L’intérêt d’un web application firewall

Si vous ne voyez pas exactement la différence entre un firewall “classique” et un WAF (web application firewall), je vous conseille de consulter un article précédent, expliquant les différences : Firewalls traditionnels ou Web Application Firewalls?
Les menaces pesant sur les applications font des web application firewalls une approche véritablement complémentaire aux bonnes pratiques de développement et aux tests de sécurité (audits).
La protection globale qu’ils apportent contre les attaques connues (et non connues), le patching virtuel et le reporting d’événements liés à la sécurité ont une vraie valeur ajoutée.

Un marché en évolution

Le marché des WAF est en constante évolution, et voit régulièrement venir de nouveaux acteurs. Il comprend différents types de vendeurs : les pure-players du WAF, les fournisseurs de services cloud, les logiciels open source, les vendeurs de sécurité plus généraux, les vendeurs d’ADC (Application Delivery Controller)…
Nous voyons également régulièrement des fusions/acquisitions, soulignant le caractère mouvant du marché.

Le marché des WAF évolue en fait comme le paysage des menaces. Les produits de type WAF doivent évoluer rapidement afin de rester efficaces et fournir une bonne protection aux applications web.

Dans ce contexte, il est évident que les organisations doivent bien étudier et comprendre les caractéristiques des offres de WAF disponibles, afin de trouver un produit qui conviendra à leurs besoins.

Comparer les web application firewalls


De plus, certains web application firewalls sont conçus pour répondre aux plus hautes exigences des grandes entreprises, là où certains sont moins puissants et efficaces, mais beaucoup moins chers (même gratuits, pour les WAF de type open source). Certains WAF sont également fournis avec une suite de services tels que de l’optimisation de flux et de la gestion d’identité : en avez-vous besoin ?

Comment choisir votre WAF ?

Ajouter un WAF à votre infrastructure IT est un réel projet qui doit être correctement géré afin d’éviter des erreurs et un mauvais choix.

Impliquer les bonnes personnes

Avoir les bonnes personnes dans votre projet WAF est un élément clé.
Peut-être certains de vos collègues ont-ils déjà une expérience dans ce domaine ?
Vous devez bien évidemment impliquer les personnes responsable des applications web à protéger, mais également celles impliquées dans la stratégie de sécurité globale de votre entreprise.
Maintenant que vous avez les bonnes personnes avec vous, quels seront leurs rôles et leurs responsabilités ? Les points essentiels à aborder sont :

  • Qui participera à la mise en place initiale du WAF
  • Qui sera responsable de la maintenance et des réglages. Les personnes en lien avec les applications web ont certainement leur rôle, mais celles de la sécurité également.

Collecter et valider les besoins

La protection d’un site web public vous a très certainement amené à penser à la solution WAF. Mais qu’en est-il des applications internes ou d’autres applications destinées aux partenaires, ou privées? Peut-être ces applications sont-elles à inclure dans le périmètre de la protection.
Il est important de prendre en compte les futurs besoins en termes de protection, et d’anticiper les besoins d’évolution de l’infrastructure. Si un site web additionnel doit prochainement être ajouté dans le périmètre du WAF, cette tâche sera-t-elle facile ?

Choisir la bonne option de déploiement

Les options de déploiement ne sont pas très nombreuses, mais suffisamment pour qu’un choix soit à faire.
Un web application firewall peut être :

  • Une partie du serveur web lui-même
  • Un boitier (appliance) ou un logiciel présent sur une machine virtuelle
  • Un logiciel installé sur un ADC (Application Delivery Controller)
  • Un service cloud

Quelle solution est la plus adaptée à votre infrastructure existante ?

Les types de configuration peuvent également varier. Les deux premières options sont les plus courantes.

  • inline (reverse proxy)
  • transparent proxy
  • network bridge
  • out-of-band (travaillant sur une copie du traffic)

Chaque type de déploiement et de configuration vient avec son lot de challenges et de contraintes, il y a donc clairement besoin d’analyser les possibilités avant d’en implémenter une.

Comparer les offres de WAF

Il s’agit de la partie la plus challengeante du projet.
Parcourir les documents commerciaux, vidéos et datasheets n’est pas assez si vous souhaitez vous assurer que le WAF choisi répondra à l’intégralité de vos besoins.
Par exemple, la majorité (tous) des vendeurs de WAF avancent le fait que leur produit vous protège contre les attaques de type injection SQL, et plus largement contre le Top 10 de l’OWASP. Mais cette simple affirmation cache en réalité des différences importantes dans la façon de détecter et de gérer les différents types d’attaques. Les injections SQL peuvent varier dans leurs nature, et être plus ou moins difficiles à détecter.
Les attaquants regardent cet aspect en terme de techniques d’”évasion” : Un type de WAF = des techniques d’évasion spécifiques pour passer à travers le WAF sans être arrêté.

Le même type de question se pose lorsqu’il s’agit des autres genres de menaces, de la gestion des exceptions, des mises à jour, ou encore de la gestion des signatures, pour en nommer quelques uns.

Quelques questions à aborder :

  • Est-ce que le WAF est un des principaux produits du vendeur ? Ou s’agit-il simplement d’une fonctionnalité supplémentaires qui vient se greffer dans une offre globale de type réseau/infrastructure ?
  • Quelles sont les techniques du vendeur afin d’évaluer l’efficacité de ses protections
  • Comment la technologie utilisée gère-t-elle les techniques d’évasion, et anticipe-t-elle les futures variantes ?
  • Quel est le modèle commercial utilisé pour le WAF ?
  • Avec quelle rapidité le vendeur publie-t-il des mises à jour de ses produits afin d’offrir une protection contre de nouveaux types d’attaques ?

En conclusion, choisir un WAF est un réel projet avec des enjeux nécessitant une approche rigoureuse. N’hésitez pas un prendre contact avec des experts si vous souhaitez être accompagné.