Livre blanc Comprendre la sécurité des applications web Défendre le nouveau périmètre d’une entreprise par l’extension de la sécurité jusqu’à la périphérie d’Internet Table des matières RÉSUMÉ ............................................................................................................................... 1 INTRODUCTION.................................................................................................................... 1 Le risque croissant de l’insécurité du web...................................................................... 1 LES DÉFIS.............................................................................................................................. 2 Le nouveau périmètre d’une entreprise.......................................................................... 2 TENDANCES DES ATTAQUES WEB......................................................................................... 3 La cybercriminalité passe au professionnalisme............................................................. 3 Les sites web vecteurs d’attaques.................................................................................. 3 Automatisation et armées.............................................................................................. 3 Principales menaces pour les applications web.............................................................. 4 APPROCHES DE SÉCURITÉ ACTUELLES................................................................................. 4 Codage sécurisé et pratiques d’évaluation des codes..................................................... 4 Pare-feux d’applications web centralisés........................................................................ 5 WAF D’AKAMAI : UNE APPROCHE DISTRIBUÉE DE LA SÉCURITÉ DES APPLICATIONS WEB.................................................................................. 5 Comment fonctionne le WAF d’Akamai ?....................................................................... 6 Architecture WAF distribuée........................................................................................... 6 AVANTAGES DU WAF D’AKAMAI.......................................................................................... 7 Avantage offert par EdgePlatform.................................................................................. 7 Avantages opérationnels................................................................................................ 8 Bénéfices commerciaux.................................................................................................. 8 DÉFENSE EN PROFONDEUR AVEC LE WAF D’AKAMAI.......................................................... 9 À PROPOS DE LA SÉCURITÉ AKAMAI.................................................................................... 10 Comprendre la sécurité des applications web Résumé Alors que les entreprises effectuent de plus en plus de leurs transactions commerciales en ligne, elles sont confrontées à un défi : celui de défendre un périmètre de plus en plus poreux. Les données et les opérations stratégiques sont rendues très vulnérables face aux menaces croissantes d’Internet, en étant exposées sur des interfaces web accessibles en tout point du globe. Les pare-feux réseau qui verrouillaient auparavant le périmètre d’une entreprise sont inefficaces contre les attaques web, qui gagnent rapidement en fréquence, en ampleur et en gravité. Ces attaques de couche 7 représentent désormais entre 60 et 80 % de l’ensemble des incidents de sécurité signalés1. En exploitant les failles de sécurité d’applications web classiques, les attaques peuvent être à l’origine d’importantes interruptions d’activité, particulièrement via le vol d’informations professionnelles sensibles ainsi que de données personnelles relatives aux clients et employés. Ce document étudie les tendances actuelles relatives à la sécurité des applications web, en évaluant l’environnement présent exposé aux menaces ainsi que les limites des approches existantes en matière de protection. Il s’intéresse ensuite à la façon dont la solution distribuée Web Application Firewall d’Akamai surmonte ces défis, en faisant partie intégrante de l’architecture de sécurité afin de fournir une protection robuste et capable de monter en charge. Introduction Le risque croissant de l’insécurité du web Le cyberespace est parfois comparé à un champ de bataille silencieux car les pirates informatiques, comme ceux qui en sont victimes, veulent rester anonymes. Cependant, le tort fait aux entreprises présentes sur Internet est bien réel. Tous les secteurs sont exposés à un risque : les sites financiers et de ventes en ligne sont ciblés pour leurs données relatives aux comptes et aux cartes de crédit, les entreprises pour leurs propriétés intellectuelles et leurs données, les organisations gouvernementales pour leurs causes idéologiques ou politiques et les sites web populaires – notamment les médias sociaux, les jeux vidéo en ligne et les sites de divertissement – pour leur importante base d’utilisateurs. Les petites entreprises ne sont pas non plus à l’abri car de nombreuses attaques sont aléatoires, les cybercriminels utilisant des méthodes automatisées pour détecter et infecter des sites vulnérables. Les attaques sur la couche applicative sont notamment l’une des plus grandes menaces auxquelles les technologies d’information d’entreprise se trouvent aujourd’hui confrontées. Ces attaques prolifèrent alors que les criminels cherchent à exploiter la couche d’application web très vulnérable et pratiquement sans protection qui sert de nouveau périmètre à l’entreprise, offrant malheureusement une protection insuffisante aux données stratégiques et aux opérations qui s’y rattachent. Les dégâts causés sont considérables. Une étude récente de la Purdue University, impliquant plus de 800 responsables des technologies de l’information, estime que la cybercriminalité a coûté aux entreprises plus de 1 billions de $ en 2008, imputés au vol de données et de propriété intellectuelle, ainsi qu’à une image de la marque et une confiance des clients écornées. Il est coûteux de remédier aux répercussions d’une violation des données car les entreprises sont soumises à des exigences de rapport et de notification et sont exposées à des poursuites et à des amendes. La conformité réglementaire est un autre problème. Le secteur des cartes de crédit a, par exemple, mis en place des exigences réglementaires spécifiques pour s’assurer que les commerçants impliqués dans des transactions de débit ou de crédit (par carte) en ligne sécurisent leurs applications web afin de protéger les données de compte de leur clientèle. Malheureusement, alors que les entreprises tentent de renforcer leurs applications et de sécuriser leurs périmètres, elles doivent relever un certain nombre de défis, notamment un environnement applicatif, vulnérable et complexe ainsi que des attaques de plus en plus sophistiquées pouvant neutraliser les traditionnelles solutions de sécurité centralisées. 1 Comprendre la sécurité des applications web Les défis Au cours des dernières années, de nombreuses entreprises ont fait migrer leurs transactions stratégiques sur le web afin de tirer profit de sa large accessibilité et de ses énormes capacités. Mais Internet n’a jamais été conçu pour être une plate-forme sécurisée et fiable ; ses premiers adeptes n’ont jamais anticipé le rôle central qu’il allait jouer. Ainsi, les applications web connectent aujourd’hui des données d’entreprise sensibles à cette plate-forme très ouverte, publique et par nature peu sûre, exposant ces entreprises à des risques toujours plus élevés émanant de nombreuses menaces de réseau pouvant les perturber et les compromettre. Applications web : le nouveau périmètre d’une entreprise Alors que les entreprises ont fini par mieux comprendre et assurer la sécurité de leur couche réseau, les cybercriminels se sont adaptés, en portant leur attention sur la couche applicative, la plus complexe et la plus vulnérable. Ainsi, alors que de plus en plus de ressources et opérations d’entreprise stratégiques s’affichent sur les interfaces web, les applications elles-mêmes sont devenues le nouveau périmètre d’une entreprise, un périmètre de plus en plus complexe et poreux. En effet, les vulnérabilités d’application web sont la catégorie pouvant représenter aujourd’hui les failles de sécurité les plus sérieuses – avec une protection trop faible – de l’infrastructure technique d’entreprise. Le développeur de solutions de sécurité Sophos estime par exemple qu’environ 23 500 pages web sont infectées chaque jour, ce qui signifie qu’une nouvelle infection a lieu toutes les 3,6 secondes2. Un certain nombre de raisons explique la prédisposition des applications web à être attaquées : L’accessibilité du pare-feu. En général, l’accès aux données et aux applications d’entreprise était limité aux réseaux internes et les pare-feux protégeaient le périmètre de l’entreprise, verrouillant la frontière au niveau des passerelles Internet. Mais ces pare-feux réseau sont généralement configurés pour permettre le passage du trafic http et SSL (ports 80 et 443), ouvrant ainsi une porte aux cybercriminels pour exploiter les vulnérabilités au niveau des applications. 2 Une architecture complexe. La plupart des sites web institutionnels sont au départ un élément de brochure simple et statique ; ils sont peu exposés aux risques liés à la sécurité. Au fil du temps, des fonctionnalités ont été ajoutées ponctuellement, faisant finalement d’un site autrefois basique une application riche accédant à des systèmes dorsaux sensibles, créant ainsi un risque de sécurité sérieux. L’architecture de site qui en résulte est hétérogène et complexe puisque des technologies classiques et innovantes sont associées, exposant de nombreuses interfaces dans le processus. Il est par conséquent difficile de comprendre, et encore plus de gérer, les risques liés à la sécurité et aux vulnérabilités présentes sur le site web actuel. L’interactivité des applications et le web 2.0. Le caractère hautement interactif des applications web modernes est aussi leur plus grand point faible en matière de sécurité. Si elles n’ont pas été correctement validées, les entrées des utilisateurs et le contenu qu’ils génèrent dans une application peuvent être exploités pour accéder à des données sensibles ou pour introduire un code malveillant dans un site. Le caractère visible et manipulable du code d’application dans les navigateurs offre une autre occasion simple d’exploitation. L’évolution rapide des technologies. Les applications web d’aujourd’hui – hautement fonctionnelles et dotées de multiples caractéristiques – utilisent de nombreuses technologies nouvelles et en constante évolution, comme AJAX et Flash pour les interfaces utilisateurs interactives, les services web pour les communications de système à système, et les solutions d’informatique dans le Cloud pour une infrastructure rentable et capable de monter en charge. Dans la course aux fonctionnalités, de nombreuses applications seront développées sans compréhension solide des implications liées à la sécurité. En outre, les développeurs web doivent faire face à l’introduction et au cycle de mises à jours constants des systèmes d’exploitation, des serveurs applicatifs, des navigateurs et des clients mobiles. La complexité et le changement rapide des technologies font qu’il est pratiquement impossible pour les organisations de maintenir leurs solutions de sécurité à jour. Les cycles de développement rapides. Enfin, les pressions concurrentielles du marché donnent la priorité à la fonctionnalité et à la mise sur le marché, la sécurité étant reléguée au second plan. Les cycles de développement d’applications rapides et les mises à jour constantes laissent peu de temps pour une évaluation des codes et un contrôle de vulnérabilité approprié, et occasionnent ainsi l’apparition continuelle de nouvelles faiblesses. Comprendre la sécurité des applications web Tendances des attaques web Les facteurs cités ci-dessus ont conduit à un environnement très complexe et vulnérable pour les applications web, et les cybercriminels n’ont pas tardé à en tirer profit. En fait, le motif commun à ces récentes tendances est le niveau de sophistication toujours plus élevé de ces pirates et de leur arsenal qui les conduit à causer des dégâts encore plus importants. La cybercriminalité passe au professionnalisme Auparavant, la cybercriminalité était le domaine d’un hacker isolé, en quête de célébrité, mais il s’agit plus souvent aujourd’hui d’une opération professionnelle et lucrative, révélatrice du rayonnement du crime organisé. Bien que les attaques cybercriminelles puissent être motivées par des causes politiques ou idéologiques, l’appât du gain est souvent le premier motif. D’ailleurs, les activités cybercriminelles sont aujourd’hui faciles à rentabiliser via un marché noir en plein essor, où les hackers peuvent acheter ou vendre tout ce qui est nécessaire à l’exercice de leur « métier », notamment des outils de reconnaissance, des logiciels malveillants sur mesure, des réseaux de zombies ou des listes massives d’identifiants volés. Les numéros de cartes de crédit et autres données personnelles de comptes bancaires sont des cibles populaires chez les cybervoleurs car les numéros de carte peuvent rapporter de 10 $ à 25 $ dans l’économie clandestine et les identifiants de comptes bancaires peuvent se vendre de 10 $ à 1000 $ par compte. Symantec estime que le marché souterrain pour ces données financières détournées représente des centaines de millions de dollars, alors que la valeur monétaire globale des comptes eux-mêmes s’élève à plusieurs milliards3. Les cybercriminels ciblent non seulement les données financières des clients, mais exploitent aussi les failles de sécurité des applications web pour s’attaquer aux actifs attrayants de l’entreprise. Un récent rapport de sécurité de McAfee indique que le vol de propriété intellectuelle, perpétré grâce à l’espionnage industriel, devient une cible privilégiée à mesure que les hackers se perfectionnent techniquement et visent des butins de plus grande valeur4. Cette manne financière, associée aux faibles protections et au risque encouru relativement modéré, ont favorisé une hausse forte et continue de la cybercriminalité au cours des dernières années. Les sites web vecteurs d’attaques Une autre tendance majeure consiste à compromettre des sites web pour infecter les machines des visiteurs du site, faisant ainsi du site lui-même un vecteur d’attaque, plus qu’une cible directe. Si les données de l’entreprise ne sont pas directement exposées à un risque lors de ce type d’attaques, il n’en va pas de même pour la marque et sa réputation. En employant des techniques comme le « cross-site scripting » ou l’injection SQL, les pirates peuvent tirer profit de la confiance inspirée par un site, de sa réputation et de sa popularité pour infecter ses visiteurs avec des logiciels malveillants. Selon Websense, au cours du premier semestre 2009, 61 des 100 sites les plus fréquentés sur le web se sont révélés avoir été compromis de cette façon – soit en hébergeant un contenu malveillant, soit en ayant un contenu caché, redirigeant vers un site malveillant5. Les possibilités des logiciels malveillants sont infinies ; ils peuvent par exemple installer des enregistreurs de frappe pour capturer des mots de passe d’utilisateurs ou relier la machine de l’utilisateur à une partie d’un botnet qui peut être exploité pour d’autres attaques cybercriminelles. Automatisation et armées Pour corser le tout, l’arsenal des cybercriminels devient rapidement de plus en plus complexe. Les logiciels malveillants intègrent désormais des technologies avancées pour éviter les détections et les suppressions, par exemple. Et ce sont de plus en plus souvent des hackers professionnels qui les créent avec des départements de recherche et développement qui prennent même en charge leurs produits en fournissant des mises à jour et débogages6. 3 Comprendre la sécurité des applications web Une autre tendance clé réside dans l’augmentation du nombre d’outils d’attaque automatisés, notamment l’utilisation d’armées de zombies ou de botnets qui amplifient et multiplient l’envergure potentielle des attaques. On estime malheureusement que 34 millions d’ordinateurs aux États-Unis pourraient aujourd’hui faire partie d’un botnet, soit une hausse de 50 % par rapport à l’année précédente7. Ces armées de machines infectées donnent aux pirates le contrôle sur un grand nombre de ressources informatiques, utilisées pour lancer des attaques par injection SQL à grande échelle, diffuser des logiciels malveillants ou des spams, perpétrer des vols de cartes de crédit et de mots de passe, exécuter des attaques DDoS, ou protéger des sites web malveillants ayant un hébergement de flux rapides. Les botnets et logiciels malveillants sont aisément accessibles via le marché noir, mettant ces outils sophistiqués et puissants à la porté de n’importe qui. Cela signifie qu’il faut peu de temps pour mettre à exécution une attaque de grande envergure. Par exemple, en 2007, un étudiant mécontent a été capable à lui seul de lancer une attaque qui a paralysé pendant un mois le gouvernement estonien et d’autres entités commerciales. Les entreprises doivent par conséquent être préparées à gérer des attaques web de grande ampleur. Principales menaces pour les applications web Malheureusement, alors que les menaces de la couche 7 sont de plus en plus palpables, la grande majorité des applications web reste insuffisamment protégée. Selon une étude du Consortium de sécurité des applications Web, plus de 87 % des applications web sont actuellement considérées comme présentant une vulnérabilité de niveau élevé ou supérieur8. En outre, près de la moitié des applications testées contenaient des vulnérabilités absolues ou critiques, détectables grâce à une analyse automatique. Nous mettons ici en évidence certaines des principales menaces. Injection SQL – De nombreuses bases de données traquant les vulnérabilités citent l’injection SQL comme la faille de sécurité web la plus communément exploitée en 2008. Un rapport indique qu’il y avait quelques milliers d’attaques SQL par jour au début de l’année 2008, mais plusieurs centaines de milliers par jour à la fin de cette même année9. Les attaques SQL exploitent les vulnérabilités d’applications – comme les zones de saisie qui ne sont pas correctement filtrées – qui permettent au code SQL d’être inséré de façon malveillante et exécuté dans la base de données. Une fois la base de données forcée, les possibilités sont pratiquement infinies. Les pirates peuvent utiliser cette faille pour voler ou falsifier des données, ou installer des logiciels malveillants sur de multiples systèmes. La violation massive des données de Heartland et Hannaford Brothers, qui s’est traduite par le vol de 130 millions de numéros de cartes de débit et de crédit, a été perpétrée par injection SQL. De nombreuses attaques par injection SQL via des botnets ont également été utilisées pour introduire un code sur des sites de confiance, redirigeant les utilisateurs vers des sites hostiles où le logiciel malveillant est installé sur les machines des 4 utilisateurs. Ce type d’attaque a compromis plus de 70 000 sites web en janvier 200810. Cross Site Scripting (XSS) – Le « cross site scripting » est une autre vulnérabilité répandue ; un rapport estime en effet que 65 % des sites web sont susceptibles d’être attaqués11. Cette vulnérabilité permet aux pirates d’exécuter un script malveillant côté client en l’injectant dans l’URL d’un site de confiance. Les attaques XSS permettent le vol de données d’utilisateurs sensibles, y compris les cookies ou les données de connexion. Il peut aussi falsifier un contenu de site, exploiter des techniques de piratage psychologique et la réputation du site de confiance pour amener les utilisateurs à télécharger d’autres logiciels malveillants. Attaques par déni de service distribuées (DDoS) – Les attaques DDoS sont une autre catégorie en plein essor, la quantité comme l’ampleur des attaques montant rapidement en flèche. Selon une enquête, les attaques par déni de service arrivaient juste après l’injection SQL parmi les vulnérabilités du web les plus communément signalées au cours du second semestre 200812. Avec l’aide des botnets, les pirates sont désormais capables d’exécuter des attaques par déni de service sur une échelle bien plus grande qu’avant ; il est ainsi plus difficile et plus coûteux de s’en protéger. De plus, les attaques DDoS au niveau de la couche applications sont plus difficiles à détecter que les attaques DDoS au niveau de la couche réseau car elles utilisent des quantités massives de requêtes web normales qui peuvent être difficiles à distinguer du trafic légitime. Approches de sécurité actuelles Les classiques pare-feux réseau et systèmes de prévention contre les intrusions n’offrent pas une sécurité suffisante contre ces dangereuses attaques web. Afin d’accroître ces protections, il existe aujourd’hui deux approches fondamentales utilisées pour sécuriser la couche d’application web. Chaque approche a ses limites pratiques mais, comme nous pourrons le constater, une architecture de sécurité exhaustive risque d’exploiter quelques-unes des techniques appartenant à chacune d’elles. Codage sécurisé et pratiques d’évaluation des codes En théorie, une sécurité conçue et créée directement dans le code de l’application web est une excellente approche de protection des sites. Les best practices incluent une évaluation stricte des codes au moment des phases de conception, de développement, de test et de déploiement du produit, en utilisant à la fois des méthodes manuelles et automatisées, avec test de pénétration et outils d’évaluation de la vulnérabilité du code. Mais en pratique, les ressources nécessaires pour mettre en œuvre de façon conforme ces tâches prenantes font défaut aux entreprises. Il leur est également difficile de maintenir des évaluations à jour en interne car le paysage des technologies et de la sécurité est en constante évolution. Comprendre la sécurité des applications web De plus, la résolution des failles demande du temps — et l’expertise nécessaire, particulièrement dans l’environnement d’application complexe d’aujourd’hui. Une récente étude WhiteHat a montré qu’entre un et quatre mois – en moyenne – étaient nécessaires à une entreprise pour résoudre des vulnérabilités de sites web connues, considérées comme présentant un risque élevé, critique ou urgent. Ce chiffre ne tient pas compte des vulnérabilités non résolues ; 80 % des failles urgentes de « cross-site scripting » et 70 % des failles urgentes d’injection SQL sont restées sans solution pendant l’année qu’a duré l’étude13. Donc, même avec les meilleures des intentions, les évaluations de codes ne peuvent en général pas être la principale méthode de sécurisation des applications. Face aux pressions du marché, les entreprises n’ont tout simplement pas le temps ou les ressources pour les entreprendre. Pare-feux d’applications web centralisés Les Web Application Firewalls (WAF) apportent un moyen pratique d’augmenter les évaluations de codes, offrant une couche de protection aux applications en filtrant toutes les requêtes web entrantes. Contrairement aux pare-feux réseau classiques, les WAF sont en mesure de comprendre la charge utile du trafic web grâce à leur capacité à inspecter en profondeur les paquets de données. Ils sont en général déployés en tant que dispositifs matériels installés derrière le pare-feu de l’entreprise et devant les serveurs web. Si les dispositifs WAF peuvent être très efficaces, ils demandent aussi d’importantes ressources pour leur déploiement et leur gestion car ils impliquent souvent la nécessité d’apporter des changements à l’architecture réseau existante et ils peuvent être difficiles à adapter sur de grands déploiements. La planification des capacités est un défi supplémentaire car les dispositifs WAF exigent des investissements initiaux en fonction des estimations des flux de pics de trafic. Ce surdimensionnement de réseau se traduit par une infrastructure coûteuse qui n’est pas utilisée de façon optimale la plupart du temps, alors que le sous-dimensionnement du réseau peut se solder par un échec d’application total. Enfin, les entreprises doivent aussi acheter et gérer des boîtes de basculement car les dispositifs WAF sont déployés en série, créant ainsi un point de défaillance critique unique. Si le pare-feu tombe en panne, l’intégralité du site aussi ou, au minimum, reste complètement vulnérable face aux attaques. WAF d’Akamai : une approche distribuée de la sécurité des applications web Le service Web Application Firewall distribué d’Akamai (WAF) offre une approche unique de la sécurisation des applications web contre les menaces actuelles, en exploitant la flexibilité et la capacité de montée en charge du Cloud pour surpasser les limites de WAF centralisés plus rigides. En fonctionnant comme un service déployé à travers la plate-forme EdgePlatform composée de 61 000 serveurs, le WAF d’Akamai propose le seul pare-feu d’application web distribué de l’industrie, associant capacité de montée en charge, fiabilité et performances avec facilité d’intégration et gestion simplifiée. 5 Comprendre la sécurité des applications web Le WAF d’Akamai tient le trafic malveillant à distance de l’infrastructure web d’origine en bloquant les attaques à leur source, à la périphérie d’Internet. En outre, le service fait évoluer automatiquement et à la demande la capacité de montée en charge, offrant ainsi la possibilité de lutter sans problèmes contre les attaques actuelles de grande envergure. Comment fonctionne le WAF d’Akamai ? Le Web Application Firewall d’Akamai détecte les attaques en filtrant le trafic HTTP et HTTPS entrant, en fonction de contrôles des couches de réseau et d’application configurables. En exécutant ses inspections à la périphérie d’Internet avant qu’Akamai ne gère chaque requête, le WAF peut soit bloquer, soit envoyer des alertes pour tout trafic malveillant détecté. Akamai répond ensuite aux requêtes légitimes en diffusant du contenu et les applications directement transférés depuis la périphérie, en communiquant avec le serveur d’origine selon les besoins. En se concentrant sur l’identification de la charge utile pour une attaque générique plutôt que sur la détection d’une signature spécifique à l’attaque, le WAF d’Akamai fournit une protection prête à l’emploi contre un large éventail d’attaques, y compris les vulnérabilités de type « Zero Day Attack » et inconnues. Ses paramètres de sécurité centraux sont basés sur ModSecurity, un ensemble de règles normalisées et éprouvées 6 qui offrent une sécurité prête à utiliser, avec des performances optimales contre les principales techniques d’exploitation, y compris l’injection SQL, le « cross-site scripting », le débordement de mémoire tampon, la division de réponse HTTP et autres attaques web. L’ensemble de ces règles centrales protège aussi contre les robots et les scanners de sécurité malveillants, ainsi que contre les tentatives d’accès par des chevaux de Troie et des portes dérobées qui peuvent avoir infecté le système. Architecture WAF distribuée Bien que le WAF offre une protection contre les menaces les plus courantes, ce n’est pas systématiquement le meilleur moyen de gérer chaque type d’attaque d’application web. Certains types d’attaques sophistiqués nécessitent une connaissance approfondie de l’infrastructure de réseau et des applications impliquées et peuvent donc être mieux traités à l’origine. Ainsi, le WAF fournit une couche de défense extérieure efficace et hautement flexible qui fonctionne soit comme un pare-feu autonome, soit de concert avec l’infrastructure de sécurité des applications web existante d’une entreprise – améliorant la robustesse et la capacité de montée en charge de cette infrastructure en transférant les fonctions plus génériques vers la plate-forme d’Akamai. Les défenses centralisées sont alors libres de se concentrer sur les protections plus spécifiques aux applications. Architecture du Web Application Firewall d'Akamai Applications et contenu ciblés Trafic malveillant bloqué à la source, à distance de l'origine protégée. ARRÊT Serveur d'origine (États-Unis) Agresseur Comprendre la sécurité des applications web Avantages du WAF d’Akamai Unique de par son architecture distribuée dans le Cloud, le WAF d’Akamai offre un certain nombre d’avantages en termes techniques, opérationnels et commerciaux, aux entreprises cherchant à sécuriser leurs applications web d’une façon rentable et évolutive. Avantage offert par EdgePlatform Le WAF d’Akamai fonctionne sur EdgePlatform, qui a fait d’Internet une plate-forme robuste et fiable pour mener ses activités commerciales. En exploitant cette plate-forme éprouvée, le WAF fournit les mêmes types d’avantages – en matière de performances, de montée en charge, de disponibilité et d’efficacité – pour l’infrastructure de sécurité web que ceux diffusés constamment, au cours des dix dernières années, par les services de diffusion de sites d’Akamai pour l’infrastructure d’application web. Le WAF fonctionne via plus de 61 000 serveurs faisant partie de la plate-forme globale d’Akamai qui diffuse chaque jour près d’un cinquième du trafic web mondial. Cela signifie que la capacité massive de pare-feu distribuée est disponible à la demande, éliminant les problèmes de planification associés à l’adaptation d’une infrastructure centralisée. En outre, la redondance et la capacité de résistance de la plate-forme EdgePlatform garantissent la disponibilité permanente de la couche de protection WAF, contrairement aux pare-feux centralisés qui créent un unique point de défaillance et nécessitent l’achat et la gestion de dispositifs de secours. Avec le WAF, le basculement est automatique et intégré afin que l’origine soit protégée en permanence. Chaque composant de la plate-forme Akamai étant optimisé pour sa rapidité, le WAF fournit une sécurité sans que la performance s’en ressente. En pratique, les clients WAF n’ont rencontré aucune dégradation des temps de réponse, même avec des configurations de pare-feu nécessitant l’application de plus de 100 filtres de sécurité à chaque requête. Le WAF protège leurs applications tout en continuant à diffuser l’intégralité des avantages d’EdgePlatform en termes d’accélération. Enfin, le WAF traite à la fois les attaques de trafic et le trafic légitime à la périphérie d’Internet, où leur prise en charge est plus efficace. En détectant et en détournant les requêtes malveillantes à proximité de leur source, il protège l’origine et empêche les attaques de trafic de franchir Internet. Cette approche distribuée unique complète l’infrastructure de sécurité centralisée existante d’une entreprise et fournit une architecture robuste, de défense en profondeur. 7 Comprendre la sécurité des applications web 8 Avantages opérationnels Bénéfices commerciaux Puisqu’il est parfaitement intégré au site et aux services de diffusion d’applications d’Akamai, le WAF offre les avantages d’une protection immédiate sans les tracas liés au développement, à l’intégration, à la configuration de règles complexes, au déploiement d’un dispositif ou à la refonte de l’architecture. Il peut être mis en œuvre rapidement et facilement, et son ensemble de règles centrales optimisées est prêt à l’emploi afin que les entreprises puissent commencer à en profiter immédiatement. La caractéristique centrale du WAF d’Akamai est sa capacité à diffuser de façon transparente une application de sécurité robuste, aidant les entreprises à préserver la confiance de leurs clients et la fiabilité de leur marque en atténuant les risques de vol de données commerciales et de compromission de système. Le WAF encourage aussi le respect des exigences réglementaires telles que la conformité PCI DSS, section 6.6. Pour terminer, le WAF d’Akamai, grâce à son statut de service managé dans le Cloud, réduit la charge attribuée au personnel et aux ressources de sécurité centralisée, permettant ainsi d’avoir une infrastructure centrale simplifiée, offrant une plus grande agilité, et pouvant mieux répondre aux problèmes spécifiques des applications. Avantages opérationnels et techniques clés du WAF d’Akamai • Protection robuste éprouvée et prête à l’emploi • Capacité de montée en charge massive et à la demande – plus de problèmes de planification des capacités • Disponibilité et performances • Déploiement facile et rapide gestion simplifiée • Attaques détournées à la périphérie du réseau, loin de l’origine Le fait que le WAF diffuse cette protection de façon flexible et rentable est également un critère tout aussi important pour les résultats d’activité. Grâce à son modèle de services à la demande, le WAF réduit les investissements initiaux et élimine le surdimensionnement coûteux du matériel et des logiciels de sécurité. Les clients du WAF économisent aussi sur les dépenses de contrats de maintenance et de mises à jour pour leurs solutions de sécurité, bénéficiant ainsi d’un coût total de propriété allégé en exploitant l’efficacité d’une montée en charge intégrée dans l’EdgePlatform. Enfin, le WAF réduit le gaspillage de ressources causé par un trafic malveillant. En bloquant les attaques à leur source, à la périphérie d’Internet, le WAF diminue les coûts liés à la bande passante et aux autres ressources d’origine qui seraient autrement consommées par les attaques. Bénéfices commerciaux clés du WAF d’Akamai • Protéger la stratégie de marque et les revenus en atténuant les risques associés à la compromission de système • Encourager le respect de la norme PCI et des autres exigences réglementaires • Réduire les dépenses d’exploitation, les coûts de maintenance et le coût total de propriété • Eviter un surdimensionnement des réseaux internes et un gaspillage des ressources dus aux attaques de trafic • Délester et rationaliser les ressources de sécurité en internet Comprendre la sécurité des applications web 9 Défense en profondeur avec le WAF d’Akamai Les best practices actuelles pour la sécurité imposent une approche de défense en profondeur utilisant une gamme diverse d’outils afin de créer des couches de protection superposées adaptées au périmètre poreux de l’entreprise. Pour combattre des menaces aussi complexes et graves que celles que nous observons aujourd’hui, une architecture de défense en profondeur doit multiplier les solutions centralisées classiques, comme les systèmes de pare-feux et de prévention des intrusions, avec un nouveau genre de services de sécurité distribués dans le Cloud, à l’instar du WAF d’Akamai, tel que décrit dans le schéma d’architecture ci-dessous. Dans une architecture de ce type, le WAF d’Akamai met en place une ceinteure extérieure défensive et peu coûteuse qui complète les outils de sécurité centralisés existants. Il déleste et soutient ces ressources de sécurité centralisées tout en apportant la capacité de montée en charge et l’accessibilité supplémentaires, nécessaires à la défense du périmètre d’une entreprise, qui s’étend désormais à la périphérie d’Internet. Cela se traduit par une infrastructure d’origine rationalisée, complétée par une couche extérieure flexible et à la demande, qui fournissent, ensemble, de vigoureuses défenses d’application, tout en réduisant les problèmes de maintenance et de planification informatiques. Une architecture de défense en profondeur efficace pour la protection des applications web combine de multiples couches de sécurité, incluant : • Des pare-feux centralisés classiques • Des analyses de vulnérabilité • Un développement sécurisé et des évaluations de code • Une surveillance du réseau • Une détection/prévention des intrusions • Un WAF distribué pour une protection à la périphérie Une architecture de sécurité de défense en profondeur Le WAF d'Akamai dans l'environnement de sécurité Multiplicité de l'origine des systèmes de sécurité en place WAF d'Akamai Dispositifs WAF, systèmes de détection et de prévention Pare-feu des intrusions (IDS/IPS), surveillance du réseau Évaluation de code, analyses de vulnérabilité Serveur Serveur web d'applications Sécurité périphérie + sécurité localisée DB Comprendre la sécurité des applications web 10 À propos de la sécurité Akamai Depuis plus de dix ans, les principales entreprises mondiales exploitent la plate-forme éprouvée, sécurisée et résistante aux défaillances pour accélérer leurs transactions et leurs applications stratégiques dans un environnement Internet peu sûr. Des milliers d’entreprises font confiance à EdgePlatform pour diffuser 500 milliards d’interactions web chaque jour ; c’est pourquoi la sécurité est toujours au premier plan chez Akamai. Elle est complètement intégrée dans chaque aspect des opérations et de la plate-forme d’Akamai, pour protéger non seulement Akamai et ses clients mais Internet dans son ensemble. Ainsi, grâce à son expertise reconnue en matière de sécurité, ses compétences mondiales inégalées et sa plate-forme massivement distribuée, Akamai est particulièrement apte à aider les entreprises à exploiter la puissance d’Internet et à défendre leurs périmètres contre les menaces de grande envergure et en pleine évolution. 1 L e rapport de Symantec relatif aux menaces de sécurité Internet, en avril 2009, avance le pourcentage de 60 %, alors que le rapport de Cenzic relatif aux tendances de sécurité des applications web, T3-T4 2008, le place à 80 %, en fonction de données compilées, issues de multiples bases de données de menaces tierces. 2 http://www.sophos.com/sophos/docs/eng/papers/sophos-security-threat-report-jul-2009-na-wpus.pdf 3 http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_underground_economy_report_11-2008-14525717.en-us.pdf 4 http://www.mcafee.com/us/about/press/corporate/2009/20090129_063500_j.html 5 http://www.websense.com/site/docs/whitepapers/en/WSL_Q1_Q2_2009_FNL.PDF 6 http://resources.mcafee.com/content/NAUnsecuredEconomiesReport, http://www.fas.org/sgp/crs/terror/RL32114.pdf 7 http://www.gtisc.gatech.edu/pdf/CyberThreatsReport2009.pdf 8 http://projects.webappsec.org/Web-Application-Security-Statistics 9 http://www-935.ibm.com/services/us/iss/xforce/trendreports/xforce-2008-annual-report.pdf 10 http://www.sans.org/newsletters/newsbites/newsbites.php?vol=10&issue=2#sID200 11 http://www.whitehatsec.com/home/assets/WPstats_spring09_7th.pdf 12 http://www.cenzic.com/downloads/Cenzic_AppSecTrends_Q3-Q4-2008.pdf 13 http://www.whitehatsec.com/home/assets/WPstats_spring09_7th.pdf 14 P our en savoir plus, consultez la Vue d’ensemble du système de gestion de la sécurité de l’information d’Akamai qui expose plus précisément les politiques de sécurité opérationnelles et de réseau globales d’Akamai. La différence Akamai Akamai® propose l’unique service managé du marché capable de diffuser des contenus (riches, interactifs et dynamiques) sur le web et d’accélérer les transactions et les applications sur Internet. Aujourd’hui Akamai compte parmi ses clients quelques-uns des plus grands groupes internationaux et ce dans l’ensemble des secteurs d’activités. Véritable alternative aux infrastructures web centralisées, la plate-forme mondiale d’Akamai s’appuie sur plusieurs dizaines de milliers de serveurs dédiés qui, en plus d’offrir un point de vue incomparable sur le réseau Internet, apportent aux entreprises l’envergure, la fiabilité, la visibilité et les performances nécessaires pour déployer leurs modèles économiques et mener à bien leurs activités en ligne. Akamai conforte l’Internet dans son rôle d’information, de divertissement, d’échange et de communication. Pour découvrir la différence Akamai, allez sur www.akamai.fr Akamai Technologies, Inc. Sede central en EE.UU. Bureaux dans le monde 8 Cambridge Center Unterfoehring, Allemagne Bangalore, Inde Cambridge, MA 02142 Paris, France Sydney, Australie Tél. : 617.444.3000 Milan, Italie Pékin, Chine Fax : 617.444.3001 Londres, Angleterre Tokyo, Japon Numéro vert (USA) : Madrid, Espagne Séoul, Corée 877.4AKAMAI (877.425.2624) Stockholm, Suède Singapour www.akamai.fr ©2009 Akamai Technologies Inc. Tous droits réservés. Toute reproduction complète ou partielle sous quelque forme ou support que ce soit sans autorisation écrite expresse est strictement interdite. Akamai et le logo en forme de vagues d’Akamai sont des marques déposées. Les autres marques commerciales citées appartiennent à leurs propriétaires respectifs. À la connaissance d’Akamai, les informations utilisées dans la présente publication sont exactes à la date de leur parution. Ces informations sont sujettes à modification sans préavis.
© Copyright 2024 ExpyDoc