Explorer
Acheter nos solutions
Explorer
Acheter nos solutions

Sécurité

Diagramme représentant le fonctionnement d'un pare-feu d'application web

Pare-feu d'application web (WAF)

Qu'est-ce qu'un pare-feu d'application web (WAF) ?

Un pare-feu d'application web, ou WAF, est un outil de sécurité qui protège vos applications web contre les menaces web courantes en surveillant, filtrant et bloquant les paquets de données.

Découvrir les options de déploiement Lire la présentation de la solution (PDF)

    Qu'est-ce qu'un pare-feu d'application web (WAF) ?

    Les pare-feu d'application web (WAF) constituent un mécanisme essentiel de sécurité pour les sites web, les applications mobiles et les API. Ils surveillent, filtrent et bloquent les paquets de données arrivant et sortant des applications web pour les protéger contre les menaces. Les WAF sont conçus (entraînés) pour détecter les flux de sécurité dangereux les plus fréquents dans le trafic web et pour vous en protéger. Ils sont donc essentiels pour les entreprises en ligne comme les commerçants, les banques, les établissements de santé et les réseaux sociaux, qui doivent éviter tout accès non autorisé aux données sensibles. Les WAF peuvent être déployés sous forme de solutions basées dans le réseau, dans le cloud ou sur l'hôte pour offrir une visibilité sur les données des applications au niveau de la couche applicative HTTP.

    Les applications web et mobiles et les API étant sujettes à des risques pour la sécurité qui peuvent perturber l'activité ou épuiser les ressources, les pare-feu d'application web sont conçus pour contrecarrer les exploits web habituels comme les robots malveillants. Les WAF vous protègent contre les menaces qui compromettent la disponibilité, la sécurité ou les ressources, notamment les attaques zero-day, les robots et les malwares.

    Comment fonctionne un WAF ?

    Un WAF inspecte les requêtes HTTP et applique des règles prédéfinies pour identifier le trafic malveillant. Il peut s'agir d'un logiciel, d'une appliance ou d'un service. Le WAF analyse les éléments suivants des conversations HTTP :

    • Requêtes GET : ces demandes récupèrent des données sur le serveur.
    • Requêtes POST : ces demandes envoient des données au serveur pour modifier son état.
    • Requêtes PUT : ces demandes envoient des données au serveur à des fins de mise à jour ou de création.
    • Requêtes DELETE : ces demandes visent à supprimer des données.

    Le WAF analyse également les en-têtes, les chaînes de requête et le corps des demandes HTTP à la recherche de signes malveillants. En cas de correspondance, le WAF bloque la requête et envoie une alerte à l'équipe de sécurité.

    Pourquoi la sécurité du WAF est-elle importante ?

    Les WAF sont essentiels pour la sécurité des entreprises en ligne. Ils protègent les données sensibles, empêchent les fuites, évitent l'injection de code malveillant dans le serveur et respectent les exigences de conformité comme la norme PCI DSS (Payment Card Industry Data Security Standard). Les entreprises ont de plus en plus recours à des applications web et des objets connectés, c'est pourquoi les hackers essaient de cibler leurs vulnérabilités. Intégrer un WAF avec d'autres outils de sécurité comme Cisco Duo 2FA et la protection Cisco contre les malwares vous assure une stratégie de défense robuste.

    Dans quelle mesure le WAF contribue-t-il à la sécurité des applications web ?

    De nombreuses applications sont créées en utilisant une combinaison de code open source, tiers et interne. Les WAF ajoutent une couche supplémentaire de sécurité au niveau des applications existantes ou mal conçues, afin d'améliorer les pratiques de conception sécurisée en bloquant les vecteurs d'attaque courants et en empêchant le trafic malveillant d'atteindre l'application. Vous trouverez ci-dessous une liste des atouts spécifiques des pare-feu d'application web.

    • Les WAF bloquent le trafic malveillant avant qu'il atteigne une application web, empêchant ainsi les violations de données et d'autres attaques.
    • Les WAF contribuent à protéger vos données sensibles, comme vos numéros de cartes bancaires et les informations personnelles identifiables de vos clients, contre tout accès non autorisé.
    • Les WAF respectent les exigences de conformité, comme la norme PCI DSS, en bloquant le trafic qui enfreint ces exigences.
    • Les WAF collaborent avec d'autres outils de sécurité, comme les systèmes de détection des intrusions (IDS), les systèmes de prévention des intrusions (IPS) et les pare-feu, pour créer une défense multicouche bien plus efficace pour empêcher les attaques.

    Quelle est la différence entre un WAF et d'autres outils ?

    Les pare-feu réseau gèrent les couches de niveau inférieur, alors que le pare-feu d'application web se concentre sur les couches de niveau supérieur où les applications web sont plus vulnérables. Le WAF est vital pour une sécurité robuste des applications.

    Quelle est la différence entre un WAF et un pare-feu réseau ?

    Les pare-feu réseau gèrent les couches de niveau inférieur, alors que le pare-feu d'application web se concentre sur les couches de niveau supérieur où les applications web sont plus vulnérables. Le WAF est vital pour une sécurité robuste des applications.

    Les applications web ont-elles besoin d'un pare-feu ?

    En positionnant un WAF devant les applications web, celles-ci sont protégées collectivement. Son efficacité contre des attaques comme le cross-site scripting et les attaques par injection est particulièrement intéressante.

    Quelle est la relation entre le protocole HTTP et le WAF ?

    Le WAF intervient pour analyser des requêtes légitimes et lutter contre des attaques comme les injections, le cross-site scripting, les innondations HTTP et Slowloris, pour assurer des interactions web plus sûres.

    Quelles sont les différences entre un WAF, un système de prévention des intrusions (IPS) et un pare-feu de nouvelle génération ?

    Voici les différences basiques entre un WAF, un IPS et un pare-feu de nouvelle génération. Un système IPS s'appuie sur les signatures et a une portée plus large, agissant au niveau des couches 3 et 4, tandis qu'un WAF n'opère qu'au niveau de la couche applicative (couche 7). Un WAF protège les applications web en analysant chaque requête HTTP et les WAF classiques autorisent des actions en fonction des politiques de sécurité. Les pare-feu de nouvelle génération sont des pare-feu avancés qui intègrent des fonctionnalités IPS et de couche applicative.

    Comment protéger votre environnement

    Produit

    Pare-feu d'application web (WAF) Cisco Secure

    Protégez votre présence en ligne et assurez la sécurité et la disponibilité continue des sites web, des applications mobiles et des API.

    Découvrez notre WAF avancé (PDF)

    Produit

    Cisco Secure Firewall

    Bloquez les menaces modernes et assurez la sécurité du réseau en temps réel grâce à un contrôle d'accès unifié de toutes les applications.

    Découvrez nos pare-feu de nouvelle génération

    Produit

    Cisco Secure Firewall Management Center

    Gérez des centaines de pare-feu, contrôlez les politiques et bloquez des malwares depuis un tableau de bord unique.

    Centralisez la gestion du pare-feu

    Comment un WAF vous protège-t-il contre les vulnérabilités ?

    Un WAF vous protège contre les principales vulnérabilités, notamment les diverses formes de robots. Les hackers utilisent des robots malveillants pour cibler des applications et des données, notamment le piratage de compte, l'extraction de données et les attaques par déni de service. Face à l'avènement des API, les attaques de robots ciblant les API se répandent et les méthodes classiques de riposte ne parviennent souvent pas à les contrer. Combattre ces menaces exige une approche de cybersécurité mixte qui intègre un WAF, la vérification des empreintes digitales des équipements, l'analyse comportementale, des informations sur les robots et une protection dédiée des API. Un WAF efficace englobe des systèmes de détection des robots qui proposent des fonctionnalités de Deep Learning pour détecter les robots qui s'adaptent pour échapper aux systèmes de sécurité basiques. Il est crucial de contrecarrer les robots malveillants grâce à votre solution de protection WAF.

    Vous trouverez ci-dessous certaines des principales vulnérabilités du WAF et les tactiques de défense correspondantes proposées par le WAF avancé Cisco et la technologie de protection contre les robots.

    Catégorie d'attaqueExplication de l'attaque/du risqueTechnologie de protection du WAF
    Authentification interrompue de l'utilisateur

    Les mécanismes d'authentification faibles acceptent des accès non autorisés. Les hackers peuvent exploiter cette vulnérabilité pour contourner les écrans de connexion et compromettre les comptes d'utilisateurs.

    On peut citer, par exemple, un accès non autorisé à des API, et des attaques reposant sur l'adresse IP, le jeton, le rôle et le client.

    • Protection des jetons
    Exposition excessive des données

    Lorsque vous stockez, transmettez ou divulguez des informations sensibles de manière inappropriée, celles-ci sont vulnérables. Les hackers peuvent accéder à des données confidentielles, ce qui peut créer des failles en matière de confidentialité.

    On peut citer, par exemple, la lecture des empreintes digitales de l'environnement, les erreurs serveur internes 5XX et les en-têtes de réponses HTTP.

    • Dissimulation des données
    • Remplacement des messages 500
    Mauvaises configurations de sécurité

    Les paramètres, les autorisations ou les valeurs par défaut mal configurés créent des failles de sécurité. Les hackers peuvent exploiter ces failles pour profiter d'un accès non autorisé ou prendre le contrôle.

    On peut citer, par exemple, les configurations incomplètes ou ponctuelles, les en-têtes HTTP mal configurés et les méthodes HTTP inutiles.

    • Dissimulation des données
    • Remplacement des messages 500
    • Apprentissage automatique
    Contrôle d'accès interrompu

    Le contrôle d'accès interrompu permet aux utilisateurs non autorisés d'accéder à des ressources restreintes. Les hackers exploitent cette vulnérabilité pour obtenir des privilèges non autorisés.

    On peut citer, par exemple, un accès non autorisé à des API, des attaques reposant sur l'adresse IP, le jeton, le rôle et le client, et un accès à des API restreintes.

    • Adresse IP de validation du catalogue d'API et politiques GEO
    Injection / cross-site scripting (XSS)

    Les attaques par injection exploitent les entrées vulnérables. Les hackers insèrent du code malveillant dans les systèmes pour obtenir un accès non autorisé ou manipuler des données en exécutant des commandes inattendues. Les vulnérabilités XSS permettent aux hackers d'injecter des scripts malveillants dans des applications web. Ces scripts s'exécutent dans les navigateurs des utilisateurs, compromettant leurs données ou leurs sessions.

    On peut citer, par exemple, les injections SQL, XSS, l'injection de commandes et la traversée de répertoires.

    • Modèle de sécurité positif
    • Modèle de sécurité négatif
    • Validation du catalogue d'API

     

    Est-ce que les WAF vous protègent contre les menaces connues et émergentes ?

    De nouvelles règles et signatures sont constamment ajoutées aux WAF pour vous protéger contre des menaces de sécurité connues et émergentes via diverses techniques permettant de détecter et de bloquer le trafic malveillant, notamment :

    • Détection basée sur la signature : cette technique utilise des règles prédéfinies pour identifier le trafic malveillant qui correspond à des attaques connues.
    • Détection basée sur des anomalies : cette technique identifie le trafic malveillant qui ne se conforme pas aux comportements normaux.
    • Apprentissage automatique : cette technique utilise l'intelligence artificielle pour identifier le trafic malveillant encore inconnu.

    Comment les WAF empêchent-ils les principales vulnérabilités de l'OWASP ?

    Les WAF peuvent empêcher les principales vulnérabilités de l'OWASP (Open Worldwide Application Security Project), comme l'injection SQL et le cross-site scripting (XSS) en bloquant le trafic malveillant qui essaie d'exploiter ces vulnérabilités. Par exemple, un WAF peut bloquer les attaques par injection SQL en filtrant les requêtes qui contiennent du code SQL malveillant. De plus, un WAF peut bloquer les attaques XSS en filtrant les requêtes qui contiennent du code JavaScript malveillant.

    Consulter les 10 principales menaces de l'OWASP

    Quels sont les différents types de déploiements du WAF ? Avec des exemples ?

    Voici plusieurs options de déploiement du WAF qui intègrent le WAF dans l'infrastructure de cybersécurité de l'entreprise basée dans le cloud.

    Dans le cloud

    C'est l'option de déploiement la plus récente, où le service de pare-feu d'application web est hébergé dans le cloud et proposé contre un abonnement.

    AWS cloud

    Optimal pour les entreprises qui disposent de ressources de sécurité internes limitées. Profitez d'un déploiement simple et d'une sécurité WAF gérée par un tiers sur AWS, pour vous concentrer sur les activités principales.

    Lire le guide de conception Cisco Secure Cloud pour AWS (PDF)

    Azure cloud

    Une solution de sécurité cloud groupée. Déployez rapidement des politiques de sécurité à moindre coût en profitant en toute simplicité des bénéfices de la protection du WAF.

    Lire le guide de conception Cisco Secure Cloud pour Azure (PDF)

    WAF Kubernetes basé dans le cloud

    Profitez d'une sécurité des applications évolutive pour les environnements CI/CD (intégration continue/déploiement continu), le tout orchestré par Kubernetes.

    Sur site

    C'est l'option classique de déploiement, où l'appliance WAF virtuelle ou matérielle est installée sur site dans le data center de l'entreprise. Cette option convient aux entreprises qui exigent de la flexibilité, de hautes performances et une sécurité avancée.

    Hybride

    C'est une combinaison des options de déploiement sur site et dans le cloud, où l'appliance WAF est installée sur site et le service cloud vient la compléter.