Un pare-feu d’application Web (WAF) est un service de sécurité qui se trouve entre votre application Web et votre utilisateur. Les WAF sont conçus pour détecter et bloquer les attaques courantes d’applications Web avant qu’elles ne se rendent sur votre site. Souvent, les WAF peuvent même bloquer des exploits que nous ne connaissons pas encore! Dans cet article, nous parlerons des différents types de WAF et nous vous donnerons quelques options pour les mettre en œuvre.
L’ajout d’un WAF est assez simple, mais il est utile de savoir où le WAF s’intègre à votre application et à votre réseau. Il existe trois façons générales de mettre en œuvre un WAF, et chaque méthode a ses avantages et ses inconvénients.
Logiciel WAF basé sur serveur (méthode 1)
Dans cette méthode, le logiciel WAF est installé sur votre serveur d'applications. Lorsqu'un utilisateur fait une demande à votre serveur d'applications, la demande est d'abord filtrée par le WAF, puis transmise à l'application. Bien qu’il s’agisse de l’une des configurations les plus faciles, elle permet également au mauvais trafic d’entrer dans le réseau ET votre serveur d’applications avant d’être filtré.
Plateforme de tiers WAF (méthode 2)
Dans cette méthode, tout le trafic est acheminé par un WAF tiers. Lorsque l’utilisateur se connecte à votre site, il se connecte sans le savoir à un autre réseau sécurisé où son trafic est filtré en premier. Ensuite, un bon trafic est transmis à votre réseau et à votre application Web. Cela nécessite une relation de confiance entre vous et votre fournisseur de WAF, mais c’est souvent la méthode la plus robuste et la plus sécurisée pour le déploiement de WAF.
Appareil local (méthode 3)
Pour les infrastructures plus compliquées, ou pour les organisations ayant des exigences particulières, un appareil local peut être utilisé pour exécuter des fonctions WAF séparées de l’application Web. Dans ce cas, le trafic est d’abord acheminé vers un autre serveur de votre réseau qui exécute la fonctionnalité WAF, puis il est envoyé à votre application Web. Il s’agit souvent de solutions d’entreprise coûteuses, mais elles offrent également généralement beaucoup d’autres fonctionnalités de réseautage (p. ex., équilibrage de charge).
Conseils techniques
-
Quelle que soit la solution que vous choisissez, assurez-vous que le trafic ne peut pas circuler autour de votre WAF et directement à l’adresse IP de votre serveur. Consultez votre fournisseur WAF pour obtenir des détails sur la façon de vous assurer que vous avez configuré cela correctement.
-
Comme pour tout produit de sécurité, assurez-vous de tester votre site Web! Un WAF bloquera la mauvaise circulation, mais parfois même une bonne circulation peut sembler mauvaise. Ce processus est appelé « réglage » de votre WAF et est essentiel pour s’assurer que votre WAF ne bloque pas le trafic légitime.
Recommandations
Les solutions les plus souvent recommandées pour nos clients sont la méthode 2 - 3 WAF plateforme tierce. Ces solutions sont faciles à configurer et à intégrer dans votre environnement, et offrent souvent quelques avantages accessoires, comme la protection anti-DDoS et les mises à jour continues. Nous recommandons généralement Cloudflare pour les attaques DDoS et WAF, mais Sucuri est également une bonne solution pour beaucoup.
Pour en savoir plus sur ce sujet, veuillez communiquer avec nous; nous sommes là pour vous aider!