Explorer Cisco
Comment acheter

Sécurité

diagramme illustrant le fonctionnement d’un pare-feu d’application Web

Pare-feu d’application Web (WAF)

Qu’est-ce qu’un WAF?

Un pare-feu d’application Web, ou WAF, est un outil de sécurité qui protège les applications Web contre les menaces Web courantes en surveillant, en filtrant et en bloquant les paquets des données.

Voir les options de déploiement Consultez la fiche solution (PDF)

    Qu’est-ce qu’un WAF?

    Les pare-feu d’application Web (WAF) sont une solution essentielle de la sécurité des sites Web, des applications mobiles et des API. Les WAF surveillent, filtrent et bloquent les paquets de données en provenance et à destination des applications Web, les protégeant des menaces. Ils sont conçus (entraînés) pour détecter les failles de sécurité sérieuses les plus courantes du trafic Web et pour offrir une protection contre elles. Ils sont essentiels au commerce en ligne (détaillants, banques, réseau de la santé, médias sociaux), car les données sensibles se doivent d’être protégées contre tout accès non autorisé. Les WAF peuvent être déployés en tant que solutions réseau, en nuage ou sur un hôte et offrent une visibilité aux données des applications de la couche applicative HTTP.

    Compte tenu de la vulnérabilité des applications Web, des applications mobiles et des API aux risques relatifs à la sécurité pouvant perturber les opérations ou épuiser les ressources, les WAF sont conçus pour empêcher l’exploitation Web courante, comme le recours à des robots malveillants. Les WAF offrent une protection contre les menaces qui compromettent la disponibilité, la sécurité ou les ressources, y compris l’exploit de jour zéro, les robots et les logiciels malveillants.

    Comment le WAF fonctionne-t-il?

    Un pare-feu inspecte les demandes du protocole HTTP et applique les règles prédéfinies afin de détecter le trafic malveillant. Il peut s’agir d’un logiciel, d’un appareil ou d’un service. Le WAF analyse les éléments clés suivants d’une conversation HTTP :

    • Demandes GET : Ces demandes récupèrent les données du serveur.
    • Demandes POST : Ces demandes envoient des données au serveur afin d’en changer l’état.
    • Demandes PUT : Ces demandes envoient des données au serveur afin de les mettre à jour ou de les créer.
    • Demandes DELETE : Ces demandes servent à supprimer des données.

    Le WAF analyse également les en-têtes, les chaînes de requête et le corps des demandes HTTP en quête d’un indice d’attaque. Si le WAF trouve une correspondance, il bloquera la demande et enverra une alerte à l’équipe chargée de la sécurité.

    Pourquoi la sécurité d’un WAF est-elle importante?

    Les WAF sont cruciaux pour la sécurité des entreprises en ligne. Ils protègent les données sensibles, préviennent les fuites, empêchent un code malveillant d’infiltrer le serveur, et remplissent les exigences de conformité comme la norme PCIDSS (Payment Card Industry Data Security Standard). Les organisations utilisent de plus en plus les applications Web et les appareils de l’IDO, tandis que les agresseurs essaient de cibler leurs vulnérabilités. L’intégration d’un WAF à un autre outil de sécurité, comme Cisco Duo 2FA et la protection de Cisco contre les logiciels malveillants, forme une stratégie de défense robuste.

    Comment un WAF contribue-t-il à la sécurité des applications Web?

    Aujourd’hui, bien des applications combinent un code maison, un code tiers et un code source libre. Les WAF ajoutent une couche de sécurité aux applications existantes ou à celles qui sont conçues de façon inappropriée. De plus, ils permettent de rehausser les pratiques de conception sécurisées en bloquant les vecteurs d’attaque courants et en empêchant le trafic malveillant de se rendre à l’application. Une liste des avantages propres aux WAF est fournie ci-dessous.

    • Les WAF peuvent bloquer le trafic malveillant avant qu’il atteigne une application Web, empêchant ainsi une violation des données et d’autres attaques.
    • Les WAF peuvent aider à protéger d’un accès non autorisé les données sensibles, comme les numéros de cartes de crédit et les renseignements permettant d’identifier une personne.
    • Les WAF peuvent contribuer au respect des exigences de conformité, comme la norme PCI-DSS, en bloquant le trafic qui enfreint ces exigences.
    • Les WAF peuvent travailler conjointement avec d’autres outils de sécurité, comme le système de détection des intrusions (IDS), le système de prévention des intrusions (IPS) et les autres pare-feu, afin de créer une défense par couches qui empêche plus efficacement les attaques.

    Quelle est la différence entre un WAF et les autres outils?

    Tandis que les pare-feu réseau gèrent les couches inférieures, le WAF, lui, est axé sur les couches supérieures, où les applications Web sont plus vulnérables. Le WAF est vital pour bien protéger les applications.

    Quelle est la différence entre un WAF et un pare-feu réseau?

    Tandis que les pare-feu réseau gèrent les couches inférieures, le WAF, lui, est axé sur les couches supérieures, où les applications Web sont plus vulnérables. Le WAF est vital pour bien protéger les applications.

    Les applications Web nécessitent-elles un pare-feu?

    En plaçant le WAF devant les applications Web, celui-ci les protège collectivement. Son efficacité contre les attaques, comme une attaque par injection ou une attaque sur les éléments dynamiques, constitue une fonction importante.

    Comment le protocole HTTP est-il lié au WAF?

    Le WAF intervient en examinant les demandes légitimes, contrecarrant les attaques comme les attaques par injection, les attaques sur les éléments dynamiques, les inondations HTTP et les attaques Slowloris, rehaussant la sécurité des interactions sur le Web.

    Quelles sont les différences entre le WAF, l’IPS et le NGFW?

    Voici les principales différences entre un WAF, un IPS et un pare-feu de prochaine génération (NGFW). Tandis que l’IPS, qui repose sur une signature et a une portée élargie, agit sur les couches 3 et 4, un WAF s’exécute quant à lui sur la couche applicative 7. Un WAF protège les applications Web en analysant chaque demande HTTP, et un WAF traditionnel garantit des actions basées sur des politiques de sécurité. Les NGFW sont des pare-feu avancés qui sont intégrés à l’IPS et aux capacités de la couche applicative.

    Comment protéger votre environnement

    Produit

    Pare-feu d’application Web (WAF) Cisco Secure

    Défendez votre présence en ligne et faites en sorte que le site Web, les applications mobiles et les API sont sécurisées, protégées et « toujours en fonction ».

    Découvrez notre WAF avancé (PDF)

    Produit

    Cisco Secure Firewall

    Bloquez les menaces modernes et obtenez une sécurité réseau en temps réel, avec un contrôle d’accès unifié dans l’ensemble des applications.

    Explorez notre pare-feu de nouvelle génération

    Produit

    Cisco Secure Firewall Management Center

    Gérez des centaines de pare-feu, contrôlez les politiques et bloquez les logiciels malveillants à partir d’un seul tableau de bord.

    Centralisez la gestion du pare-feu

    En quoi consiste la protection du WAF contre les vulnérabilités?

    Un WAF protège contre une liste de grandes vulnérabilités, y compris diverses formes de robots. Les adversaires emploient des robots malveillants pour cibler les applications et les données, notamment la prise de contrôle du compte, la suppression des données et les attaques par déni de service. Vu l’utilisation croissante des API, les attaques par robot sur les API augmentent également, et les mesures d’atténuation traditionnelles échouent bien souvent à bloquer les tactiques avancées des robots. Pour combattre ces menaces, il faut une approche de cybersécurité combinée qui intègre le WAF à la protection d’un appareil par empreinte digitale, par analyse comportementale, par intelligence robot, et par API dédiée. Un WAF efficace devrait comprendre des systèmes de détection de robot qui possède des capacités d’apprentissage profond afin de reconnaître les robots évolutifs qui s’adaptent pour échapper aux systèmes de sécurité de base. Il est primordial d’utiliser votre protection WAF pour déjouer les mauvais robots.

    Vous trouverez ci-dessous certaines grandes vulnérabilités du WAF et les tactiques de défense correspondantes fournies par le WAF avancé de Cisco et la technologie de protection contre les robots.

    Catégorie de l’attaqueExplication d’une attaque ou d’un risqueTechnologie de protection WAF
    Authentification de l’utilisateur défaillante

    Les mécanismes d’authentification faibles peuvent donner lieu à des accès non autorisés. Les agresseurs peuvent exploiter cette vulnérabilité pour contourner les pages de connexion et compromettre les comptes de l’utilisateur.

    En exemples, citons l’accès non autorisé aux API, aux adresses IP, aux jetons et aux rôles, et les attaques basées sur le client.

    • Protection des jetons
    Exposition exagérée des données

    Si des renseignements sensibles sont stockés, transmis ou divulgués de façon inappropriée, ils deviennent donc vulnérables. Les agresseurs peuvent accéder aux données confidentielles, provoquant des atteintes à la confidentialité.

    En exemples, mentionnons l’utilisation de l’empreinte digitale, les erreurs de serveur interne 5XX, et les en-têtes de réponse HTTP.

    • Masquage des données
    • Remplacement de 500 messages
    Mauvaises configurations de la sécurité

    Les valeurs par défaut, les permissions ou les paramètres incorrectement configurés entraînent des failles de sécurité. Les agresseurs peuvent exploiter ces failles pour se prévaloir d’un accès ou d’un contrôle non autorisé.

    Par exemple, il y a les configurations incomplètes ou ponctuelles, les en-têtes HTTP mal configurés, et les méthodes inutiles du protocole HTTP.

    • Masquage des données
    • Remplacement de 500 messages
    • Apprentissage automatique
    Contrôle d’accès défaillant

    Le contrôle d’accès défaillant permet aux utilisateurs non autorisés d’accéder à des ressources limitées. Les agresseurs exploitent cette vulnérabilité afin d’obtenir des privilèges non autorisés.

    En exemples, citons l’accès non autorisé aux API, aux adresses IP, aux jetons et aux rôles, les attaques basées sur le client et l’accès à des API limitées.

    • Politiques GEO et IP pour la validation du catalogue d’API
    Attaques par injection / sur les éléments dynamiques (XSS)

    Les attaques par injection exploitent les entrées vulnérables. Les agresseurs introduisent un code malveillant dans les systèmes, obtenant alors un accès non autorisé ou manipulant les données en exécutant des commandes non intentionnelles. Les vulnérabilités XSS permettent aux attaqueurs d’injecter des scripts malveillants dans les applications Web. Ces scripts s’exécutent dans les navigateurs des utilisateurs, compromettant les données ou les sessions.

    Comme exemples, mentionnons les injections SQL, les attaques XSS, l’injection de commandes, et la traversée de répertoire.

    • Modèle de sécurité positif
    • Modèle de sécurité négatif
    • La validation du catalogue d’API

     

    Les WAF protègent-ils contre les menaces connues et émergentes?

    Les WAF sont constamment mis à jour selon les nouvelles règles et signatures afin d’offrir une protection contre les menaces de sécurité connues et émergentes au moyen de diverses techniques servant à détecter et à bloquer le trafic malveillant, notamment ce qui suit :

    • Détection basée sur une signature : Cette technique utilise des règles prédéfinies pour repérer le trafic malveillant qui correspond aux modèles d’attaque connus.
    • Détection basée sur les anomalies : Cette technique repère le trafic malveillant qui ne se conforme pas aux modèles de comportements normaux.
    • Apprentissage automatique : Cette technique utilise l’intelligence artificielle pour repérer le trafic malveillant qui est toujours inconnu.

    Comment les WAF empêchent-ils les grandes vulnérabilités de l’Open Web Application Security Project (OWASP)?

    Les WAF peuvent contribuer à empêcher les grandes vulnérabilités de l’OWASP, comme les attaques par injection SQL et les attaques sur les éléments dynamiques (XSS), en bloquant le trafic malveillant qui tente d’exploiter ces vulnérabilités. Par exemple, un WAF peut bloquer une attaque par injection SQL en filtrant les demandes qui contiennent un code SQL malveillant. Un WAF peut également bloquer une attaque XSS en filtrant les demandes qui contiennent un code JavaScript malveillant.

    Voir les 10 principales menaces de l’OWASP

    Quels sont les différents types de déploiements WAF et quels seraient des exemples possibles?

    Voici plusieurs options de déploiements WAF qui introduisent les WAF dans une infrastructure de cybersécurité organisationnelle en nuage.

    Déploiement en nuage

    Il s’agit d’une nouvelle option de déploiement. Le service WAF est hébergé dans le nuage et livré sous forme d’abonnement.

    AWS en nuage

    La solution optimale pour les organisations ayant des ressources de sécurité limitées à l’interne. Profitez d’un déploiement sans tracas. La sécurité du WAF est ici gérée par un tiers sur AWS, ce qui vous permet alors de vous concentrer sur vos activités essentielles.

    Lire le document Secure Cloud for AWS Design Guide (PDF)

    Azure en nuage

    Une solution regroupée de sécurité en nuage. Déployez rapidement et de façon rentable les politiques de sécurité pour profiter des avantages de la protection du WAF sans complexités.

    Lire le document Secure Cloud for Azure Design Guide (PDF)

    WAF Kubernetes en nuage

    Kubernetes s’occupe d’orchestrer la sécurité des applications évolutive pour les environnements d’intégration, d’exécution et de déploiement continus (CI/CD).

    Déploiement sur site

    Il s’agit de l’option de déploiement traditionnelle, où l’appareil matériel ou virtuel du WAF est installé sur place, dans le centre de données de l’organisation. C’est ce type qui convient aux organisations exigeant de la souplesse, un rendement élevé et une sécurité avancée.

    Déploiement hybride

    Il s’agit d’une combinaison des options de déploiement en nuage et sur site. L’appareil du WAF est installé sur site et le service en nuage est utilisé en complément.