Un Pare-feu d’Application Web est un composant de sécurité qui se trouve devant une application web et inspecte le trafic entrant vers les applications web pour empêcher les requêtes malveillantes d’exploiter des vulnérabilités.
Dans la pile réseau, un WAF se situe à la couche Application du modèle OSI, lui donnant une visibilité complète dans la charge utile de la requête. Pour faire cette inspection, la terminaison TLS et SSL a lieu, permettant au WAF d’inspecter ce qui arrive. Chaque requête est ensuite analysée pour des modèles définis dans une liste de règles. Ces règles peuvent aider à empêcher des méthodes d’attaque courantes telles que les Attaques d’Injection SQL, l’injection de charges utiles de cross-site scripting (XSS), la Falsification de Requête Intersites (CSRF), les attaques d’inclusion de fichiers et plus encore.
Maintenir des règles de pare-feu solides est la partie la plus précieuse d’un WAF. La qualité des règles varie considérablement entre les fournisseurs, et est finalement la différence clé de propriété intellectuelle entre les fournisseurs. Un WAF approche généralement les détections en utilisant un modèle de blocage négatif, où tout est considéré comme une requête légitime sauf si une règle spécifique est déclenchée. Certains fournisseurs utiliseront l’apprentissage automatique pour détecter des abstractions de modèles connus et déclencher des règles basées sur cela.
Malgré leurs avantages, les pare-feu d’application web peuvent également créer des compromis en ajoutant une latence significative aux applications web, ou dans certains cas créer un faux sentiment de sécurité en limitant la taille du paquet qu’ils inspectent. À son tour, cela pourrait potentiellement permettre aux mauvais acteurs de contourner leurs détections, permettant à un acteur de menace de s’introduire sans être remarqué.
Traditionnellement, un WAF ne peut pas surveiller les réponses du serveur web, ou la sortie. C’est une limitation qui, si elle n’est pas planifiée, peut causer des fuites de données sensibles en cas de requête malveillante. Un WAF n’a également aucune visibilité dans les exécutions côté client.
Les pare-feu d’application web peuvent être déployés de nombreuses façons : comme des appareils physiques, des services gérés qui sont hébergés sur des plateformes cloud publiques, des services qui s’exécutent sur des runtimes edge, ou plus récemment, intégrés directement dans une application via un SDK.
La sécurité consiste à superposer. Un WAF ne résout pas magiquement les risques de sécurité, cependant, il peut être une bonne couche dans la défense de sécurité d’une application web.
En fait, de nombreux cadres de conformité standard de l’industrie comme PCI DSS, recommandent ou exigent d’avoir un WAF implémenté.
