Une réponse adaptée pour la protection des applications Web

AVIS D’EXPERT – 11/05/2015
WAF – Sécurité applicative web
Xavier Ximelette, Ingénieur chez l’intégrateur Interdata,
spécialisé dans les solutions : Sécurité Firewall, firewall next generation,
Web Application Firewall
Une réponse adaptée pour la protection des applications Web
Dans un monde ultra connecté et en perpétuelle évolution, les applications Web sont devenues
incontournables pour le business et le fonctionnement des entreprises. Aujourd’hui un navigateur
Web permet d’accéder à des outils collaboratifs et de messagerie, des sites web d’e-Commerce ou eBanking ou encore à des applications métiers plus spécifiques telles que les ERP ou CRM.
Avec le développement de la mobilité (smartphones, PC portables), des technologies Web2.0 et du
SaaS (Software As A Service) la diversité des applications ainsi que le nombre d’accès à celles-ci se
sont accrus de manière exponentielle. Les applications Web sont donc en première ligne lors d’une
cyberguerre et représentent souvent le maillon faible du système de défense de l’infrastructure IT.
Un grand nombre d’entre elles peuvent être vulnérables à de nombreuses menaces connues ou non
connues (Zero Day) qui sont en permanence testées par les hackers à la recherche de faiblesses à
exploiter.
Ces activités malveillantes peuvent avoir des impacts métiers conséquents allant de la paralysie
partielle ou complète d’une activité à la modification ou l’exfiltration d’informations confidentielles.
Plus concrètement ces attaques peuvent se traduire par une défiguration de site Internet perturbant
son fonctionnement et détériorant l’image de l’entreprise ou encore à un accès illégal au logiciel de
comptabilité afin d’extraire des informations bancaires. Phenom Institute évalue le coût moyen
d’une cyberattaque réussie pour une entreprise française à environ 6,4 millions de dollars (2014
Global Report on the Cost of Cyber Crime).
Au cours de ces dernières années, la communauté OWASP (Open Web Application Security Projet)
qui travaille sur la sécurité des applications Web, constate une augmentation constante du nombre
d’attaques avec l’apparition de techniques de plus en plus sophistiquées.
Ces cyber-attaques utilisent des techniques diverses telles que l’injection de code malveillant SQL ou
LDAP pour duper l’interpréteur afin de l’amener à exécuter des
commandes fortuites ou d’accéder à des données non autorisées (ajout
du compte ou supprimer un mot de passe). Une autre méthode
fréquemment utilisée est le Cross-Site-Script (XSS) réalisable lorsque
qu’une application accepte des données non fiables et les envoie à un
navigateur web sans vérification, ceci dans le but d’exécuter des scripts
dans le navigateur de la victime pour, par exemple, voler la session d’un utilisateur pour une
réutilisation, altérer des sites web ou rediriger l’utilisateur vers un site malveillant voire introduire
des vers.
De façon plus globale ces menaces évoluent dans le temps et sont inhérentes au développement de
l’application Web, aux vulnérabilités protocolaires connues ou inconnues ou encore à de mauvaises
configurations de sécurité.
Fort de ce constat, il devient indispensable d’implémenter des outils capables de protéger les
applications Web internes et publiques contre ces cyber-menaces, choses que ne sont pas capables
de faire les pare-feux et IPS classiques. Le pare-feu applicatif Web (WAF) est la réponse adaptée pour
ce type risque.
Le firewall applicatif Web fournit une couche de contrôle de niveau 7 entre les utilisateurs finaux et
les applications Web. Son rôle est de filtrer tous les accès applicatifs (http/https/XML/Json… ) ainsi
que d’inspecter les requêtes clientes et les réponses en provenance de l’application. Celui-ci est
déployé en frontal des serveurs applicatifs afin de surveiller chaque accès et de permettre la collecte
des logs nécessaires à la conformité, l’audit et l’analyse.
Les solutions WAF sont principalement mises en coupure (In-Line) sur les architectures, soit en mode
« reverse proxy » nécessitant la mise en place de mécanismes de NAT entre les réseaux client et
serveurs applicatifs, soit en mode « transparent proxy » agissant sur un même réseau de niveau 2.
D’autres modes d’implémentation sont disponibles comme le mode « sniffer Out Of Band »
fonctionnant à l’aide d’une copie du trafic en vue de réaliser du monitoring et un nombre limité
d’actions.
L’intérêt du WAF est de fournir une protection personnalisable pour chaque application Web contre
les exploits connus et les vulnérabilités logicielles sans aucune entrave sur leurs fonctionnements.
De manière générale le firewall applicatif propose :
•
•
•
•
•
•
A minima, une protection contre les failles de sécurité Web les plus courantes répertoriées
par l’OWASP telles que les attaques de type Cross-Site Scripting (XSS), l’injection de code
malveillant ou encore la falsification de requête intersites (CSRF).
Un mode d’auto-apprentissage permettant d’établir le comportement et le fonctionnement
de l’application de manière automatique.
Une base préconfigurée de reconnaissance des signatures applicatives permettant une plus
grande rapidité de déploiement.
Des mécanismes de contrôle d’accès pour éviter l’utilisation abusive de droits d’accès.
Un module de gestion des certificats nécessaires au traitement des flux cryptés SSL.
Une console de monitoring et de reporting capable de surveiller et remonter en temps réel
les attaques ou toutes dégradations des services applicatifs protégés. Cet élément est
essentiel pour l’analyse et la visualisation de toutes les menaces.
En complément, les WAF peuvent embarquer des technologies de sécurité additionnelles telles
que des scanners de vulnérabilités dont les résultats seront exploités pour la mise en place de
« virtual patching », des systèmes de protection anti-DDoS, ou encore des solutions de détection de
fraude Web et de sécurisation de base de données. De plus, ces solutions bénéficient, dans certains
cas, de mécanismes d’accélération et d’optimisation du trafic web (caching, SSL offload, Multiplexage
TCP). Celles-ci sont souvent accompagnées d’une solution de Web Access Management (WAM)
couplée à des systèmes d’authentification gérant le « single sign-on » (SSO). Enfin, certains firewalls
applicatifs web peuvent s’interfacer avec des environnements Cloud afin de bénéficier par exemple
de mises à jour de signatures ou de listes de réputation IP.
Pour résumer les technologies présentes dans le WAF ont pour but la détection et la mitigation des
menaces connues et inconnues, de minimiser les fausses alertes (faux positif) ainsi que de s’adapter
continuellement aux évolutions des applications Web.
Actuellement plusieurs solutions de pare-feu applicatif sont disponibles sur le marché.
•
Les boitiers physiques ou virtuels dédiés à la fonctionnalité WAF restent très avancés. Ces
équipements proposent un vaste panel de fonctionnalités de sécurité et sont très granulaires
dans l’analyse du workflow applicatif. Ceux-ci sont équipés en règle général d’outils de
supervision et de reporting complets et bien structurés facilitant l’exploitation. Ces solutions
sont capables en fonction de leurs performances de prendre en charge un grand nombre de
services Webs.
•
Les modules WAF intégrés aux ADC (Application Delivery Controller) permettent facilement
de bénéficier d’une sécurité applicative, ceci sans modification de l’architecture initiale.
Cette solution permet de regrouper sur un même équipement un ensemble de
fonctionnalités telles que la répartition de charge, la gestion des politiques d’accès ou bien
évidement la sécurité applicative. Il est important de prendre conscience que l’activation du
WAF aura un impact plus ou moins important sur les performances de l’ADC pouvant
éventuellement entrainer un ralentissement des applications.
•
Les offres Cloud qui proposent un service WAF déporté. Celles-ci sont combinées bien
souvent avec des offres anti-DDoS, un service de répartition de charge (SLB/GSLB) voire du
CDN (Content Delivery Networking). L’ensemble du trafic applicatif est dans un premier
temps dirigé vers le service cloud afin d’être analysé par le moteur WAF et les autres briques
souscrites. Puis après vérification et nettoyage, il est redirigé vers les serveurs applicatifs du
client final. L’administration et le monitoring s’effectuent via un portail Web proposé par le
fournisseur. Ces solutions ont le bénéfice d’être souples, faciles et rapides à mettre en œuvre
sur d’importantes comme sur de petites architectures. Le point noir de ce service reste la
confidentialité des données, la gestion des flux SSL étant déléguée au fournisseur du service
cloud.
Interdata en tant qu’intégrateur depuis plus de 30 ans, vous apporte son expérience et son expertise
pour vous conseiller dans le choix d’une solution technique validée, cohérente et adaptée à vos
besoins.
Pour nous joindre : 01 64 86 86 00
Ou via le formulaire en ligne : http://www.interdata.fr/contact/