Un pare-feu d'applications web est un type de pare-feu conçu pour protéger les applications web. Il inspecte en permanence le trafic HTTP pour détecter et bloquer le trafic malveillant et les attaques des applications web. This can include access violations, API manipulations, advanced HTTP DDoS attacks, cookie poisoning, and many more.
Le marché des pare-feu d'applications web (WAF) est divers, avec toute une variété d'options de déploiement selon l'application de l'entreprise et ses exigences de sécurité. Il existe trois grands types de WAF : le WAF en cloud, le WAF logiciel et le WAF matériel. Chaque type de WF présente ses propres avantages et inconvénients.
Enfin, les WAF font de plus en plus partie d'une stratégie plus large de sécurité des applications : la protection des API et applications web (WAAP). Inventé à l'origine par Gartner, le concept de WAAP représente l'évolution du marché des WAF en une approche plus complète et unifiée de la sécurité des applications web par rapport à la stratégie compartimentée des outils de sécurité hétérogènes, stratégie aujourd'hui dépassée. Une WAAP se compose de quatre caractéristiques essentielles :
Le présent article passe en revue les trois grands types de WAF, leurs avantages et leurs inconvénients et à qui convient chaque type.
SOMMAIRE
Il existe deux types de déploiements WAF en cloud : en ligne et hors trajectoire définie
Déploiement d'un WAF en cloud en ligne
Déploiement d'un WAF en cloud reposant sur les API, hors trajectoire définie
Trois types de déploiement de WAF différents
WAF en cloud |
WAF logiciel |
WAF matériel |
Un WAF en cloud est géré par un opérateur qui propose le WAF sous forme de sécurité informatique externalisée. |
Un WAF logiciel est une appliance virtuelle hébergée soit localement, soit dans l'environnement cloud de l'application. |
Un WAF matériel est déployé physiquement localement au sein du réseau et près des serveurs de l'application web. |
Un WAF en cloud est une option de déploiement clé en main, peu coûteuse et facile à implémenter, qui peut être déployée rapidement. Les WAF en cloud représentent un coût initial minime et fonctionnent généralement par abonnement. Les WAF en cloud ont accès à des informations sur les menaces constamment mises à jour et peuvent également proposer des services gérés pour vous aider à définir vos règles de sécurité et à répondre aux attaques lorsqu'elles se produisent.
Dans l'idéal, un WAF en cloud doit offrir le choix entre un déploiement en ligne ou comme service hors trajectoire définie (OOP) reposant sur les API. Un déploiement OOP reposant sur les API apporte plusieurs avantages uniques qui lui permettent d'être optimisé pour les environnements multicloud, les environnements sur site, les environnements hybrides, etc.
Ces dernières années, les WAF en cloud sont devenus le type prédominant de déploiement pour la majorité des entreprises dans le monde, pour les raisons énumérées ci-dessous.
Qui devrait utiliser un WAF en cloud ?
Les WAF en cloud ont acquis une certaine popularité auprès des entreprises de toutes tailles, des grands groupes aux PME, car ils sont capables de fournir un niveau élevé de sécurité avec un investissement initial minime et sans avoir besoin d'une grande expertise en sécurité en interne.
Les avantages et inconvénients d'un WAF en cloud
Les WAF en cloud présentent de nombreux avantages et quelques inconvénients qu'un acheteur potentiel doit prendre en compte.
Avantages
-
Peu coûteux
-
Faciles à implémenter/déployer
-
Investissement initial minime
-
Niveaux de protection homogènes/Gestion centralisée et rapports couvrant tous les environnements.
-
Abonnement classique ou à une sécurité informatique externalisée
-
Mise à jour automatique par un fournisseur tiers
-
Meilleure option de déploiement pour les environnements multicloud
Inconvénients
-
Certains secteurs (tels que le secteur public ou la défense) sont tenus de conserver l'ensemble de l'infrastructure et des données sur site, ce qui ne leur permet pas d'utiliser de WAF en cloud comme option de déploiement potentielle.
-
La majorité des WAF en cloud nécessitent la redirection du trafic de l'application, ce qui augmente les possibilités de latence.
Un WAF logiciel est une alternative au WAF matériel. Un WAF logiciel exécute le WAF comme appliance virtuelle ou agent, localement (sur site), dans un cloud privé ou dans un cloud mutualisé.
De plus, il y a d'autres WAF spécifiquement conçus pour être intégrés dans des environnements de microservices en conteneurs comme Kubernetes pour protéger le trafic est-ouest.
Qui devrait utiliser un WAF logiciel ?
Les WAF logiciels sont généralement utilisés par des entreprises dont les applications sont hébergées dans des centres de données dans des clouds privés ou mutualisés. Ils sont également populaires auprès des entreprises qui ne disposent pas du budget et/ou de la capacité pour utiliser des WAF matériels, mais souhaitent cependant gérer leur propre WAF ou sont réticentes à l'idée de déployer un WAF en cloud.
Les avantages et inconvénients d'un WAF logiciel
Les WAF logiciels présentent de nombreux avantages et quelques inconvénients qu'un acheteur potentiel doit prendre en compte.
Avantages
-
Options pour une personnalisation plus poussée (si vous disposez de l'expertise et/ou des ressources en sécurité nécessaires en interne)
-
Des coûts initiaux, de déploiement et de maintenance plus bas que pour un WAF matériel (voir ci-dessous)
Inconvénients
-
Déploiement complexe
-
Nécessite l'installation du code sur un serveur d'application
-
S'appuie sur les ressources du serveur des applications pour fonctionner efficacement
-
Les mises à jour doivent être gérées par l'utilisateur final
Un WAF matériel (souvent appelé WAF réseau) est installé localement sur le réseau. La plupart du temps, c'est la forme de WAF la plus chère, car elle nécessite une maintenance et un espace de stockage. Son but principal consiste à réduire la latence au minimum.
Ces dernières années, les WAF matériels sont de plus en plus obsolètes à mesure que les WAF en cloud deviennent le type de déploiement prédominant.
Qui devrait utiliser un WAF matériel ?
Les WAF matériels sont généralement utilisés par de grandes entreprises qui disposent du budget et du personnel pour gérer l'outil sur site et l'infrastructure informatique. De plus, les entreprises passent par des WAF matériels lorsque la vitesse et les performances de l'application sont essentielles, ou pour l'exécution d'applications sensibles dans des environnements sur site, par exemple pour des administrations publiques, des agences de sécurité nationale, le secteur de la défense, etc.
Les avantages et inconvénients d'un WAF matériel
Les WAF matériels présentent de nombreux avantages et quelques inconvénients qu'un acheteur potentiel doit prendre en compte.
Inconvénients
-
Gros investissement initial
-
Coûts de maintenance réguliers
-
Coûts d'exploitation et effectifs informatiques élevés
-
Mises à jour et maintenance gérées par l'utilisateur final
|
WAF en cloud |
WAF logiciel |
WAF matériel |
Pour qui ? |
Entreprises de toutes tailles |
Moyennes à grandes entreprises |
Grandes organisations |
Avantages |
- Peu coûteux
- Faciles à implémenter/déployer
- Investissement initial minime
- Niveaux de protection homogènes/Gestion centralisée et rapports couvrant tous les environnements.
- Abonnement classique ou à une sécurité informatique externalisée
- Mise à jour automatique par un fournisseur tiers
- Meilleure option de déploiement pour les environnements multicloud
|
- Options pour une personnalisation plus poussée (si vous disposez de l'expertise et/ou des ressources en sécurité nécessaires en interne)
- Des coûts initiaux, de déploiement et de maintenance plus bas que pour un WAF matériel (voir ci-dessous)
|
- Latence réduite
- Hautement personnalisables
- Entièrement protégés par air-gap
|
Inconvénients |
- Certains secteurs (tels que le secteur public ou la défense) sont tenus de conserver l'ensemble de l'infrastructure et des données sur site, ce qui ne leur permet pas d'utiliser de WAF en cloud comme option de déploiement potentielle.
- La majorité des WAF en cloud nécessitent la redirection du trafic de l'application, ce qui augmente les possibilités de latence.
|
- Déploiement complexe
- Nécessite l'installation du code sur un serveur d'application
- S'appuie sur les ressources du serveur des applications pour fonctionner efficacement
- Les mises à jour doivent être gérées par l'utilisateur final
|
- Gros investissement initial
- Coûts de maintenance réguliers
- Coûts d'exploitation et effectifs informatiques élevés
- Mises à jour et maintenance gérées par l'utilisateur final
|
Solution recommandée |
Pare-feu web en cloud |
Kubernetes WAF |
AppWall |