F5XC - Application Security
Je travaille depuis longtemps avec des pare-feu réseau et des pare-feu d'applications Web (WAF). Aujourd'hui, je vais écrire sur les concepts WAF, mais plus important encore, je vais écrire sur les deux couches de règles F5XC WAF basées sur ModSecurity et le moteur AI/ML.
Un WAF, pour Web Application Firewall, est un pare-feu qui agit au niveau de la couche 7. Il fonctionne de la même manière qu'un pare-feu, c'est-à-dire que son objectif est d'inspecter le trafic et de prendre des décisions basées sur des règles. Il effectue le filtrage, la surveillance et le blocage du trafic HTTP et HTTPS. Son objectif principal est de protéger les applications Web contre les attaques extrêmement courantes de nos jours. Un WAF protège contre des choses comme les injections SQL, le Cross-site-scripting (XSS) mais aussi l'injection de fichiers.
Mais pourquoi F5XC a-t-il créé un WAF en premier lieu, voyons comment une application fonctionne sans WAF. Par exemple, une application qui est servie par différents serveurs et accessible par certains utilisateurs. Sans WAF, si un attaquant lance une attaque contre le service, celui-ci peut facilement être interrompu, ce qui signifie que les utilisateurs légitimes ne peuvent plus accéder au service. Cependant, si nous installons un WAF, alors le trafic serait analysé par ce WAF, ce qui signifie que toute demande entrante serait analysée et vérifiée pour sa validité. Seules les demandes des utilisateurs légitimés seraient envoyées au service derrière le WAF, ce qui signifie que l'attaque serait bloquée et que les utilisateurs légitimés pourraient accéder au service.
Un WAF F5XC est livré avec deux couches de règles. La première consiste en des règles OWASP génériques, basées sur ModSecurity, et permettant une inspection de base telle que l'injection SQL et des choses comme celle-ci. Le second est spécifique au F5XC. Il est alimenté par un moteur AI/ML. Dans ce cas, le système effectue un apprentissage automatique pour comprendre le comportement des clients et des serveurs en fonction des journaux et des métriques collectés par un système de surveillance. Il envoie également des alarmes générées en fonction du comportement des anomalies.
Règles F5XC WAF basées sur le moteur AI/ML |
Les règles peuvent être implicites. Dans ce cas, nous souhaitons utiliser un type de technologie spécifique tel qu'Apache, PHP ou MySQL. Dans ce cas, F5XC créera toutes les règles pour nous sans que nous ayons à faire quoi que ce soit. L'autre est dite explicite, dans ce cas, elle permet aux utilisateurs de configurer explicitement les règles qui doivent être exclues.
Deux actions sont possibles. Surveillance et blocage. La surveillance nous permet simplement d'inspecter le trafic et d'enregistrer une alerte. Dans ce mode, aucun blocage ne se produit. Cependant, le mode de blocage nous permet de bloquer tout paquet correspondant à une règle.
Quel WAF utilisez-vous pour protéger vos services ?
Commentaires
Enregistrer un commentaire