Il existe essentiellement trois types de pare-feu :les pare-feu matériels, les pare-feu logiciels et les pare-feu d'applications Web (WAF). En règle générale, une société d'hébergement cloud ou une infrastructure de centre de données tirera parti des deux premiers types de pare-feu pour une utilisation générale. Le troisième type - l'objet de cet article - a commencé à gagner en importance il y a environ une demi-décennie (bien qu'il y ait un chevauchement de ces catégories, comme indiqué ci-dessous).
Selon l'organisation à but non lucratif Open Web Application Security Project (OWASP), les pare-feu d'applications Web sont devenus plus répandus à mesure que les pirates ont commencé à concentrer leurs efforts sur les applications (boutiques de commerce électronique, systèmes de vente, etc.). Essentiellement, les applications fournissent différents points d'entrée pour les intrus, de sorte que les pirates ont commencé à les cibler. Ce point de mire leur a souvent permis d'entrer sans se faire remarquer (parce que les pare-feu standard ont été centrés sur l'activité générale du réseau plutôt que sur l'éventail des problèmes spécifiques aux applications Web).
Pourquoi un pare-feu d'application Web est-il nécessaire ?
Le besoin de base des pare-feu spécifiques aux applications Web est que le protocole de transfert hypertexte (HTTP) est relativement simpliste. De toute évidence, ce protocole définit les allers-retours de l'interaction Internet. Les applications Web, quant à elles, sont devenues de plus en plus sophistiquées au fil du temps. Les applications ont dépassé le langage utilisé pour les communiquer dans un sens, en termes de sécurité. Un logiciel de protection spécialisé - le pare-feu d'application Web - comble le fossé afin que les applications ne soient pas aussi vulnérables.
Il existe une déconnexion supplémentaire entre HTTP et la sécurité des applications Web liée à l'état. HTTP est sans état et les applications Web sont généralement avec état. En d'autres termes, ce dernier utilise les informations de traitement précédentes, tandis que le premier ne le fait pas. Cette disparité signifie une incompatibilité supplémentaire entre les deux, au-delà de la complexité générale :en gros, une application web est "toute seule" pour établir ses paramètres et se protéger (entrez dans le WAF).
Qu'est-ce qu'un pare-feu d'application Web ?
Pour être clair, il existe un chevauchement entre les différents types de pare-feu. Les pare-feux logiciels et matériels sont utilisés à part entière pour protéger les réseaux. Ils peuvent être implémentés soit en tant que périphériques matériels, installés en tant qu'élément physique réel de l'infrastructure, soit utilisés en tant que logiciels, installés sur des serveurs ou intégrés à d'autres périphériques (par exemple, ils peuvent être chargés sur des pare-feu matériels pour améliorer leur protection avec les capacités WAF) . Cependant, avec leur fonction spécialisée pour les applications Web, les WAF peuvent prendre la forme de l'un ou l'autre de ces deux types principaux.
La fonction globale des pare-feu d'applications Web dans une entreprise
Bien qu'une entreprise considère généralement la force de certains WAF plus importante que d'autres (en fonction du rôle joué par l'application qu'elle protège), il est sage de se rappeler qu'un système ne peut être aussi fort que son maillon le plus faible. Souvent, une entreprise exécute des dizaines d'applications Web en même temps. Les pirates pourraient être en mesure d'accéder au réseau, potentiellement, à travers l'un des pare-feu. Pour cette raison, les applications qui peuvent généralement être moins vitales pour les opérations commerciales doivent toujours être raisonnablement sécurisées.
Cela dit, l'administration système doit souvent accorder plus ou moins d'importance aux pare-feu protégeant certaines applications en raison de problèmes budgétaires. Voici quelques questions qui peuvent être posées pour trouver le bon équilibre et comprendre quelles applications doivent bénéficier des degrés de protection les plus élevés :
- L'application accorde-t-elle la disponibilité aux détails sensibles de tous les utilisateurs du système, qu'ils soient internes ou externes ?
- Permet-il d'accéder à des documents ou à des données propriétaires ?
- L'application joue-t-elle un rôle crucial dans l'entreprise ? À quel point ce serait grave s'il tombait en panne ?
- L'application elle-même est-elle impliquée dans la protection du réseau ou de tout autre système ?
Développement d'applications et fonction de pare-feu d'applications Web individuelles
De toute évidence, la force de chaque pare-feu doit être aussi forte que possible, comme indiqué ci-dessus. Cependant, idéalement, un pare-feu n'est pas crucial au départ. La sécurité devrait être un facteur majeur pour les applications personnalisées lors de leur développement. Les failles dans les applications sont corrigées au fur et à mesure que les faiblesses sont connues, mais les problèmes découverts lorsqu'une application a été utilisée pendant une longue période peuvent souvent signifier plus de temps et d'argent pour une solution.
Un pare-feu d'application Web est utile lorsqu'il est impossible ou difficile d'apporter des modifications à l'application ou lorsque les révisions nécessaires sont importantes. Le pare-feu est utilisé lorsque l'application elle-même ne peut pas être modifiée. En règle générale, un pare-feu utilise une liste noire, protégeant contre les attaques individuelles précédemment enregistrées. En outre, il peut également utiliser une liste blanche, fournissant des utilisateurs autorisés et des instances d'interaction pour l'application.
Conclusion
Les pare-feu d'applications Web jouent un rôle important pour les entreprises du monde entier ainsi que pour notre service d'hébergement VPS. Nous croyons fermement en nos propres pare-feux et en la sécurité de l'hébergement cloud chez Atlantic.net. En fait, nous croyons tellement en notre fiabilité que nous garantissons une absence totale de temps d'arrêt. Découvrez ce qui nous différencie et pourquoi notre hébergement VPS est de classe mondiale !