Les pare-feu existent depuis des années, mais les pare-feu pour applications Web sont beaucoup plus récents et, malgré leur nom, très différents !
Tout d’abord, qu’est-ce qu’un WAF ? Quel est son rôle et pourquoi en ai-je besoin (ou pas) ?
Tout simplement, un pare-feu normal ouvre des ports pour permettre au trafic provenant du monde extérieur d’accéder à votre site web/application web.
Un WAF vérifiera le trafic passant par ces ports ouverts pour s’assurer qu’il ne s’agit pas d’un piratage de votre site/application.
L’attaque
Le piratage au niveau des applications web est désormais une forme d’attaque très courante. En effet, les 10 principaux types d’attaques sur le web sont répertoriés (et mis à jour) sur ce site indépendant appelé OWASP. ici .
Tous les WAF dignes de ce nom protègent contre ces menaces.
En règle générale, un serveur d’applications web fait quelque chose ! Il accède peut-être à des données utiles et les présente à l’utilisateur d’une manière agréable et intelligente. Quoi qu’il en soit…
C’est peut-être assez évident, mais les données ont tendance à être stockées dans des bases de données sur des serveurs de base de données qui ont tendance à être plus profonds dans le réseau et donc plus difficiles à attaquer. Il est plus facile d’attaquer une application web publique dont vous savez qu’elle a accès aux données internes que vous recherchez.
L’installation d’un pare-feu applicatif peut contribuer à protéger vos applications web et, plus important encore, les données auxquelles l’application a accès.
En fait, ils peuvent non seulement contribuer à prévenir une attaque, mais aussi, dans bien des cas, à réduire les pertes de données en cas d’attaque réussie. (voir ici par exemple)
Avec l’imminence du GDPR, un WAF est désormais un élément essentiel d’une architecture de sécurité web. (Il est intéressant de noter qu’il est essentiel pour PCIDSS depuis un certain temps déjà).
Il n’y a donc aucune raison d’en acheter un, n’est-ce pas ?
Allons-y et achetons le plus gros WAF qui nous tombe sous la main ! Ce n’est pas une bonne idée.
Nombre d’entre eux sont coûteux et complexes, et une mauvaise mise en œuvre peut entraîner l’arrêt de l’application.
En effet, après avoir discuté avec quelques consultants en sécurité au sujet des leaders du marché, ils estiment que nombre d’entre eux sont configurés de manière non bloquante, ce qui signifie qu’ils ne bloquent pas une attaque, mais se contentent de la bloquer. observez-la et dites que vous en avez une ! Peut-être cela a-t-il été utilisé pour cocher les bonnes cases auparavant ?
Pourquoi ne sont-ils pas bloquants ? Tout simplement parce qu’ils sont trop complexes et que de nombreuses organisations n’ont pas les compétences nécessaires pour les configurer. Ils sont également à cheval sur plusieurs car ils ont tendance à se situer entre les équipes chargées des applications et celles chargées des réseaux.
Parfois, ils les configurent correctement au départ, puis une modification de l’application survient et le système se bloque, alors ils paniquent et deviennent non bloquants ou ajoutent des tas de règles à la liste blanche, de sorte que le système est aussi utile qu’une théière en chocolat. de règles à la liste blanche, ce qui la rend aussi utile qu’une théière en chocolat.
Leçon – N’achetez pas une voiture de F1 pour aller faire les courses (à moins que vous ne sachiez conduire une voiture de F1). Vous risquez de l’écraser ou de ne pas l’utiliser.
Notre discours – N’achetez pas notre WAF
surtout si vous avez besoin du produit le plus configurable du marché.
N’achetez pas notre WAF si vous êtes une grande entreprise avec un budget important et une équipe WAF. (BTW si vous êtes une entreprise, vérifiez que votre WAF est configuré pour ne pas bloquer 😉 ) Si ce n’est pas le cas, appelez-nous 🙂
Mais – Considérez notre WAF si vous avez besoin d’une protection à la pointe de l’industrie dans un format que vous pouvez comprendre, configurer, gérer et maintenir. format que vous pouvez comprendre, configurer, gérer et entretenir.
Pensez à notre WAF si vous avez des applications web disponibles en externe qui ont accès aux données des clients et que vous avez des obligations en vertu du GDPR pour protéger ces données.
Si vous n’en avez pas besoin, n’en achetez pas, mais si vous en avez besoin, achetez quelque chose qui fera le travail demandé à un niveau gérable par le temps d’organisation et les compétences disponibles.
Suivant Découvrez le WAF
Pour vous aider à en savoir plus sur le WAF, nous avons mis en place un environnement de test WAF complet comprenant un serveur d’applications, un WAF et un outil de simulation d’attaque.
Cet essai peut être réalisé en ligne en quelques minutes – vous pouvez alors jouer et, si vous vous sentez courageux, le diriger vers votre site public pour le tester.
Faites un essai routier ici
En savoir plus sur notre WAF WAF jetNEXUS
