Les firewalls d’application Web (ou WAF) sont untype relativement nouveau de pare-feu. Ils ne font pas que bloquer ou autoriser le trafic en fonction des adresses IP et des ports. Ils vont plus loin dans l'analyse du trafic et prennent des décisions en fonction d'un ensemble de règles de gestion prédéfinies. Comme leur nom l'indique, leur objectif principal est de sécuriser les applications Web. Choisir un pare-feu d'application Web peut être une tâche ardue. Ils existent sous forme de service dans le nuage ou d'appliances, chacun avec ses avantages et ses inconvénients. C’est pourquoi nous avons compilé cette liste des 10 meilleurs pare-feu pour applications Web. Cela vous aidera à évaluer les caractéristiques des produits de différents fournisseurs.
Dans cet article, nous allons commencer par undiscussion sur les pare-feu pour applications Web, leur nature et leur fonction. Nous comparerons ensuite les systèmes basés sur le cloud et les appareils et répertorierons les avantages et les inconvénients de chacun. Comme vous le verrez, c’est plus qu’un choix philosophique. Après avoir expliqué les bases des WAF, nous allons plonger au cœur de notre sujet et vous présenter non pas une mais deux listes. Tout d’abord, nous examinerons le cinq meilleurs WAF en nuage et nous verrons ensuite cinq meilleurs appareils WAF.
WAFs en quelques mots
Comme nous l'avons indiqué dans notre introduction, un site WebLe pare-feu applicatif est un type particulier de périphérique. Il peut être utilisé pour sécuriser des applications Web bien mieux que ce qui est possible avec les pare-feu standard. Un WAF typique protégera un site Web contre plusieurs types d'attaques, telles que le scriptage intersite, l'empoisonnement des cookies, le raclage Web, la modification de paramètres, le dépassement de mémoire tampon et bien d'autres types de vulnérabilités.
Contrairement aux pare-feu traditionnels qui basentleur décision d'autoriser ou de bloquer le trafic sur des paramètres simples tels que l'adresse IP ou le numéro de port, les WAF basent principalement leur décision sur une analyse approfondie des données HTML. Ils examinent les demandes essayant de reconnaître les comportements malveillants. Ils décrypteront également le trafic HTTPS pour s'assurer qu'aucun code malveillant n'est inséré dans les paquets cryptés. Les pare-feu pour applications Web seront à la recherche de signatures de logiciels malveillants connus, mais ils intercepteront également les requêtes mal formées ou non standard pour la meilleure protection possible.
En soi, un pare-feu d’application Web offriraUn bon degré de protection, mais c’est lorsque vous l’associez à d’autres systèmes de protection, tels que les pare-feu standard ou les logiciels de protection antivirus, que vous obtenez la meilleure couverture contre le plus grand nombre de menaces. Plus que jamais, les administrateurs réseau doivent adopter une approche globale de la prévention des programmes malveillants.
En nuage ou appareil?
Il existe essentiellement deux types de WebFirewalls d'application. Les WAF peuvent être basés sur le cloud ou exécutés en tant qu'appliance. Les WAF en nuage sont hébergés par le fournisseur. Toutes les demandes adressées à votre site Web sont redirigées - par la magie du DNS - vers votre instance WAF où elles sont vérifiées avant d’être transmises à votre site actuel.
Les WAF d’appliance sont des périphériques matériels. Ce sont des ordinateurs spécialisés, généralement dépourvus d'interface utilisateur, tels qu'un écran et un clavier, qui exécutent un système d'exploitation personnalisé et le logiciel Web Application Firewall. Ils sont généralement installés dans votre centre de données et sont situés entre votre pare-feu traditionnel et vos serveurs Web, où ils interceptent les demandes qui leur sont adressées.
Avantages et inconvénients du WAF basé sur le cloud
Sur le plan positif, une solution basée sur le cloud nécessitepas de maintenance car il est géré par le vendeur. Ces solutions disposent généralement de fonctionnalités de redondance ou de haute disponibilité intégrées. Le fournisseur gère également généralement les sauvegardes du système. Un autre avantage est que le service WAF peut souvent être associé à d'autres services du même fournisseur. Vous pouvez, par exemple, combiner la distribution de contenu et les fonctionnalités WAF d'un fournisseur unique pour une solution intégrée de manière transparente.
Mais les WAF basés sur le cloud présentent également quelques inconvénients. L’un des plus importants est qu’ils puissent vous associer à un fournisseur unique pour de nombreux services. Étant donné que tout le trafic sur votre site Web doit être redirigé vers le fournisseur de cloud, vous n’avez pratiquement pas d’autre choix que d’utiliser leurs autres services de sécurité, comme un pare-feu traditionnel.
Appareils WAF Avantages et inconvénients
Le principal avantage des appareils WAF est que vousgarder tout en interne. Il vous donne un contrôle complet sur chaque détail de votre infrastructure. Cela signifie également que vous êtes libre de choisir différents composants auprès de différents fournisseurs.
En revanche, utiliser un appareil signifie quevous devez le maintenir. Et vous devrez le mettre à niveau à mesure que votre trafic augmente. L'utilisation d'une solution matérielle entraîne également des coûts initiaux beaucoup plus élevés, car tous les équipements doivent être acquis dès le départ. En fin de compte, le choix vous appartient, mais vous devriez peut-être vous laisser guider par vos besoins spécifiques plutôt que de choisir au préalable un type d'installation.
Notre top 5 des meilleurs WAF en nuage
Nous avons compilé une liste des cinq meilleursles pare-feu d'applications Web basés sur le possible. Ils proviennent tous de fournisseurs réputés et offrent un excellent rapport qualité-prix. Nous ne pouvons pas vraiment recommander l’un aux autres, car ce sont tous d'excellents produits.
1. Cloudflare WAF
Cloudflare a acquis une excellente réputation pourprotéger les serveurs Web contre les attaques DDoS. Son offre de services comprend également un pare-feu d'applications Web. Le service compte déjà une vaste clientèle et ses serveurs traitent actuellement près de trois millions de requêtes par seconde. Et si vous visitez le site Web de Cloudflare, vous verrez que plus de 400 millions de règles WAF ont été déclenchées le dernier jour.
L'un des principaux avantages de l'utilisation d'un nuageservice avec une clientèle aussi large est que vous pouvez bénéficier de l'intelligence acquise auprès d'autres clients. Par exemple, si une tentative d'attaque est détectée sur un autre client, une nouvelle signature sera créée et appliquée à tous les clients. La solution de Cloudflare offre un autre avantage: elle propose également la livraison de contenu et la protection DDoS.
2. Défenseur du site Akamai Kona
Akamai est le leader mondial de la diffusion de contenusystèmes. Au fil des ans, la société a ajouté de nouvelles fonctionnalités à son offre. Kona Site Defender, comme son nom l'indique, est l'un d'entre eux. Le pare-feu d'applications Web intègre une protection complète contre les attaques DDoS. Et bien sûr, le service WAF peut également être facilement combiné à d'autres services Akamai tels que le réseau de distribution de contenu. Une fois que votre trafic est redirigé vers Akamai, vous pouvez en profiter et utiliser autant de services que vous le souhaitez.
En raison de sa taille et de sa clientèle, Akamai a souventdécouvre de nouveaux exploits plus tôt que les autres vendeurs. En tant qu'utilisateur de Kona Site Defender, vous bénéficiez de cet avantage concurrentiel et bénéficiez d'une protection renforcée avec un blocage potentiellement meilleur des exploits du jour zéro.
3. F5 Silverline
F5 est souvent mieux connu pour son BIG-IPappareils que ses services cloud. En résumé, F5 Silverline est la version en ligne de l’excellent appareil BIG-IP ASM de la société, décrite ci-dessous. Il est disponible en tant que service géré ou en tant que ce que F5 désigne comme un libre-service express destiné à protéger les applications et les données Web contre les menaces en constante évolution. Les abonnements peuvent durer un an ou trois ans. Une assistance en direct 24h / 24 est incluse dans le service.
Un avantage majeur de ce service basé sur le cloudest-ce qu'il peut protéger une infrastructure distribuée ou hébergée sur le cloud. La protection inclut un blindage DDoS de couche 7 et bloque également les adresses anonymisées telles que celles qui font partie du réseau Tor. Le système utilise également une liste noire en direct de praticiens du phishing connus et des scrapers Web. Et comme cette liste noire est partagée par tous les clients, vous bénéficiez de toute intelligence acquise avec un autre client.
4. Amazon Web Services WAF
Amazon Web Services - ou AWS - est leservice d'hébergement en nuage mondialement reconnu du marché en ligne. Il exploite l’immense infrastructure distribuée d’Amazon pour offrir des services d’hébergement. Si vous êtes un client d'Amazon Web Services, AWS WAF est peut-être pour vous. Amazon Web Service propose également un service d'équilibrage de la charge et de distribution de contenu.
Le modèle de tarification du WAF Amazon Web Servicesest différent des autres vendeurs. Au lieu de payer une somme prédéfinie chaque mois, vous êtes facturé pour chaque règle de sécurité que vous ajoutez à votre service et pour le nombre de demandes Web reçues chaque mois. La meilleure chose à ce sujet est que vous n’avez pas à payer tout de suite pour une croissance future. C'est aussi très intéressant pour les organisations avec des pics saisonniers.
5. Imperva Incapsula
Imperva est un autre nom commun dans la sécurité informatiquechamp. Service géré du pare-feu d’applications Web Incapsula dans le nuage, Imperva, pour la protection contre les attaques de la couche d’application, y compris les 10 principales attaques et menaces du jour zéro du Projet de sécurité des applications Web ouvertes. Le service est certifié PCI et hautement personnalisable. Il est également très efficace et bloquera la plupart des menaces avec un minimum de faux positifs.
Incapsula est l’un des moins chers WAF basés sur le cloudsolutions que vous pouvez trouver. Les plans commencent aussi bas que 300 $ par mois. Une fonctionnalité intéressante d’Incapsula réside dans le fait qu’en plus d’un WAF plus «traditionnel», le système surveille également vos serveurs et envoie des correctifs afin de résoudre les problèmes détectés afin d’assurer une meilleure protection de vos applications Web. Vous pouvez, bien entendu, programmer l’application des correctifs à l’heure choisie pour réduire vos impacts opérationnels.
Notre top 5 des meilleurs appareils WAF
Tout comme nos 5 meilleures solutions WAF en nuageprovenaient tous de fournisseurs réputés, il en va de même pour nos appliances WAF. Ils proviennent de fournisseurs de matériel de sécurité parmi les plus réputés. Et tout comme notre liste précédente, celle-ci n’a que le meilleur. Notez que la plupart des fournisseurs d'appareils WAF offrent également un service basé sur le cloud.
1. Imperva SecureSphere
Imperva est l’un des deux vendeurs qui l’a fabriquédans nos deux listes. Son SecureSphere WAF cible des installations plus petites. Les différentes unités proposées varient de 100 Mbps à 10 Gbps, la plus petite pouvant traiter 440 transactions SSL par seconde et la plus grande, environ 9 000. Une unité intermédiaire, le X2020, offre un débit de 500 Mbps et traitera 2 000 SSL transactions par seconde et vous coûtera environ 4200 $.
Si vous choisissez l’un des modèles de premier plan, vous serezheureux d'apprendre qu'ils peuvent être mis à niveau vers le prochain modèle plus grand. Par exemple, le X821 peut être mis à niveau vers un X 10K, doublant ainsi sa capacité. Et la mise à niveau nécessite uniquement l'achat d'un correctif logiciel et d'une licence. Aucune mise à niveau matérielle coûteuse n'est requise.
2. Pare-feu d'applications Web Barracuda
Barracuda est un autre nom bien respecté dans ledomaine de la sécurité informatique. Il propose une excellente solution WAF parfaitement adaptée aux petites et moyennes entreprises. Les appareils Barracuda sont un peu plus chers que ceux de leurs concurrents, mais ils sont livrés avec un an de mises à jour gratuites. En ce qui concerne les mises à jour, elles se produisent fréquemment chaque fois qu'une nouvelle menace est identifiée.
L’appareil Barracuda WAF présente également quelques avantages supplémentaires.traits. Par exemple, il offre la mise en cache pour une livraison plus rapide du contenu. L'équilibrage de charge entre plusieurs serveurs est une autre fonctionnalité disponible. Vous pouvez même ajouter une protection complète contre les attaques DDoS. Comme la plupart des autres appareils WAF, le Barracuda WAAF est disponible en plusieurs tailles. Un appareil moyen comme le modèle 360 vous coûtera environ 6350 $ et vous donnera un débit de 25 Mbps et 2 000 transactions SSL par seconde.
3. Pare-feu applicatif Citrix Netscaler Application
Citrix Netscaler est une charge immensément populaireappareil d'équilibrage. Si vous les utilisez déjà, sachez que vous pouvez également en utiliser certaines comme pare-feu d'applications Web. Cette fonctionnalité est uniquement disponible dans les principales appliances NetSclaer MPX ou dans le service NetScaler Cloud. De plus, vous devrez acheter la licence Platinum de premier plan pour l’obtenir gratuitement, bien qu’elle soit également disponible en option avec la licence Enterprise.
Le plus gros avantage du NetScaler WAF est sal’équilibrage de charge et la sécurité à la fine pointe de la technologie. Il s’agit d’un système haut de gamme à un prix avantageux. Vous pouvez vous attendre à payer environ 4 000 USD pour le plus petit modèle, le MPX 5550, avec un débit de 500 Mbps et jusqu'à 1 500 transactions SSL par seconde.
4. Fortinet FortiWeb
Le FortiWeb de Fortinet est meilleuradapté aux petites et moyennes entreprises. L'appliance intègre WAF, l'équilibrage de charge et une fonctionnalité de déchargement SSL. L'une des meilleures caractéristiques - et les plus récentes - de l'appliance FortiWeb est l'apprentissage automatique en deux étapes basé sur l'IA, qui améliore la précision de la détection des attaques. il crée presque un pare-feu d'application Web «Définir et oublier»
Le dispositif FortiWeb protégera votreinfrastructure à partir des dernières vulnérabilités d’application, des robots et des URL suspectes. De plus, ses moteurs de détection à double apprentissage machine protègent vos applications contre toutes sortes de menaces, telles que l'injection SQL, les scripts intersites, les dépassements de mémoire tampon, l'empoisonnement des cookies, les sources malveillantes et les attaques DDoS. Il existe huit modèles FortiWeb différents, chacun avec une capacité croissante. Ils vont du 100D d'entrée de gamme à 25 Mbps au modèle haut de gamme 4000E avec un débit de 20 Gbps.
5. Gestionnaire de sécurité d'application (ASM) F5 BIG-IP
Le dernier mais non le moindre est le dispositif F5 BIG-IP ASM. Vous savez peut-être que F5 est l’un des principaux concurrents de Citrix. Ils sont réputés pour leurs équilibreurs de charge haut de gamme. Ceci est un appareil qui cible les grandes entreprises.
La protection contre les menaces F5 BIG-IP ASM utilise deanalyse des menaces et apprentissage dynamique, vous n’avez pratiquement aucune configuration à faire et vous pouvez cependant être assuré que votre infrastructure est correctement protégée. Une autre caractéristique intéressante de l'ASM F5 BIG-IP est le déchargement SSL. L'appareil gérera le cryptage et le décryptage SSL à la volée, permettant ainsi à vos serveurs Web de se concentrer sur ce qu'ils font de mieux, à savoir servir des pages Web.
En conclusion
Avec autant de produits et services à choisirà partir de, choisir la bonne solution WAF peut s'avérer être une poignée. Ce sont des systèmes coûteux et ils nécessitent souvent des efforts considérables - et une formation - pour être correctement configurés. Ce n’est probablement pas quelque chose que vous voudrez faire deux fois simplement pour essayer de nombreux produits différents. Assurez-vous d’identifier précisément vos besoins et votre projection de croissance. Vous aurez ainsi plus de chances de choisir le WAF qui vous convient le mieux.
commentaires