La protection d’un site ou application web est devenue absolument indispensable pour trois raisons majeures :
- La fréquence et le caractère systématique des attaques qui n’épargnent aucun site ;
- La richesse fonctionnelle toujours plus grande des sites qui stockent beaucoup d’informations sur les internautes ;
- La pression du marché pour un web sécurisé comme en témoigne l’affichage durci par Google des sites non protégés par un certificat SSL.
Une Web Application Firewall WAF, ou firewall applicatif, est une solution qui apporte de nombreux outils complémentaire à un firewall réseau pour sécuriser un site web :
- Un filtrage applicatif pour sécuriser votre site contre les attaques applicatives comme les injections SQL, le cross site scripting et de nombreuses autres attaques répertoriées.
- Un load balancing et de l’offloading SSL pour améliorer la performance et les temps de réponse de votre site.
On parle également d’UTM, « Unified threat management », quand on combine le WAF avec les fonctions suivantes :
- Un firewall réseau très complet pour sécuriser le serveur qui héberge le site ;
- Une prévention DDOS et IPS pour bloquer le trafic illégitime.
Filtrage applicatif WAF
Par rapport à un firewall réseau, le pare-feu applicatif ajoute un niveau supplémentaire de sécurité en bloquant en amont les requêtes illégitimes non traitées par les fonctions de filtrage réseau. Les règles de protection contre les comportement illégitimes peuvent être déployées en quelques clics sur vos sites web, sans avoir à être un expert :
- blocage du trafic de sources avec une mauvaise réputation,
- protection contre les injections SQL, cross site scripting ou XSS,
- blocage des types de comportement considérés comme des attaques (chaque fournisseur met à jour une liste très complètes des attaques avancées répertoriées),
- analyse du comportement utilisateur pour écarter les comportements jugés dangereux,
- application de « liste noire » ou « liste blanche », pour par exemple n’autoriser l’accès à une page qu’à un utilisateur qui s’est déjà identifié et dispose d’un cookie,
- analyse préliminaire d’un fichier envoyé sur l’application web, afin de filtrer les fichiers jugés malveillants avant même qu’ils ne soient chargés sur les serveurs applicatifs.
Ce trafic et ces requêtes sont bloqués en amont de vos serveurs web, qui sont alors ainsi véritablement protégés.
Le WAF permet ainsi de compléter les sécurités de l’applicatif sans avoir à intervenir sur le code. Il est à noter qu’il est souvent plus simple et rapide de mettre à jour les règles du WAF que de maintenir et de tenir parfaitement à jour ses composants applicatifs.
Load balancing et offloading SSL
Un WAF intègre également des fonctionnalités dont votre site aura rapidement besoin dès que lors que son trafic devient conséquent. Avec un seul outil, vous pouvez ainsi configurer complètement votre architecture:
- Load-balancing: le WAF comporte des règles de load-balancing que vous pourrez déployer en amont de vos serveurs web afin de gérer de manière optimum la répartition de votre trafic.
- Offloading SSL: déchargez vos serveurs web du travail de chiffrement et déchiffrement SSL en déployant votre certificat sur le WAF.
L’UTM : une solution tout en un performante et économique
Un UTM va plus loin encore en combinant des fonctions de WAF avec le rôle de Firewall réseau et de protection Ddos/IPS et bien souvent d’autres fonctionnalités que nous ne développerons pas ici.
Un firewall réseau très complet
Les UTM du marché intègrent des fonctions étendues de firewall réseau qui permettent de :
- gérer très simplement vos règles de filtrage réseau avec une interface riche permettant de croiser les sources, les services et les destinations ;
- réduire votre zone d’exposition et exclure certains pays ou zones géographiques avec lesquelles vous ne travaillez pas et dont les attaques proviennent régulièrement ;
- déployer des accès VPN sécurisés (IPsec, SSL…). Le choix des technologies et protocoles supportés est très large.
Prévention Ddos et IPS
L’UTM intègre des profils de comportements illégitimes et d’attaques répertoriés que vous pouvez bloquer en activant cette protection. Les fournisseurs d’UTM actualisent en permanence ces profils, vous permettant ainsi de bénéficier de l’expérience collectée sur l’ensemble du trafic qu’ils protègent. Vous pouvez également personnaliser vos règles selon le profil de vos serveurs. Ainsi, votre application sera protégée en amont des attaques massives.
WAF et UTM sont conçus pour traiter l’ensemble de ces fonctionnalités sur un volume de trafic considérable. Ils sont scalables pour accompagner la croissance de votre activité.
Le WAF est devenu incontournable
Pour un site présentant un trafic déjà substantiel, avec une marque et une visibilité forte, a fortiori pour site e-commerce, le WAF devient rapidement indispensable. Bien souvent, l’écart pour passer sur un UTM n’est pas très élevé et apporte un complément de protection sur une seule solution intégrée.
Nous préconisons souvent à nos clients, pour des sites de plus de 100.000 visites/mois, la solution SG-UTM de Sophos qui est un standard du marché et propose un WAF/UTM de milieu de gamme très performant, tout en restant abordable et simple à configurer. Si l’on prend en compte l’ensemble des rôles assurés, cette solution tout en un est bien plus compétitive que la combinaison de différents services ajoutés au fil du temps, sans compter la simplicité d’une interface centralisée et les pertes en temps et en chiffre d’affaires évitées lors des gestion d’incident.
En savoir plus sur nos solutions d’hébergement web et en particulier l’hébergement sécurisé des sites web.