Qu’est-ce qu’un WAF ? | Le pare-feu applicatif Web expliqué

Un WAF est une protection du protocole de la couche 7 (dans le modèle OSI) et n’est pas conçu pour défendre contre tous les types d’attaques. Cette méthode d’atténuation des attaques fait généralement partie d’une suite d’outils qui forment une défense holistique contre une variété de vecteurs d’attaque.

En déployant un WAF devant une application web, un bouclier est placé entre l’application web et Internet. Un serveur proxy protège l’identité d’une machine client en utilisant un intermédiaire ; un WAF est un type de proxy inversé qui protège le serveur en faisant passer les clients par le WAF avant d’atteindre le serveur.

Un WAF fonctionne à travers un ensemble de règles souvent appelées politiques. Ces politiques visent à se protéger des vulnérabilités dans l’application en filtrant le trafic malveillant. La valeur d’un WAF provient en partie de la rapidité et de la facilité avec laquelle la modification de politique peut être appliquée, permettant une réponse plus rapide aux différents vecteurs d’attaque. Lors d’une attaque DDoS, le mécanisme de limitation du taux peut être rapidement activé en modifiant les politiques du WAF.

Quelle est la différence entre les WAF basés sur une « liste bloquée » et sur une « liste autorisée » ?

Un WAF qui fonctionne en se basant sur une liste bloquée (modèle de sécurité négative) protège contre les attaques connues. On peut comparer un WAF basé sur une liste bloquée à un videur de discothèque chargé de refuser l’accès aux clients qui ne respectent pas le code vestimentaire. À l’inverse, un WAF basé sur une liste autorisée (modèle de sécurité positive) ne laisse entrer que le trafic préalablement approuvé. On peut le comparer à un agent de sécurité à l’entrée d’une soirée privée qui ne laisse entrer que les personnes qui sont sur la liste. Les listes bloquées et approuvées ont des avantages et des inconvénients, c’est pourquoi de nombreux WAF offrent un modèle de sécurité hybride qui utilise les deux listes.

Que sont les WAF basés sur le réseau, sur l’hôte et sur le cloud ?

Un WAF peut être mis en place de trois façons différentes, chacune ayant ses propres avantages et inconvénients :

• Un WAF basé sur le réseau est généralement matériel. Installés au niveau local, les WAF basés sur le réseau réduisent la latence mais représentent l’option la plus coûteuse. Ils nécessitent de l’espace et la maintenance des équipements physiques.
• Un WAF basé sur l’hôte peut être entièrement intégré dans le logiciel d’une application. Cette solution est moins coûteuse qu’un WAF basé sur le réseau et offre plus de possibilités de personnalisation. L’inconvénient d’un WAF basé sur l’hôte est la consommation des ressources du serveur local, la complexité de la mise en œuvre et les coûts de maintenance. Ces composants nécessitent généralement du temps d’ingénierie et peuvent s’avérer coûteux.
• Les WAF basés sur le cloud offrent une alternative abordable et très facile à mettre en œuvre ; généralement, ils proposent une installation clé en main aussi simple qu’un changement de DNS pour rediriger le trafic. Les WAF basés sur le cloud ont également un coût initial minimal, car les utilisateurs paient tous les mois ou tous les ans pour la sécurité en tant que service. Les WAF basés sur le cloud peuvent également offrir une solution continuellement mise à jour pour se protéger contre les menaces les plus récentes sans aucun travail ni coût supplémentaire pour l’utilisateur. L’inconvénient d’un WAF basé sur le cloud tient au fait que les utilisateurs transfèrent la responsabilité à un tiers, par conséquent, certaines de ses fonctionnalités peuvent constituer une zone noire pour eux. (Un WAF basé sur le cloud est un type de pare-feu cloud ; en savoir plus sur les pare-feux cloud.)

Découvrez la solution WAF basée sur le cloud de Cloudflare.