Implémenter un pare-feu d’applications web
- 7 minutes
Pare-feu d'applications Web (WAF) fournit une protection centralisée de vos applications Web contre les exploits et vulnérabilités courants. Les injections SQL et les scripts intersite font partie des attaques les plus courantes.
Il est difficile d’empêcher les attaques dans le code d’application. La prévention peut nécessiter une maintenance rigoureuse, une mise à jour corrective et une surveillance au niveau de plusieurs couches de l’application. Un pare-feu d’applications web (WAF) centralisé permet de simplifier la gestion de la sécurité. Un pare-feu WAF offre également aux administrateurs d’application une meilleure garantie de protection contre les menaces et intrusions . Une solution WAF peut également réagir plus rapidement à une menace de sécurité en corrigeant une vulnérabilité connue de façon centralisée plutôt que de sécuriser individuellement chacune des applications web.
Modes de stratégie web application firewall
Il existe deux modes de stratégie WAF : Détection et prévention. Par défaut, la stratégie WAF est en mode détection. En mode Détection, WAF ne bloque aucune demande. Au lieu de cela, les demandes correspondant aux règles WAF sont journalisées. En mode Prévention, les requêtes qui correspondent aux règles sont bloquées et journalisées.
Le pare-feu d’applications web fonctionne avec Application Gateway, Azure Front Door Service et le service Azure CDN.
Ensembles de règles managés par Microsoft, groupes de règles et règles
Azure Web Application Firewall contrecarre les exploits connus en appliquant des règles aux requêtes HTTP/HTTPS entrantes d’une application. Une règle est conçue pour reconnaître et empêcher une menace particulière.
Les règles utilisées par Azure Web Application Firewall pour détecter et bloquer les vulnérabilités courantes sont principalement des règles managées qui appartiennent à divers groupes de règles. Chaque groupe de règles est une collection de règles et un ensemble de règles managé est une collection de groupes de règles. Les ensembles de règles managés incluent les groupes de règles basés sur Microsoft Threat Intelligence, les groupes de règles CVE (Common Vulnerabilities and Exposures) et les groupes de règles de base (CRS). Les menaces courantes que le WAF vérifie sont les suivantes :
- Attaque par scripts intersites (XSS). Un acteur de menace utilise une application web pour envoyer du code malveillant au navigateur web d’un autre utilisateur.
- Inclusion de fichier local. Un attaquant exploite les vulnérabilités dans la gestion des instructions include d’un serveur, le plus souvent dans les scripts PHP.
- Attaques par injection PHP. L’attaquant insère du texte spécialement configuré pour inciter le serveur à exécuter des commandes PHP.
- Exécution de commande à distance. L’attaquant astuce un serveur pour exécuter des commandes associées au système d’exploitation du serveur.
- Fixation de session. Un attaquant exploite une vulnérabilité d’application web qui permet à l’attaquant d’obtenir un ID de session valide.
- Protection contre l’injection SQL. Dans un champ de formulaire web, l’attaquant insère (ou « injecte ») du texte spécialement configuré pour inciter le serveur à exécuter des commandes SQL.
- Attaquants de protocole. Un attaquant insère du texte spécialement configuré dans un en-tête de requête HTTP/HTTPS.
Conseil / Astuce
En savoir plus sur le pare-feu d’applications web dans le module Introduction au pare-feu d’applications web Azure .