Web Application Firewall Service - MSS-i

09/2013
Web Application
Firewall
Service
MSS-i
Hardware
Owner
Vulnerability Scanning
Monitoring
Layer 2 Encryption
Web Application Firewall
Management
Proxy
Vendor
IDS/IPS
Contract
Firewall/VPN
VPN
SLA
09/2013
Web Application Firewall (WAF) Service
Structure et description du service
Un Web Application Firewall (WAF) sert à protéger les applications accessibles via le Web (p. ex. Webshops, SharePoint,
Webmail). Le contenu d’une communication de données est analysé directement et, à la différence d’un pare-feu
classique, filtré seulement au niveau du port. La terminaison de la communication sur le Web Application Firewall
permet d’identifier les accès sur le serveur Web et de les bloquer. Ceci est possible à la fois pour les communications
cryptées (HTTPS) et non cryptées (HTTP).
Demande non autorisée dans le mode Blocking-and-Logging
Demande non autorisée dans le mode Logging-only
Demande autorisée
Serveur Web
Application 2
Web Application
Firewall
Application 1
Internet
Pare-feu classique
En fonction de l’infrastructure du client, le service Web Application Firewall permet un «load balancing» des serveurs
Web. Pour chaque application protégée, il est possible de choisir entre deux modes: «logging only» ou «blocking and
logging».
Mode «Logging only»
Le Web Application Firewall est paramétré dans un mode «renifleur». Les demandes adressées au serveur Web sont
alors examinées dans le contexte de l’application demandée. Les accès potentiels sont enregistrés et signalés. Ceci
permet de garantir la traçabilité. Il n’y a pas de blocage automatique en cas d’attaque.
Mode «Blocking and logging»
En sus du mode «Logging only», le Web Application Firewall bloque les accès dans le mode «Blocking and logging»
et interdit ainsi l’accès à une application correspondante. Les accès qui ont été bloqués sont mentionnés dans un
fichier-journal.
Avantages
Le service Web Application Firewall de Swisscom comporte les prestations suivantes:
> Actualité: le Web Application Firewall est toujours à jour (garantie Evergreen)
> Flexibilité: le service peut être intégré dans une infrastructure existante et étendu de façon modulaire
(Firewall/VPN-Service, IDS-Service, SSL-VPN-Service, Remote Access Service)
> Monitoring: consultation des données en temps réel via dashboard MSS-i
Prestations
Le service Web Application Firewall est disponible avec trois Service Level Agreements différents. Ces Service Levels
sont identiques pour tous les services MSS-i et définis dans la description générale de service MSS-i. Les paramètres
suivants sont surveillés et/ou gérés au niveau du service Web Application Firewall.
09/2013
Health Monitoring et Incident Management
On garantit le traitement des Health Incidents pendant les horaires de Service Level définis. Lorsqu’il est impossible
d’accéder à un Managed Object, le client est informé de la démarche prédéfinie dans le SLA (Service Level Agreement).
Security Monitoring
Analyse Violation: le WAF détecte l’ensemble des communications. En mode «Blocking and logging», des accès
potentiels sont bloqués. Les communications autorisées sont enregistrées. En mode «Logging only», les accès ainsi que
les communications sont seulement enregistrés, mais pas bloqués.
Analyse Logfile: les fichiers-journaux créés sont analysés et corrélés en permanence. En cas d’irrégularités, un message
d’avertissement est déclenché, pour permettre au Security Analyst de faire une analyse détaillée.
Reporting
Des rapports détaillés peuvent être compilés individuellement via dashboard MSS-i. Conformément au Service Level,
la disponibilité, le statut du Ticket (Incident Management / Change Management) ainsi que les Management Reports
sont créés automatiquement. D’autres rapports peuvent être configurés si besoin.
Change Management
Les modifications survenant au niveau du Managed Object font partie intégrante du service et peuvent être
demandées via dashboard MSS-i. Exemples de Change Requests:
> modification des paramètres Loadbalancing (p. ex. ajout ou suppression d’un Target Server)
> tuning du Web Application Firewall (adaptation de la Policy par rapport à l’application Web)
L’activation / la protection d’une application supplémentaire est considérée comme une extension du service
et est payante.
Gestion des releases et patches
Chaque fabricant publie régulièrement des releases et des patches (Security & Health Patches). Ceux-ci sont testés et
validés par Swisscom. Ils sont mis en œuvre après leur validation.
Gestion des configurations et des backups
Swisscom s’occupe des configurations actuelles et garantit la sécurité et la traçabilité du stockage des backups. Ceci
permet de garantir le rechargement d’anciennes configurations.
Life Cycle Management
L’utilisation permanente de matériel conforme au tout dernier état de la technique (support fabricant) est garantie.
Obligations de coopération et restrictions du service
Une protection optimale des serveurs Web avec le Web Application Firewall ne peut être garantie que si le client
signale toutes les modifications apportées au serveur Web (p. ex. nouveaux modules, contenus modifiés, mises à jour
logicielles, etc.). Un dialogue actif entre le client et Swisscom est absolument impératif.
La nécessité de protéger par un WAF des applications que l’on a conçues soi-même induit un surcroît de travail
d’intégration. De plus, la protection peut être affectée.
Autres prestations de services MSS-i
MSS-i contient l’ensemble des Security Services qui sont nécessaires pour protéger votre infrastructure IT dans
son ensemble. Tous les services sont soumis à des SLA identiques et exploités 24 heures sur 24, 7 jours sur 7 depuis
la Suisse. La combinaison de plusieurs services permet d’optimiser les coûts et d’accroître la sécurité.
Autres informations sur www.swisscom.ch/security.