HostMe HostMe
HostMe
Gitlab Communication Collaborative Stockage Collaboratif Mon serveur est en panne Hosted Private Cloud Migration Private Cloud Mise en infogérance Mentions légales Données personnelles et cookies Gérer les pics de charges avec OVH Dedicated Cloud Pics d'activités ponctuels Accès client Contactez-nous

Le WAF, chien de garde de vos sites

par notludovic

Qu’est-ce qu’un WAF ?

Un WAF est une application qui consiste à protéger vos sites web (en http/https) via un ensemble de règles et de fonctions qui identifient si le trafic est légitime ou non. C’est un firewall donc que l’on peut régler à sa guise suivant ce que vous souhaitez et suivant la solution que vous adopterez.

Il y a en effet plusieurs possibilités pour utiliser un WAF :

  • Utiliser un service tiers (Cloudflare, Stackpath, OVH…)
  • Héberger votre propre WAF sur des serveurs (par exemple avec ALOHA de Haproxy)
  • Les appliances physiques WAF

Le premier permet l’accès le plus simple à un WAF car vous déléguez une grosse partie de la gestion à un tiers qui possède déjà des infrastructures robustes et étudiées pour gérer du trafic de masse. Vous n’aurez dès lors qu’à appliquer filtres, politiques et autres afin d’avoir une efficacité rapidement opérationnelle.

Si vous décidez d’héberger vous-même votre WAF, il s’agit plutôt d’une solution de niche mais vous trouverez idéalement des applications comme la solution Haproxy Entreprise. Il est donc possible de les installer sur une ou des machines virtuelles (ou bien des serveurs physiques si vous le souhaitez) et d’effectuer vos réglages. Vous n’aurez pas la facilité d’usage d’un WAF en service et il faudra un temps d’usage, mais la maîtrise sera complète. Le coût de chaque élément sera clair et vous pourrez adapter le besoin au plus juste.

L’appliance physique reviendra à utiliser comme précédemment à une solution applicative mais dans une configuration prédéfinie et dont vous n’aurez pas à gérer l’installation car elle arrive en tout en un.

Pourquoi utiliser un WAF ?

Ce type de protection est le meilleur ami du site web, car il prévient en général et dans un premier temps des attaques de déni de service (DDoS). Nombre de gens dans l’IT qui n’ont pas forcément les moyens prennent des offres gratuites pour protéger leur site car c’est l’assurance immédiate de ne pas avoir de soucis à ce niveau.

Mais au-delà de cet aspect, les WAF permettent la défense contre les attaques du top OWASP. Ainsi il vous protégera contre, s’il est bien fait (dans le désordre, source : https://owasp.org/www-project-top-ten/) :

  • Injection SQL
  • Scripting en multi-sites XSS
  • Entités externes XML (XXE)
  • Exposition de données sensibles
  • Contrôle d’accès défaillant
  • Etc…

D’autres fonctions permettront la détection de bots (notamment pour les sites subissant des attaques d’acheteurs en masse, comme les PS5 à une époque), ou bien encore filtrer des ips dès lors que l’on a identifié des ips qui par localisation géographique ne sont pas souhaitées sur un site. Les fonctionnalités peuvent varier selon les services ou les programmes.

Quelques conseils :

Firewall WAF
  • Évaluez bien votre besoin avant de déployer une solution, en effet si vous n’évaluez pas correctement vos besoins, vous aurez probablement à augmenter les ressources de la machine choisies ou bien à changer d’offres sur un WAF en tant que service.
  • N’hésitez pas à demander à tester les services (dans le cas d’une appliance physique cela peut être délicat)
  • Un WAF est toujours plus efficace que des logiciels type fail2ban ou encore portsentry. C’est clairement un avantage dans une architecture de site web, surtout sur les sites à fort trafic.
Firewall fail2ban & portsentry

En résumé...

Il est toujours important de considérer la mise en place d’un WAF dans la conception de tout site web. Sa nature plus complète que de nombreux programmes fera qu’à minima, il sera un allié pour au moins empêcher que le site soit indisponible. Dans des cas de sites ou de web app, quel que soit le trafic, il saura être un allié permettant de moduler la menace afin de la réduire à sa plus stricte expression, pour peu que la solution choisie soit adaptée aux besoins.

N'hésitez pas à voir avec nous et discuter de ce besoin spécifique, un WAF peut vraiment apporter plus de sérénité, et s’avère complémentaire d’autres solutions pour bien dimensionner votre infrastructure (sur des montées de charge progressives par exemple). En complément d’un APM, cela saura apporter toutes les informations à votre infogérant qui pourra vous conseiller efficacement.