Choisir un pare-feu d'app web

Détails
Écrit par : Jean Pierre EKOUMA EMANE
Catégorie : Sécuriser cloud computing
Clics : 5719
Contact informaticien développeur

Comment choisir un pare-feu d'application web (WAF) pour votre entreprise. 

Les pare-feux d’application web (WAF) se situent entre une application et son réseau plus large. Étant donné qu’ils sont un composant bien établi de l’arsenal de sécurité actuel, l’étendue des fonctionnalités individuelles d’un WAF peut varier énormément. Choisir le bon est essentiel pour définir et sécuriser le trafic des applications de votre organisation.

Bien que la personnalisation soit toujours une option ?

Pouvoir définir précisément vos critères de sélection d’un WAF est essentiel pour un processus d’achat efficace. Cela permet à un WAF de correspondre aux exigences propres à une organisation – qu’il s’agisse de protéger des flux de travail internes spécifiques ou d’appliquer une protection à grande échelle aux applications accessibles au public.

Comment les WAF peuvent-ils s'adapter à vos besoins ?

Les WAF se présentent sous plusieurs formes, chacune conçue pour répondre à différents besoins opérationnels et de sécurité. De manière générale, ils sont classés par type de déploiement – logiciel, appareil matériel ou en tant que service – et par architecture :

  • Les WAF logiciels sont installés directement sur le serveur web ou intégrés dans le code de l'application.

Ils offrent de la flexibilité, des coûts réduits et conviennent bien aux environnements où l'efficacité des ressources et la personnalisation sont des priorités.

  • Les WAF basés sur des appliances sont des dispositifs matériels dédiés déployés au sein du réseau.

Ils offrent une puissance de traitement robuste, ce qui les rend idéaux pour gérer de grands volumes de trafic avec une latence minimale. Cependant, ils ont tendance à entraîner des coûts initiaux plus élevés et un entretien continu.

  • Les solutions WAF en tant que service sont gérées par des fournisseurs tiers et ne nécessitent aucun matériel sur site.

Ces offres basées sur le cloud sont très évolutives et faciles à déployer, nécessitant souvent seulement une mise à jour DNS. Bien qu'elles soient pratiques et économiques, elles offrent intrinsèquement moins de possibilités de personnalisation que leurs équivalents sur site.

Points clés à considérer lors du choix d'un WAF

Voici quelques points clés à considérer lors du choix d'une solution WAF.

Clarifiez vos besoins opérationnels

Avant de mettre en place tout logiciel ou matériel de sécurité, les organisations doivent d'abord établir une politique de sécurité des applications à jour qui définit clairement leurs objectifs et précise comment elles comptent sécuriser leurs applications web.

Exposez vos exigences pour l'application

Lors de la réalisation d'une comparaison de pare-feu d'application Web (WAF), il est essentiel de définir clairement les exigences de votre application. Cela permet d'évaluer chaque WAF en fonction de la qualité de sa protection pour chaque composant pertinent. Les WAF modernes offrent une large gamme de fonctionnalités, mais toutes les applications n'ont pas besoin de toutes les fonctionnalités. Comprendre votre application:

  • Architecture
  • Modes de circulation
  • Cyber threat profile

permet une correspondance plus précise entre les capacités de sécurité et les risques réels. Par exemple :

  • Les applications traitant des données sensibles des utilisateurs peuvent donner la priorité au filtrage des requêtes pour se protéger contre les injections SQL et les attaques par scripts intersites (XSS).
  • Les plateformes à fort trafic peuvent avoir besoin de limitation du taux pour prévenir les attaques par déni de service distribué (DDoS).
  • Les applications ciblées par le bourrage d'identifiants ou le scraping de contenu nécessiteront une protection robuste contre les robots.
  • Les applications SaaS peuvent privilégier les WAF qui sécurisent et catégorisent les API.
    Les applications riches en contenu ou à volume élevé peuvent nécessiter un dispositif évolutif à haut débit.

Les exigences supplémentaires peuvent inclure :

  • Blocage géographique : Pour restreindre l'accès depuis des régions géographiques à haut risque
  • Analyse comportementale du réseau : Utiliser des modèles d'IA pour signaler les anomalies basées sur le comportement des applications

Identifier la puissance de feu des employés

Les WAF ne sont pas des solutions que l'on installe et que l'on oublie. Il est donc essentiel de garder à l'esprit, lors du choix d'une solution WAF, qu'elles nécessitent à la fois une attention initiale et continue – l'équipe de sécurité doit donc disposer de la bande passante supplémentaire nécessaire pour cela. Les options de déploiement d'un WAF peuvent prendre de moins d'une heure à plusieurs mois de travail.

  • Les WAF basés sur le cloud sont généralement plus rapides pour cela, pouvant être configurés en quelques minutes ou heures.
  • Un WAF traditionnel sur site peut nécessiter des semaines ou des mois pour le réglage du matériel et la configuration.

À partir de là, cela nécessite un entretien continu :

  • Les WAF traditionnels nécessitent du personnel dédié pour gérer la création des règles, les mises à jour et le dépannage.
  • Il n'est pas rare que les organisations complètent leurs équipes de sécurité avec plusieurs employés supplémentaires à temps plein pour maintenir un WAF traditionnel.
  • Choisir une solution plus moderne ou basée sur le cloud peut réduire ce besoin à un ou deux employés à temps plein.
  • Cela fait d'un WAF cloud l'une des meilleures options pour une petite entreprise.

Identifiez vos exigences réglementaires

Étant donné que les WAF peuvent analyser le trafic des applications et bloquer les utilisateurs malveillants, ils constituent une partie essentielle d'une stratégie de sécurité. Cependant, il est crucial de savoir exactement quelles réglementations un WAF peut prendre en charge. L'une des réglementations les plus strictes est le PCI DSS. En prenant cet exemple, l'exigence 6.6 impose spécifiquement aux organisations de protéger les applications accessibles au public — soit en déployant un WAF, soit en effectuant des audits de sécurité réguliers. Pour de nombreuses organisations, le déploiement d'un WAF offre une méthode pratique, évolutive et continue pour répondre à cette exigence. Au-delà de l'exigence 6.6, un WAF contribue à des objectifs plus larges de conformité PCI DSS grâce à sa capacité à :

  • Prévenir les attaques courantes comme l'injection SQL et le cross-site scripting (XSS)
  • Traiter les autres menaces du Top 10 OWASP

Ces fonctions soutiennent les pratiques de développement sécurisé décrites dans les exigences 6.4 et 6.5, tout en contribuant également de manière indirecte à l'exigence 1, qui régit la sécurité globale du réseau. D'autres exigences réglementaires, telles que le RGPD, imposent également des exigences strictes en matière de visibilité en temps réel du réseau. Étant donné que les outils WAF surveillent et bloquent en continu le trafic malveillant, ils soutiennent directement ces exigences. Il en va de même pour les fonctionnalités détaillées de journalisation et de génération de rapports. Le RGPD exige que les organisations consignent et surveillent toutes les activités liées au traitement des données personnelles, ce qui signifie que les journaux WAF peuvent suivre qui a accédé aux données personnelles et quand.

Menu principal

Connexion

Articles les plus consultés

Derniers articles créés