Comprendre la sécurité des applications web

Livre blanc
Comprendre la sécurité des applications web
Défendre le nouveau périmètre d’une entreprise par
l’extension de la sécurité jusqu’à la périphérie d’Internet
Table des matières
RÉSUMÉ ............................................................................................................................... 1
INTRODUCTION.................................................................................................................... 1
Le risque croissant de l’insécurité du web...................................................................... 1
LES DÉFIS.............................................................................................................................. 2
Le nouveau périmètre d’une entreprise.......................................................................... 2
TENDANCES DES ATTAQUES WEB......................................................................................... 3
La cybercriminalité passe au professionnalisme............................................................. 3
Les sites web vecteurs d’attaques.................................................................................. 3
Automatisation et armées.............................................................................................. 3
Principales menaces pour les applications web.............................................................. 4
APPROCHES DE SÉCURITÉ ACTUELLES................................................................................. 4
Codage sécurisé et pratiques d’évaluation des codes..................................................... 4
Pare-feux d’applications web centralisés........................................................................ 5
WAF D’AKAMAI : UNE APPROCHE DISTRIBUÉE DE
LA SÉCURITÉ DES APPLICATIONS WEB.................................................................................. 5
Comment fonctionne le WAF d’Akamai ?....................................................................... 6
Architecture WAF distribuée........................................................................................... 6
AVANTAGES DU WAF D’AKAMAI.......................................................................................... 7
Avantage offert par EdgePlatform.................................................................................. 7
Avantages opérationnels................................................................................................ 8
Bénéfices commerciaux.................................................................................................. 8
DÉFENSE EN PROFONDEUR AVEC LE WAF D’AKAMAI.......................................................... 9
À PROPOS DE LA SÉCURITÉ AKAMAI.................................................................................... 10
Comprendre la sécurité des applications web Résumé
Alors que les entreprises effectuent de plus en plus de leurs transactions commerciales en ligne, elles
sont confrontées à un défi : celui de défendre un périmètre de plus en plus poreux. Les données et
les opérations stratégiques sont rendues très vulnérables face aux menaces croissantes d’Internet, en
étant exposées sur des interfaces web accessibles en tout point du globe.
Les pare-feux réseau qui verrouillaient auparavant le périmètre d’une entreprise sont inefficaces contre
les attaques web, qui gagnent rapidement en fréquence, en ampleur et en gravité. Ces attaques de
couche 7 représentent désormais entre 60 et 80 % de l’ensemble des incidents de sécurité signalés1.
En exploitant les failles de sécurité d’applications web classiques, les attaques peuvent être à l’origine
d’importantes interruptions d’activité, particulièrement via le vol d’informations professionnelles
sensibles ainsi que de données personnelles relatives aux clients et employés.
Ce document étudie les tendances actuelles relatives à la sécurité des applications web, en évaluant
l’environnement présent exposé aux menaces ainsi que les limites des approches existantes en matière
de protection. Il s’intéresse ensuite à la façon dont la solution distribuée Web Application Firewall
d’Akamai surmonte ces défis, en faisant partie intégrante de l’architecture de sécurité afin de fournir
une protection robuste et capable de monter en charge.
Introduction
Le risque croissant de l’insécurité du web
Le cyberespace est parfois comparé à un champ de bataille silencieux car les pirates informatiques,
comme ceux qui en sont victimes, veulent rester anonymes. Cependant, le tort fait aux entreprises
présentes sur Internet est bien réel. Tous les secteurs sont exposés à un risque : les sites financiers et
de ventes en ligne sont ciblés pour leurs données relatives aux comptes et aux cartes de crédit, les
entreprises pour leurs propriétés intellectuelles et leurs données, les organisations gouvernementales
pour leurs causes idéologiques ou politiques et les sites web populaires – notamment les médias
sociaux, les jeux vidéo en ligne et les sites de divertissement – pour leur importante base d’utilisateurs.
Les petites entreprises ne sont pas non plus à l’abri car de nombreuses attaques sont aléatoires, les
cybercriminels utilisant des méthodes automatisées pour détecter et infecter des sites vulnérables.
Les attaques sur la couche applicative sont notamment l’une des plus grandes menaces auxquelles
les technologies d’information d’entreprise se trouvent aujourd’hui confrontées. Ces attaques
prolifèrent alors que les criminels cherchent à exploiter la couche d’application web très vulnérable et
pratiquement sans protection qui sert de nouveau périmètre à l’entreprise, offrant malheureusement
une protection insuffisante aux données stratégiques et aux opérations qui s’y rattachent.
Les dégâts causés sont considérables. Une étude récente de la Purdue University, impliquant plus
de 800 responsables des technologies de l’information, estime que la cybercriminalité a coûté aux
entreprises plus de 1 billions de $ en 2008, imputés au vol de données et de propriété intellectuelle,
ainsi qu’à une image de la marque et une confiance des clients écornées. Il est coûteux de remédier
aux répercussions d’une violation des données car les entreprises sont soumises à des exigences de
rapport et de notification et sont exposées à des poursuites et à des amendes.
La conformité réglementaire est un autre problème. Le secteur des cartes de crédit a, par exemple,
mis en place des exigences réglementaires spécifiques pour s’assurer que les commerçants impliqués
dans des transactions de débit ou de crédit (par carte) en ligne sécurisent leurs applications web afin
de protéger les données de compte de leur clientèle.
Malheureusement, alors que les entreprises tentent de renforcer leurs applications et de sécuriser
leurs périmètres, elles doivent relever un certain nombre de défis, notamment un environnement
applicatif, vulnérable et complexe ainsi que des attaques de plus en plus sophistiquées pouvant
neutraliser les traditionnelles solutions de sécurité centralisées.
1
Comprendre la sécurité des applications web Les défis
Au cours des dernières années, de nombreuses entreprises ont fait migrer
leurs transactions stratégiques sur le web afin de tirer profit de sa large
accessibilité et de ses énormes capacités. Mais Internet n’a jamais été
conçu pour être une plate-forme sécurisée et fiable ; ses premiers adeptes
n’ont jamais anticipé le rôle central qu’il allait jouer. Ainsi, les applications
web connectent aujourd’hui des données d’entreprise sensibles à cette
plate-forme très ouverte, publique et par nature peu sûre, exposant ces
entreprises à des risques toujours plus élevés émanant de nombreuses
menaces de réseau pouvant les perturber et les compromettre.
Applications web : le nouveau périmètre d’une
entreprise
Alors que les entreprises ont fini par mieux comprendre et assurer la
sécurité de leur couche réseau, les cybercriminels se sont adaptés, en
portant leur attention sur la couche applicative, la plus complexe et la plus
vulnérable. Ainsi, alors que de plus en plus de ressources et opérations
d’entreprise stratégiques s’affichent sur les interfaces web, les applications
elles-mêmes sont devenues le nouveau périmètre d’une entreprise, un
périmètre de plus en plus complexe et poreux.
En effet, les vulnérabilités d’application web sont la catégorie pouvant
représenter aujourd’hui les failles de sécurité les plus sérieuses – avec
une protection trop faible – de l’infrastructure technique d’entreprise.
Le développeur de solutions de sécurité Sophos estime par exemple
qu’environ 23 500 pages web sont infectées chaque jour, ce qui signifie
qu’une nouvelle infection a lieu toutes les 3,6 secondes2.
Un certain nombre de raisons explique la prédisposition des applications
web à être attaquées :
L’accessibilité du pare-feu. En général, l’accès aux données et aux
applications d’entreprise était limité aux réseaux internes et les pare-feux
protégeaient le périmètre de l’entreprise, verrouillant la frontière au niveau
des passerelles Internet. Mais ces pare-feux réseau sont généralement
configurés pour permettre le passage du trafic http et SSL (ports 80
et 443), ouvrant ainsi une porte aux cybercriminels pour exploiter les
vulnérabilités au niveau des applications.
2
Une architecture complexe. La plupart des sites web institutionnels sont
au départ un élément de brochure simple et statique ; ils sont peu exposés
aux risques liés à la sécurité. Au fil du temps, des fonctionnalités ont été
ajoutées ponctuellement, faisant finalement d’un site autrefois basique
une application riche accédant à des systèmes dorsaux sensibles, créant
ainsi un risque de sécurité sérieux. L’architecture de site qui en résulte est
hétérogène et complexe puisque des technologies classiques et innovantes
sont associées, exposant de nombreuses interfaces dans le processus. Il est
par conséquent difficile de comprendre, et encore plus de gérer, les risques
liés à la sécurité et aux vulnérabilités présentes sur le site web actuel.
L’interactivité des applications et le web 2.0. Le caractère hautement
interactif des applications web modernes est aussi leur plus grand
point faible en matière de sécurité. Si elles n’ont pas été correctement
validées, les entrées des utilisateurs et le contenu qu’ils génèrent dans une
application peuvent être exploités pour accéder à des données sensibles
ou pour introduire un code malveillant dans un site. Le caractère visible et
manipulable du code d’application dans les navigateurs offre une autre
occasion simple d’exploitation.
L’évolution rapide des technologies. Les applications web d’aujourd’hui
– hautement fonctionnelles et dotées de multiples caractéristiques –
utilisent de nombreuses technologies nouvelles et en constante évolution,
comme AJAX et Flash pour les interfaces utilisateurs interactives, les services
web pour les communications de système à système, et les solutions
d’informatique dans le Cloud pour une infrastructure rentable et capable
de monter en charge. Dans la course aux fonctionnalités, de nombreuses
applications seront développées sans compréhension solide des implications
liées à la sécurité. En outre, les développeurs web doivent faire face
à l’introduction et au cycle de mises à jours constants des systèmes
d’exploitation, des serveurs applicatifs, des navigateurs et des clients
mobiles. La complexité et le changement rapide des technologies font
qu’il est pratiquement impossible pour les organisations de maintenir leurs
solutions de sécurité à jour.
Les cycles de développement rapides. Enfin, les pressions
concurrentielles du marché donnent la priorité à la fonctionnalité et à la
mise sur le marché, la sécurité étant reléguée au second plan. Les cycles
de développement d’applications rapides et les mises à jour constantes
laissent peu de temps pour une évaluation des codes et un contrôle de
vulnérabilité approprié, et occasionnent ainsi l’apparition continuelle de
nouvelles faiblesses.
Comprendre la sécurité des applications web Tendances des attaques web
Les facteurs cités ci-dessus ont conduit à un environnement très complexe et vulnérable pour les
applications web, et les cybercriminels n’ont pas tardé à en tirer profit. En fait, le motif commun à ces
récentes tendances est le niveau de sophistication toujours plus élevé de ces pirates et de leur arsenal
qui les conduit à causer des dégâts encore plus importants.
La cybercriminalité passe au professionnalisme
Auparavant, la cybercriminalité était le domaine d’un hacker isolé, en quête de célébrité, mais il s’agit
plus souvent aujourd’hui d’une opération professionnelle et lucrative, révélatrice du rayonnement
du crime organisé. Bien que les attaques cybercriminelles puissent être motivées par des causes
politiques ou idéologiques, l’appât du gain est souvent le premier motif. D’ailleurs, les activités
cybercriminelles sont aujourd’hui faciles à rentabiliser via un marché noir en plein essor, où les hackers
peuvent acheter ou vendre tout ce qui est nécessaire à l’exercice de leur « métier », notamment des
outils de reconnaissance, des logiciels malveillants sur mesure, des réseaux de zombies ou des listes
massives d’identifiants volés.
Les numéros de cartes de crédit et autres données personnelles de comptes bancaires sont des cibles
populaires chez les cybervoleurs car les numéros de carte peuvent rapporter de 10 $ à 25 $ dans
l’économie clandestine et les identifiants de comptes bancaires peuvent se vendre de 10 $ à 1000 $
par compte. Symantec estime que le marché souterrain pour ces données financières détournées
représente des centaines de millions de dollars, alors que la valeur monétaire globale des comptes
eux-mêmes s’élève à plusieurs milliards3.
Les cybercriminels ciblent non seulement les données financières des clients, mais exploitent aussi
les failles de sécurité des applications web pour s’attaquer aux actifs attrayants de l’entreprise. Un
récent rapport de sécurité de McAfee indique que le vol de propriété intellectuelle, perpétré grâce
à l’espionnage industriel, devient une cible privilégiée à mesure que les hackers se perfectionnent
techniquement et visent des butins de plus grande valeur4.
Cette manne financière, associée aux faibles protections et au risque encouru relativement modéré,
ont favorisé une hausse forte et continue de la cybercriminalité au cours des dernières années.
Les sites web vecteurs d’attaques
Une autre tendance majeure consiste à compromettre des sites web pour infecter les machines des
visiteurs du site, faisant ainsi du site lui-même un vecteur d’attaque, plus qu’une cible directe. Si les
données de l’entreprise ne sont pas directement exposées à un risque lors de ce type d’attaques, il
n’en va pas de même pour la marque et sa réputation. En employant des techniques comme le «
cross-site scripting » ou l’injection SQL, les pirates peuvent tirer profit de la confiance inspirée par un
site, de sa réputation et de sa popularité pour infecter ses visiteurs avec des logiciels malveillants.
Selon Websense, au cours du premier semestre 2009, 61 des 100 sites les plus fréquentés sur le web
se sont révélés avoir été compromis de cette façon – soit en hébergeant un contenu malveillant,
soit en ayant un contenu caché, redirigeant vers un site malveillant5. Les possibilités des logiciels
malveillants sont infinies ; ils peuvent par exemple installer des enregistreurs de frappe pour capturer
des mots de passe d’utilisateurs ou relier la machine de l’utilisateur à une partie d’un botnet qui peut
être exploité pour d’autres attaques cybercriminelles.
Automatisation et armées
Pour corser le tout, l’arsenal des cybercriminels devient rapidement de plus en plus complexe. Les
logiciels malveillants intègrent désormais des technologies avancées pour éviter les détections et
les suppressions, par exemple. Et ce sont de plus en plus souvent des hackers professionnels qui les
créent avec des départements de recherche et développement qui prennent même en charge leurs
produits en fournissant des mises à jour et débogages6.
3
Comprendre la sécurité des applications web Une autre tendance clé réside dans l’augmentation du nombre d’outils
d’attaque automatisés, notamment l’utilisation d’armées de zombies ou de
botnets qui amplifient et multiplient l’envergure potentielle des attaques.
On estime malheureusement que 34 millions d’ordinateurs aux États-Unis
pourraient aujourd’hui faire partie d’un botnet, soit une hausse de 50 % par
rapport à l’année précédente7. Ces armées de machines infectées donnent
aux pirates le contrôle sur un grand nombre de ressources informatiques,
utilisées pour lancer des attaques par injection SQL à grande échelle, diffuser
des logiciels malveillants ou des spams, perpétrer des vols de cartes de crédit
et de mots de passe, exécuter des attaques DDoS, ou protéger des sites web
malveillants ayant un hébergement de flux rapides.
Les botnets et logiciels malveillants sont aisément accessibles via le marché
noir, mettant ces outils sophistiqués et puissants à la porté de n’importe qui.
Cela signifie qu’il faut peu de temps pour mettre à exécution une attaque
de grande envergure. Par exemple, en 2007, un étudiant mécontent a été
capable à lui seul de lancer une attaque qui a paralysé pendant un mois le
gouvernement estonien et d’autres entités commerciales. Les entreprises
doivent par conséquent être préparées à gérer des attaques web de grande
ampleur.
Principales menaces pour les applications web
Malheureusement, alors que les menaces de la couche 7 sont de
plus en plus palpables, la grande majorité des applications web reste
insuffisamment protégée. Selon une étude du Consortium de sécurité des
applications Web, plus de 87 % des applications web sont actuellement
considérées comme présentant une vulnérabilité de niveau élevé ou
supérieur8. En outre, près de la moitié des applications testées contenaient
des vulnérabilités absolues ou critiques, détectables grâce à une analyse
automatique.
Nous mettons ici en évidence certaines des principales menaces.
Injection SQL – De nombreuses bases de données traquant les
vulnérabilités citent l’injection SQL comme la faille de sécurité web la
plus communément exploitée en 2008. Un rapport indique qu’il y avait
quelques milliers d’attaques SQL par jour au début de l’année 2008, mais
plusieurs centaines de milliers par jour à la fin de cette même année9.
Les attaques SQL exploitent les vulnérabilités d’applications – comme les
zones de saisie qui ne sont pas correctement filtrées – qui permettent
au code SQL d’être inséré de façon malveillante et exécuté dans la base
de données. Une fois la base de données forcée, les possibilités sont
pratiquement infinies. Les pirates peuvent utiliser cette faille pour voler ou
falsifier des données, ou installer des logiciels malveillants sur de multiples
systèmes.
La violation massive des données de Heartland et Hannaford Brothers, qui
s’est traduite par le vol de 130 millions de numéros de cartes de débit et
de crédit, a été perpétrée par injection SQL. De nombreuses attaques par
injection SQL via des botnets ont également été utilisées pour introduire
un code sur des sites de confiance, redirigeant les utilisateurs vers des
sites hostiles où le logiciel malveillant est installé sur les machines des
4
utilisateurs. Ce type d’attaque a compromis plus de 70 000 sites web en
janvier 200810.
Cross Site Scripting (XSS) – Le « cross site scripting » est une autre
vulnérabilité répandue ; un rapport estime en effet que 65 % des sites
web sont susceptibles d’être attaqués11. Cette vulnérabilité permet aux
pirates d’exécuter un script malveillant côté client en l’injectant dans l’URL
d’un site de confiance. Les attaques XSS permettent le vol de données
d’utilisateurs sensibles, y compris les cookies ou les données de connexion.
Il peut aussi falsifier un contenu de site, exploiter des techniques de
piratage psychologique et la réputation du site de confiance pour amener
les utilisateurs à télécharger d’autres logiciels malveillants.
Attaques par déni de service distribuées (DDoS) – Les attaques DDoS
sont une autre catégorie en plein essor, la quantité comme l’ampleur
des attaques montant rapidement en flèche. Selon une enquête, les
attaques par déni de service arrivaient juste après l’injection SQL parmi
les vulnérabilités du web les plus communément signalées au cours du
second semestre 200812. Avec l’aide des botnets, les pirates sont désormais
capables d’exécuter des attaques par déni de service sur une échelle bien
plus grande qu’avant ; il est ainsi plus difficile et plus coûteux de s’en
protéger. De plus, les attaques DDoS au niveau de la couche applications
sont plus difficiles à détecter que les attaques DDoS au niveau de la couche
réseau car elles utilisent des quantités massives de requêtes web normales
qui peuvent être difficiles à distinguer du trafic légitime.
Approches de sécurité actuelles
Les classiques pare-feux réseau et systèmes de prévention contre les
intrusions n’offrent pas une sécurité suffisante contre ces dangereuses
attaques web. Afin d’accroître ces protections, il existe aujourd’hui deux
approches fondamentales utilisées pour sécuriser la couche d’application
web. Chaque approche a ses limites pratiques mais, comme nous
pourrons le constater, une architecture de sécurité exhaustive risque
d’exploiter quelques-unes des techniques appartenant à chacune d’elles.
Codage sécurisé et pratiques d’évaluation des
codes
En théorie, une sécurité conçue et créée directement dans le code de
l’application web est une excellente approche de protection des sites. Les
best practices incluent une évaluation stricte des codes au moment des
phases de conception, de développement, de test et de déploiement du
produit, en utilisant à la fois des méthodes manuelles et automatisées,
avec test de pénétration et outils d’évaluation de la vulnérabilité du code.
Mais en pratique, les ressources nécessaires pour mettre en œuvre de
façon conforme ces tâches prenantes font défaut aux entreprises. Il leur
est également difficile de maintenir des évaluations à jour en interne car
le paysage des technologies et de la sécurité est en constante évolution.
Comprendre la sécurité des applications web De plus, la résolution des failles demande du temps — et l’expertise nécessaire, particulièrement
dans l’environnement d’application complexe d’aujourd’hui. Une récente étude WhiteHat a montré
qu’entre un et quatre mois – en moyenne – étaient nécessaires à une entreprise pour résoudre des
vulnérabilités de sites web connues, considérées comme présentant un risque élevé, critique ou
urgent. Ce chiffre ne tient pas compte des vulnérabilités non résolues ; 80 % des failles urgentes de
« cross-site scripting » et 70 % des failles urgentes d’injection SQL sont restées sans solution pendant
l’année qu’a duré l’étude13.
Donc, même avec les meilleures des intentions, les évaluations de codes ne peuvent en général
pas être la principale méthode de sécurisation des applications. Face aux pressions du marché, les
entreprises n’ont tout simplement pas le temps ou les ressources pour les entreprendre.
Pare-feux d’applications web centralisés
Les Web Application Firewalls (WAF) apportent un moyen pratique d’augmenter les évaluations
de codes, offrant une couche de protection aux applications en filtrant toutes les requêtes web
entrantes. Contrairement aux pare-feux réseau classiques, les WAF sont en mesure de comprendre la
charge utile du trafic web grâce à leur capacité à inspecter en profondeur les paquets de données. Ils
sont en général déployés en tant que dispositifs matériels installés derrière le pare-feu de l’entreprise
et devant les serveurs web.
Si les dispositifs WAF peuvent être très efficaces, ils demandent aussi d’importantes ressources pour
leur déploiement et leur gestion car ils impliquent souvent la nécessité d’apporter des changements à
l’architecture réseau existante et ils peuvent être difficiles à adapter sur de grands déploiements.
La planification des capacités est un défi supplémentaire car les dispositifs WAF exigent
des investissements initiaux en fonction des estimations des flux de pics de trafic. Ce
surdimensionnement de réseau se traduit par une infrastructure coûteuse qui n’est pas utilisée de
façon optimale la plupart du temps, alors que le sous-dimensionnement du réseau peut se solder
par un échec d’application total.
Enfin, les entreprises doivent aussi acheter et gérer des boîtes de basculement car les dispositifs WAF
sont déployés en série, créant ainsi un point de défaillance critique unique. Si le pare-feu tombe en
panne, l’intégralité du site aussi ou, au minimum, reste complètement vulnérable face aux attaques.
WAF d’Akamai :
une approche distribuée de la sécurité
des applications web
Le service Web Application Firewall distribué d’Akamai (WAF) offre une approche unique de la
sécurisation des applications web contre les menaces actuelles, en exploitant la flexibilité et la
capacité de montée en charge du Cloud pour surpasser les limites de WAF centralisés plus rigides.
En fonctionnant comme un service déployé à travers la plate-forme EdgePlatform composée de 61
000 serveurs, le WAF d’Akamai propose le seul pare-feu d’application web distribué de l’industrie,
associant capacité de montée en charge, fiabilité et performances avec facilité d’intégration et gestion
simplifiée.
5
Comprendre la sécurité des applications web Le WAF d’Akamai tient le trafic malveillant à distance de l’infrastructure
web d’origine en bloquant les attaques à leur source, à la périphérie
d’Internet. En outre, le service fait évoluer automatiquement et à la
demande la capacité de montée en charge, offrant ainsi la possibilité de
lutter sans problèmes contre les attaques actuelles de grande envergure.
Comment fonctionne le WAF d’Akamai ?
Le Web Application Firewall d’Akamai détecte les attaques en filtrant le
trafic HTTP et HTTPS entrant, en fonction de contrôles des couches de
réseau et d’application configurables. En exécutant ses inspections à la
périphérie d’Internet avant qu’Akamai ne gère chaque requête, le WAF
peut soit bloquer, soit envoyer des alertes pour tout trafic malveillant
détecté. Akamai répond ensuite aux requêtes légitimes en diffusant du
contenu et les applications directement transférés depuis la périphérie, en
communiquant avec le serveur d’origine selon les besoins.
En se concentrant sur l’identification de la charge utile pour une attaque
générique plutôt que sur la détection d’une signature spécifique à
l’attaque, le WAF d’Akamai fournit une protection prête à l’emploi contre
un large éventail d’attaques, y compris les vulnérabilités de type « Zero
Day Attack » et inconnues. Ses paramètres de sécurité centraux sont
basés sur ModSecurity, un ensemble de règles normalisées et éprouvées
6
qui offrent une sécurité prête à utiliser, avec des performances optimales
contre les principales techniques d’exploitation, y compris l’injection SQL,
le « cross-site scripting », le débordement de mémoire tampon, la division
de réponse HTTP et autres attaques web. L’ensemble de ces règles centrales
protège aussi contre les robots et les scanners de sécurité malveillants, ainsi
que contre les tentatives d’accès par des chevaux de Troie et des portes
dérobées qui peuvent avoir infecté le système.
Architecture WAF distribuée
Bien que le WAF offre une protection contre les menaces les plus courantes,
ce n’est pas systématiquement le meilleur moyen de gérer chaque type
d’attaque d’application web. Certains types d’attaques sophistiqués
nécessitent une connaissance approfondie de l’infrastructure de réseau et
des applications impliquées et peuvent donc être mieux traités à l’origine.
Ainsi, le WAF fournit une couche de défense extérieure efficace et
hautement flexible qui fonctionne soit comme un pare-feu autonome, soit
de concert avec l’infrastructure de sécurité des applications web existante
d’une entreprise – améliorant la robustesse et la capacité de montée en
charge de cette infrastructure en transférant les fonctions plus génériques
vers la plate-forme d’Akamai. Les défenses centralisées sont alors libres de
se concentrer sur les protections plus spécifiques aux applications.
Architecture du Web Application Firewall d'Akamai
Applications et
contenu ciblés
Trafic malveillant bloqué à la
source, à distance de
l'origine protégée.
ARRÊT
Serveur d'origine
(États-Unis)
Agresseur
Comprendre la sécurité des applications web Avantages du WAF d’Akamai
Unique de par son architecture distribuée dans le Cloud, le WAF d’Akamai offre un certain nombre
d’avantages en termes techniques, opérationnels et commerciaux, aux entreprises cherchant à
sécuriser leurs applications web d’une façon rentable et évolutive.
Avantage offert par EdgePlatform
Le WAF d’Akamai fonctionne sur EdgePlatform, qui a fait d’Internet une plate-forme robuste et
fiable pour mener ses activités commerciales. En exploitant cette plate-forme éprouvée, le WAF
fournit les mêmes types d’avantages – en matière de performances, de montée en charge, de
disponibilité et d’efficacité – pour l’infrastructure de sécurité web que ceux diffusés constamment,
au cours des dix dernières années, par les services de diffusion de sites d’Akamai pour l’infrastructure
d’application web.
Le WAF fonctionne via plus de 61 000 serveurs faisant partie de la plate-forme globale d’Akamai qui
diffuse chaque jour près d’un cinquième du trafic web mondial. Cela signifie que la capacité massive
de pare-feu distribuée est disponible à la demande, éliminant les problèmes de planification associés à
l’adaptation d’une infrastructure centralisée.
En outre, la redondance et la capacité de résistance de la plate-forme EdgePlatform garantissent la
disponibilité permanente de la couche de protection WAF, contrairement aux pare-feux centralisés
qui créent un unique point de défaillance et nécessitent l’achat et la gestion de dispositifs de
secours. Avec le WAF, le basculement est automatique et intégré afin que l’origine soit protégée en
permanence.
Chaque composant de la plate-forme Akamai étant optimisé pour sa rapidité, le WAF fournit
une sécurité sans que la performance s’en ressente. En pratique, les clients WAF n’ont rencontré
aucune dégradation des temps de réponse, même avec des configurations de pare-feu nécessitant
l’application de plus de 100 filtres de sécurité à chaque requête. Le WAF protège leurs applications
tout en continuant à diffuser l’intégralité des avantages d’EdgePlatform en termes d’accélération.
Enfin, le WAF traite à la fois les attaques de trafic et le trafic légitime à la périphérie d’Internet, où leur
prise en charge est plus efficace. En détectant et en détournant les requêtes malveillantes à proximité
de leur source, il protège l’origine et empêche les attaques de trafic de franchir Internet. Cette
approche distribuée unique complète l’infrastructure de sécurité centralisée existante d’une entreprise
et fournit une architecture robuste, de défense en profondeur.
7
Comprendre la sécurité des applications web 8
Avantages opérationnels
Bénéfices commerciaux
Puisqu’il est parfaitement intégré au site et aux services de diffusion
d’applications d’Akamai, le WAF offre les avantages d’une protection
immédiate sans les tracas liés au développement, à l’intégration, à la
configuration de règles complexes, au déploiement d’un dispositif ou
à la refonte de l’architecture. Il peut être mis en œuvre rapidement et
facilement, et son ensemble de règles centrales optimisées est prêt
à l’emploi afin que les entreprises puissent commencer à en profiter
immédiatement.
La caractéristique centrale du WAF d’Akamai est sa capacité à diffuser
de façon transparente une application de sécurité robuste, aidant les
entreprises à préserver la confiance de leurs clients et la fiabilité de leur
marque en atténuant les risques de vol de données commerciales et
de compromission de système. Le WAF encourage aussi le respect des
exigences réglementaires telles que la conformité PCI DSS, section 6.6.
Pour terminer, le WAF d’Akamai, grâce à son statut de service managé
dans le Cloud, réduit la charge attribuée au personnel et aux ressources
de sécurité centralisée, permettant ainsi d’avoir une infrastructure centrale
simplifiée, offrant une plus grande agilité, et pouvant mieux répondre aux
problèmes spécifiques des applications.
Avantages opérationnels et techniques clés du WAF
d’Akamai
• Protection robuste éprouvée et prête à l’emploi
• Capacité de montée en charge massive et à la demande – plus de
problèmes de planification des capacités
• Disponibilité et performances
• Déploiement facile et rapide gestion simplifiée
• Attaques détournées à la périphérie du réseau, loin de l’origine
Le fait que le WAF diffuse cette protection de façon flexible et rentable
est également un critère tout aussi important pour les résultats d’activité.
Grâce à son modèle de services à la demande, le WAF réduit les
investissements initiaux et élimine le surdimensionnement coûteux du
matériel et des logiciels de sécurité. Les clients du WAF économisent aussi
sur les dépenses de contrats de maintenance et de mises à jour pour
leurs solutions de sécurité, bénéficiant ainsi d’un coût total de propriété
allégé en exploitant l’efficacité d’une montée en charge intégrée dans
l’EdgePlatform.
Enfin, le WAF réduit le gaspillage de ressources causé par un trafic
malveillant. En bloquant les attaques à leur source, à la périphérie
d’Internet, le WAF diminue les coûts liés à la bande passante et aux autres
ressources d’origine qui seraient autrement consommées par les attaques.
Bénéfices commerciaux clés du WAF d’Akamai
• Protéger la stratégie de marque et les revenus en atténuant les risques
associés à la compromission de système
• Encourager le respect de la norme PCI et des autres exigences
réglementaires
• Réduire les dépenses d’exploitation, les coûts de maintenance et le coût
total de propriété
• Eviter un surdimensionnement des réseaux internes et un gaspillage des
ressources dus aux attaques de trafic
• Délester et rationaliser les ressources de sécurité en internet
Comprendre la sécurité des applications web 9
Défense en profondeur avec le WAF
d’Akamai
Les best practices actuelles pour la sécurité imposent une approche de défense en profondeur
utilisant une gamme diverse d’outils afin de créer des couches de protection superposées adaptées
au périmètre poreux de l’entreprise. Pour combattre des menaces aussi complexes et graves que
celles que nous observons aujourd’hui, une architecture de défense en profondeur doit multiplier les
solutions centralisées classiques, comme les systèmes de pare-feux et de prévention des intrusions,
avec un nouveau genre de services de sécurité distribués dans le Cloud, à l’instar du WAF d’Akamai,
tel que décrit dans le schéma d’architecture ci-dessous.
Dans une architecture de ce type, le WAF d’Akamai met en place une ceinteure extérieure défensive
et peu coûteuse qui complète les outils de sécurité centralisés existants. Il déleste et soutient ces
ressources de sécurité centralisées tout en apportant la capacité de montée en charge et l’accessibilité
supplémentaires, nécessaires à la défense du périmètre d’une entreprise, qui s’étend désormais à
la périphérie d’Internet. Cela se traduit par une infrastructure d’origine rationalisée, complétée par
une couche extérieure flexible et à la demande, qui fournissent, ensemble, de vigoureuses défenses
d’application, tout en réduisant les problèmes de maintenance et de planification informatiques.
Une architecture de défense en profondeur efficace pour la protection des applications
web combine de multiples couches de sécurité, incluant :
• Des pare-feux centralisés classiques
• Des analyses de vulnérabilité
• Un développement sécurisé et des évaluations de code
• Une surveillance du réseau
• Une détection/prévention des intrusions
• Un WAF distribué pour une protection à la
périphérie
Une architecture de sécurité de défense en profondeur
Le WAF d'Akamai dans l'environnement de sécurité
Multiplicité de l'origine des systèmes de sécurité en place
WAF d'Akamai
Dispositifs WAF,
systèmes de détection
et de prévention
Pare-feu
des intrusions (IDS/IPS),
surveillance du réseau
Évaluation de code,
analyses de
vulnérabilité
Serveur
Serveur
web d'applications
Sécurité périphérie
+
sécurité localisée
DB
Comprendre la sécurité des applications web 10
À propos de la sécurité Akamai
Depuis plus de dix ans, les principales entreprises mondiales exploitent la plate-forme éprouvée, sécurisée et résistante aux défaillances pour accélérer leurs
transactions et leurs applications stratégiques dans un environnement Internet peu sûr. Des milliers d’entreprises font confiance à EdgePlatform pour diffuser 500
milliards d’interactions web chaque jour ; c’est pourquoi la sécurité est toujours au premier plan chez Akamai. Elle est complètement intégrée dans chaque aspect
des opérations et de la plate-forme d’Akamai, pour protéger non seulement Akamai et ses clients mais Internet dans son ensemble. Ainsi, grâce à son expertise
reconnue en matière de sécurité, ses compétences mondiales inégalées et sa plate-forme massivement distribuée, Akamai est particulièrement apte à aider les
entreprises à exploiter la puissance d’Internet et à défendre leurs périmètres contre les menaces de grande envergure et en pleine évolution.
1
L e rapport de Symantec relatif aux menaces de sécurité Internet, en avril 2009, avance le pourcentage de 60 %, alors que le rapport de Cenzic relatif aux tendances de
sécurité des applications web, T3-T4 2008, le place à 80 %, en fonction de données compilées, issues de multiples bases de données de menaces tierces.
2
http://www.sophos.com/sophos/docs/eng/papers/sophos-security-threat-report-jul-2009-na-wpus.pdf
3
http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_underground_economy_report_11-2008-14525717.en-us.pdf
4
http://www.mcafee.com/us/about/press/corporate/2009/20090129_063500_j.html
5
http://www.websense.com/site/docs/whitepapers/en/WSL_Q1_Q2_2009_FNL.PDF
6
http://resources.mcafee.com/content/NAUnsecuredEconomiesReport, http://www.fas.org/sgp/crs/terror/RL32114.pdf
7
http://www.gtisc.gatech.edu/pdf/CyberThreatsReport2009.pdf
8
http://projects.webappsec.org/Web-Application-Security-Statistics
9
http://www-935.ibm.com/services/us/iss/xforce/trendreports/xforce-2008-annual-report.pdf
10
http://www.sans.org/newsletters/newsbites/newsbites.php?vol=10&issue=2#sID200
11
http://www.whitehatsec.com/home/assets/WPstats_spring09_7th.pdf
12
http://www.cenzic.com/downloads/Cenzic_AppSecTrends_Q3-Q4-2008.pdf
13
http://www.whitehatsec.com/home/assets/WPstats_spring09_7th.pdf
14
P our en savoir plus, consultez la Vue d’ensemble du système de gestion de la sécurité de l’information d’Akamai qui expose plus précisément les politiques de sécurité
opérationnelles et de réseau globales d’Akamai.
La différence Akamai
Akamai® propose l’unique service managé du marché capable de diffuser des contenus (riches, interactifs et dynamiques) sur le web et d’accélérer les transactions et les applications
sur Internet. Aujourd’hui Akamai compte parmi ses clients quelques-uns des plus grands groupes internationaux et ce dans l’ensemble des secteurs d’activités. Véritable alternative aux
infrastructures web centralisées, la plate-forme mondiale d’Akamai s’appuie sur plusieurs dizaines de milliers de serveurs dédiés qui, en plus d’offrir un point de vue incomparable sur le
réseau Internet, apportent aux entreprises l’envergure, la fiabilité, la visibilité et les performances nécessaires pour déployer leurs modèles économiques et mener à bien leurs activités en
ligne. Akamai conforte l’Internet dans son rôle d’information, de divertissement, d’échange et de communication. Pour découvrir la différence Akamai, allez sur www.akamai.fr
Akamai Technologies, Inc.
Sede central en EE.UU.
Bureaux dans le monde
8 Cambridge Center
Unterfoehring, Allemagne
Bangalore, Inde
Cambridge, MA 02142
Paris, France
Sydney, Australie
Tél. : 617.444.3000
Milan, Italie
Pékin, Chine
Fax : 617.444.3001
Londres, Angleterre
Tokyo, Japon
Numéro vert (USA) :
Madrid, Espagne
Séoul, Corée
877.4AKAMAI (877.425.2624)
Stockholm, Suède
Singapour
www.akamai.fr
©2009 Akamai Technologies Inc. Tous droits réservés. Toute reproduction complète ou partielle
sous quelque forme ou support que ce soit sans autorisation écrite expresse est strictement
interdite. Akamai et le logo en forme de vagues d’Akamai sont des marques déposées.
Les autres marques commerciales citées appartiennent à leurs propriétaires respectifs. À la
connaissance d’Akamai, les informations utilisées dans la présente publication sont exactes à la
date de leur parution. Ces informations sont sujettes à modification sans préavis.

Download Report