodes de déploiement. De plus, grâce à nos intégrations natives avec Envoy Proxy et les réseaux de services Istio, Fastly offre une visibilité sur les requêtes nord-sud (client-serveur) et est-ouest (service-à-service).
Méthode d'installation | Couche 1 : contrôleur d'entrée | Couche 2 : Service de niveau intermédiaire | Couche 3 : niveau application |
|---|---|---|---|
Agent + module dans le même conteneur d’application | « vérifier » | « vérifier » | « vérifier » |
Agent et module dans différents conteneurs | « vérifier » | « vérifier » | « vérifier » |
Agent en mode proxy inverse dans le même conteneur que l'application | « vérifier » | « vérifier » | « vérifier » |
Agent dans un proxy inverse dans un conteneur sidecar | « vérifier » | « vérifier » | « vérifier » |
Fastly prend pleinement en charge les déploiements pour :
Option de déploiement n° 2 : data center et ancienne application
Les clients qui ont besoin de protéger des anciennes applications ou celles déployées dans des data centers choisissent généralement l'une des deux options de déploiement suivantes : installer Fastly Next-Gen WAF pour inspecter le trafic avant que les requêtes Web n'atteignent l'application ou le point d'accès API, ou installer notre agent en mode proxy inverse. Par exemple, notre module peut être installé au niveau de l'équilibreur de charge (A10 Networks, HAProxy, NGINX) ou de l'API gateway (Ambassador, Kong, Cloudentity). Notre agent peut être déployé en mode proxy inverse pour les clients dont les exigences empêchent l'installation au niveau de l'équilibreur de charge ou de l'API gateway.
A10 Next-Gen WAF, propulsé par Fastly
Afin d'offrir une meilleure protection sur site, A10 Networks et Fastly ont conclu un partenariat pour proposer à leurs clients le Next-Gen WAF A10, optimisé par Fastly. L'ADC A10 Thunder offre la meilleure livraison d'applications de sa catégorie et une protection contre un large éventail d'attaques avancées avec une précision exceptionnelle, garantissant la disponibilité des services tout en réduisant la complexité et le coût total de possession.
Option de déploiement n° 3 : en périphérie
Le Fastly Next-Gen WAF est disponible sur le réseau Fastly Edge Cloud, permettant aux clients d'appliquer des contrôles de sécurité dans le cadre des services de distribution de Fastly. L’option de déploiement edge cloud est parfaitement intégrée à la couche de mise en cache de Fastly, Varnish.
Cela permet d'offrir une protection et une accélération plus proches des utilisateurs et de protéger les systèmes d'origine contre le trafic d'attaques abusives, tout en garantissant des performances de premier ordre. Notre déploiement en périphérie est idéal pour les clients qui ne peuvent pas installer de logiciel sur leur infrastructure existante et pour ceux qui souhaitent profiter des avantages en termes de performances du réseau mondial de diffusion de contenu (CDN) de Fastly. Cette option de déploiement offre également des fonctionnalités supplémentaires, notamment une protection DDoS permanente de couches 3 et 4 et la gestion de la sécurité de la couche de transport.
Option de déploiement n° 4 : WAF cloud
Cloud WAF vous permet de protéger rapidement et facilement vos applications Web, API, microservices et applications serverless, sans avoir à installer de logiciel sur votre infrastructure. Une fois déployé, il suffit d'un simple changement de DNS pour diriger le trafic des applications vers Cloud WAF afin de bénéficier de la visibilité et de la protection offertes par Fastly Next-Gen WAF pour vos applications. Toutes les requêtes web sont redirigées vers notre couche d'application cloud, où les requêtes malveillantes sont détectées et bloquées. Tout le trafic légitime est ensuite transféré vers le serveur d'origine de votre application. Cloud WAF est idéal pour les clients qui souhaitent ajouter un WAF facile à gérer sans apporter de modifications en amont à leur couche CDN.
Une protection engagée envers la confidentialité des données
De nombreuses entreprises de services financiers, sociétés de soins de santé et autres sociétés soumises à des exigences strictes en matière de confidentialité des données utilisent la solution Next-Gen WAF de Fastly en raison de notre architecture performante conçue pour la confidentialité des données. Toutes les données sensibles sont traitées entièrement dans l'environnement du client et seules les parties nettoyées et révisées des requêtes marquées comme des attaques ou des anomalies sont ensuite envoyées au Fastly Cloud Engine.
Une fois que l'agent identifie une attaque potentielle ou une anomalie dans une requête, un ensemble de modifications entièrement personnalisables est appliqué localement, puis l'agent envoie uniquement le paramètre individuel modifié de la requête qui contient la charge utile de l'attaque, ainsi que quelques autres parties non sensibles ou bénignes de la requête, telles que l'adresse IP du client, l'agent utilisateur, l'URI, etc. Notre back-end ne collecte que les métadonnées de la réponse, par exemple : les codes de réponse, les tailles et les durées. Nous offrons à nos clients la possibilité de personnaliser entièrement les politiques de rédaction et les champs en fonction de leurs besoins. Pour une protection supplémentaire, Fastly applique automatiquement la rédaction des types de données sensibles courants, tels que les mots de passe, les clés, les GUID et tout type d'informations personnelles identifiables ou d'informations médicales protégées, avant que la demande ne soit envoyée à notre back-end.
« Il fonctionne immédiatement, s'adapte automatiquement et offre une excellente visibilité tout en sécurisant l'application. »
Anson Gomes
Lead Security Engineer
Intégrations des chaînes de compilation DevOps et de sécurité
La meilleure voie vers la réussite pour une protection efficace des applications et des API consiste à fournir les mêmes données de sécurité de base aux équipes de développement, d'exploitation et de sécurité dans les outils qu'elles utilisent déjà. Fastly collabore avec les meilleurs outils et plateformes du secteur pour fournir des alertes en temps réel à vos chaînes d'outils DevOps et de sécurité et pour garantir que vos équipes puissent facilement exploiter notre télémétrie de sécurité de production dans les outils et processus actuels de votre organisation à des fins d'investigation et d'analyse approfondies.
Les intégrations technologiques prêtes à l'emploi aident les équipes à effectuer ou à poursuivre leur transition vers des modèles et des architectures de développement modernes. Nos intégrations en un seul clic comprennent les moteurs d'alerte de développement et d'exploitation les plus courants, les chat-ops, la gestion de projet et les systèmes de suivi des incidents.
Intégrations technologiques et intégration de plateforme
Exécutez le Fastly Next-Gen WAF n'importe où
Équilibreurs de charge
Serveurs web
IAAS
PAAS
Conteneurs
Gestion des configurations
Intégrations et partenaires de flux
Envoyez et recevez des données via le Fastly Next-Gen WAF
Chaîne de compilation DevOps
Gestion des informations et des événements de sécurité/SOAR
Ressources connexes
Découvrez comment notre WAF vous protège contre les attaques de la couche Web et s'intègre aux outils DevOps.
Le framework d’efficacité du WAF vous aide à mesurer ses performances.
Fastly est un concurrent dans le domaine des WAAP cloud. Comparez les fournisseurs dans ce rapport.
Fastly est le seul fournisseur à avoir été nommé Customers’ Choice (Choix des clients) pendant cinq années consécutives.