Articles

Web application firewall (WAF), un élément essentiel de la sécurité web

Propulsée par le télétravail, l’adoption de solutions SaaS (Software-as-a-Service) dans les entreprises a connu une nette augmentation ces dernières années. Selon l’étude annuelle de la société américaine BetterCloud, cette utilisation a augmenté de 1275% sur la période 2015-2021 avec une consommation moyenne de 110 solutions SaaS par entreprise. Plateforme e-commerce, application web, API, web-services, ces architectures sont utilisées quotidiennement et de manière transparente par les équipes RH, marketing, commerciale et technique. Malheureusement cette utilisation s’accompagne également d’une augmentation des cyberattaques ciblant les environnements dans le cloud. Pour éviter une compromission, voire une exfiltration de données, l’utilisation d’un Web Application Firewall (WAF) appelé également pare-feu applicatif web s’érige comme un élément essentiel de la sécurité web. Quel est son rôle ? Comment détecte-t-il les menaces ? Explications.

Définition d’un Web Application Firewall ou Pare feu applicatif

Un pare-feu d’applications web (WAF) est un outil de sécurité virtuelle conçu pour protéger les organisations des vulnérabilités applicatives en filtrant, en surveillant et en analysant le trafic par protocole de transfert hypertexte (HTTP) et par protocole de transfert hypertexte sécurisé (HTTPS) entre les applications web et Internet.

Comment fonctionne un Web Application Firewall (WAF) ?

Quel trafic de protocole un pare-feu d’application web waf surveille-t-il ?

Un Web Application Firewall (WAF) est un pare-feu applicatif dont le rôle est de filtrer les requêtes HTTP/HTTPS malveillantes pouvant cibler des vulnérabilités de l’infrastructure web (CVE) ou des erreurs de développement dans la couche applicative. Situé en coupure de flux entre le visiteur et le serveur web, le Web Application Firewall fait office de proxy inversé (reverse-proxy) en distribuant la requête légitime après analyse. Le pare-feu applicatif de UBIKA peut être installé en tant qu’appliance physique (on-premise), sous la forme d’une machine virtuelle (container ou image cloud), sous la forme d’un service SaaS ou directement hébergé sur les marketplaces AWS, Google Cloud ou Microsoft Azure avec l’offre Web Application et API Protection (WAAP).

Quel type d’application web peut être sécurisé par un WAF ?

Cette technologie se veut agnostique et s’intègre avec tout type de framework (gRPC), de serveurs web (Apache, NGINX, Microsoft IIS) ou de standard et protocole d’échange de données (WebSocket, GraphQL, REST, SOAP). En s’appuyant sur la reconnaissance des cyberattaques, le pare-feu applicatif web permet de détecter des comportements malveillants comme une hausse suspecte du volume de requêtes (déni de service), l’utilisation d’une IP affiliée à un réseau de botnet, ou le pattern de l’une des 10 principales cyberattaques du référentiel OWASP.

Pourquoi mettre en place un WAF ?

Comment le pare-feu applicatif détecte et bloque les attaques du référentiel OWASP ?

Les infrastructures web sont l’une des cibles privilégiées des cybercriminels. Pour documenter et répertorier les modes opératoires, le projet OWASP (Open Web Application Security Project) développée par l’OWASP Foundation publie le classement des 10 principales attaques qui ciblent les applications web, sites internet et autres API.

Le Top 10 de l’OWASP inclut notamment les attaques suivantes :

  • Injection SQL
  • Cross-Site Scripting (XSS)
  • Broken Authentication and Session Management
  • Cross-Site Request Forgery (CSRF)
  • Vulnérabilités dans les composants tiers (Plugin WordPress, CVE)

Pour chacune de ces attaques le pare-feu applicatif web apporte une solution.

Injection SQL : En analysant les requêtes HTTP/HTTPS, le WAF détecte les patterns utilisés, bloque la requête et bannit l’IP de l’expéditeur.

Cross-Site Scripting (XSS) : Comme pour l’injection SQL, le WAF détecte les tentatives d’injection de code JavaScript malveillant, bloque la requête incriminée et laisse passer le trafic légitime.

Broken Authentication and Session Management : Login et mot de passe communiqués dans la requête, ID de session exposé dans l’URL, déduction du login basée sur les informations disponibles publiquement sur le site internet (nom d’auteur des articles…), le WAF détecte les tentatives de contournement des méthodes d’authentification traditionnelles.

Cross-Site Request Forgery (CSRF) : En se basant sur un ensemble de règles de détection, le WAF détecte et bloque toute tentative de falsification de requêtes inter-site.

Vulnérabilités dans les composants tiers (Plugin WordPress, CVE) : Il est monnaie courante de voir apparaître des vulnérabilités dans les composants tiers d’une application. Que ce soit dans les librairies applicatives utilisées par le serveur web apache, comme ce fut le cas avec la vulnérabilité Log4j ou au travers de failles critiques dans des plugins de CMS, le WAF permet d’assurer un niveau de sécurité avant même que les systèmes puissent être mis à jour.

Découvrez notre article : Comment protéger vos applications contre les attaques figurant dans le Top 10 de l’OWASP.

WAF ou Firewall ? / Comment la détection du Web Application Firewall (WAF) complète celle d’un firewall nouvelle génération (NGFW) ?

Le Firewall nouvelle génération (NGFW) et le pare-feu applicatif web (WAF) apportent une complémentarité dans la détection des menaces. Lorsque le WAF analyse et détecte les menaces ciblant les environnements web, le firewall analyse et détecte les menaces qui essaient d’entrer et de transiter sur le réseau interne de l’entreprise. Le WAF sécurise ainsi les flux HTTP/HTTPS (protection de la couche 7 du modèle OSI) lorsque le firewall analyse les paquets TCP/IP. Grâce à sa brique de détection des menaces (IPS), le firewall analyse, détecte et bloque les menaces faisant appels aux protocoles Telnet, FTP, SNMP, DNS, SMTP (couche 3 et 4 du modèle OSI).

Le WAF, un rempart contre les attaques par déni de service (Ddos).

L’utilisation d’attaques par déni de service (Ddos) s’accentue depuis quelques années. Initialement utilisé pour saturer de requêtes et rendre inopérant l’infrastructure de la victime, le déni de service accompagne aujourd’hui les attaques par ransomware (Ransom DDOS ou RDDoS) dans le but d’exiger une rançon sous la menace d’une paralysie de l’infrastructure. Ces attaques au niveau application (couche 7) visent à cibler directement les services hébergés sur les serveurs.

Pour détecter et stopper l’attaque avant qu’elle ne frappe l’infrastructure ciblée, le WAF propose plusieurs fonctionnalités :

  • La limitation du débit des requêtes : En définissant un seuil maximal de volume de requêtes, le cybercriminel ne peut saturer l’actif protégé.
  • L’utilisation de blacklist et whitelist : En utilisant des modèles de règles génériques de détection (blacklist) et des règles de filtrage basées sur le fonctionnement de l’API (whitelist), appelé sécurité positive, cette méthode permet au pare-feu applicatif d’adapter sa politique de détection et de filtrage.
  • Threat Intelligence (CTI) et géolocalisation : Les cybercriminels utilisent des réseaux de botnets ou machine zombie pour lancer leurs attaques. En se basant sur une base de données de réputation d’IP, le WAF détecte et bloque une requête envoyée depuis une IP malveillante.

Découvrez comment se défendre contre les attaques DDOS dans cet article spécifique.

Quelle est le rôle d’un WAF ?

Voici quelques use case :

Quelle action un WAF moderne peut-il faire ?

  • Élaborer des politiques de sécurité grâce à notre technologie de workflow graphique
  • Renforcer la sécurité des APIs avec des moteurs supplémentaires
  • Détecter et atténuer les robots malveillants, afin de garantir le trafic légitime
  • Évitez les faux positifs grâce à la résolution automatique et avancée
  • S’adapter à l’IP Réputation, au comportement de l’utilisateur et à des scénarios spécifiques au contexte.
  • Prédéfinir et personnaliser les tableaux de bord pour une surveillance et des rapports avancés.

Comment choisir un WAF ? Comment installer un WAF ?

Les différentes solutions WAF

Web Application Firewall On-Premise

Le WAAP se déploie sur les sites d’entreprise sous forme d’appliance matérielle ou de machine virtuelle pour protéger les applications critiques présentes au sein d’un data center d’entreprise. Dans ce cas, l’opérateur du data center doit s’impliquer les opérations de configuration et les mises à jour logicielles.

L’entreprise peut également disposer d’un cloud privé sur site et sera, dans ce cas, en mesure de contrôler les aspects d’orchestration, d’évolutivité, etc. Cependant, un WAAP sur site subit les limites du cloud privé.

Découvrir notre solution WAF, UBIKA WAAP Gateway / On Prem Edition.

Cloud Web Application Firewall

Le WAAP est proposé via des marketplaces cloud qui permettent de déployer une instance. Ce modèle allège votre investissement initial et bénéficie des mises à jour de sécurité les plus récentes. Un modèle pertinent consiste à associer un mode BYOL (Bring Your Own License), pour les instances opérationnelles en 24 / 7, avec un mode Pay As You Go (PAYG) qui encourage l’évolutivité. Les orchestrateurs cloud contrôlent la montée en charge ou la réduction des capacités, à partir de scripts Terraform. Ceci permet de déployer une approche IaC (Infrastructure as Code) qui automatise la totalité du processus.

Voici la liste des cloud providers sur lesquels nos solutions sont présentes :

  • Azure – Web Application Firewall
  • Amazon (AWS) – Web Application Firewall
  • Google Cloud Platform – Web Application Firewall
  • OVH – Web Application Firewall
  • Outscale – Web Application Firewall

Découvrir notre solution WAF, UBIKA WAAP Gateway / Cloud Edition.

Web Application Firewall en mode SaaS

Le WAAP est parfaitement adapté à un modèle SaaS, avec un déploiement et une maintenance assurés par l’éditeur, sans aucune opération d’installation par le client. Simple à déployer et à configurer, le client ne s’occupe que de rediriger le trafic applicatif vers l’infrastructure hébergée. L’évolutivité, les mises à jour logicielles et le monitoring de la plateforme sont gérés par le fournisseur. Cette offre est souvent associée à une protection contre les DDoS pour prévenir les attaques volumétriques.

Découvrir notre solution WAF SaaS, UBIKA Cloud Protector.

Web Application Firewall français

Les solutions UBIKA sont conçues, développées et hébergées en France. Elles sont la garantie de la souveraineté de vos données.

En conclusion

Comme nous l’avons vu précédemment, l’utilisation d’un Web Application Firewall (WAF) s’avère être un élément essentiel de la sécurité web. UBIKA propose des solutions technologiques qui s’adaptent à votre besoin (application web, API, site internet) et au périmètre de déploiement (on-premise, firewall virtualisé, déployable sur AWS et Azure).

Nous vous proposons le livre blanc « Critères clés dans le choix d’un Web Application Firewall » qui examine les principaux éléments à prendre en compte pour sélectionner un WAAP puissant.

Posted ago by Christine Amory

Directrice Commerciale & Marketing