Quand utiliser Azure Web Application Firewall
Vous savez désormais ce qu’est Azure Web Application Firewall et comment il fonctionne. Vous avez maintenant besoin de certains critères pour vous aider à déterminer si Azure Web Application Firewall est une solution adaptée à votre entreprise. Pour vous aider à décider, examinons les scénarios suivants :
- Vous avez des applications web qui contiennent des données sensibles ou propriétaires
- Vous avez des applications web qui obligent les utilisateurs à se connecter
- Vos développeurs d’applications web manquent d’expertise en sécurité
- Vos développeurs d’applications web ont d’autres priorités
- Le développement de vos applications web est soumis à des contraintes budgétaires
- Le développement de vos applications web est soumis à des contraintes de temps
- Votre application web doit être générée et déployée rapidement
- Le lancement de votre application web est très attendu
Dans le cadre de votre évaluation d’Azure Web Application Firewall, vous savez que Contoso répond à plusieurs de ces scénarios. Pour plus d’informations, lisez les sections correspondantes.
Vous avez des applications web qui contiennent des données sensibles ou propriétaires
Certains attaquants sur le web sont uniquement motivés par le défi de s’introduire dans un système. Toutefois, la plupart des pirates malveillants utilisent l’injection, les attaques de protocole et des exploits similaires dans le but de réaliser un gain. Voici quelques exemples de gain :
- Numéros de carte de crédit de clients
- Informations personnelles sensibles, comme les numéros de carte d’identité ou de passeport
- Données d’entreprise propriétaires ou secrètes
Un attaquant peut utiliser ces données directement. Par exemple, il peut acheter des articles avec un numéro de carte de crédit volée. Toutefois, il est plus probable que l’attaquant vende ces données sur un marché criminel ou les conserve pour demander une rançon.
Si votre entreprise exécute une ou plusieurs applications web qui stockent des données sensibles ou propriétaires, Azure Web Application Firewall peut les protéger contre les tentatives d’intrusion et d’exfiltration.
Vous avez des applications web qui obligent les utilisateurs à se connecter
Les attaquants essaient souvent d’obtenir les noms d’utilisateur et les mots de passe des comptes d’applications web. Le fait de disposer des informations d’identification d’un compte d’utilisateur est utile pour plusieurs raisons :
- L’attaquant peut accéder à l’application en tant qu’utilisateur autorisé.
- L’attaquant peut exécuter des scripts ou des commandes avec des privilèges élevés.
- L’attaquant peut accéder à d’autres parties du réseau.
- L’attaquant peut utiliser les informations d’identification d’un compte pour se connecter à d’autres sites et services.
Votre entreprise utilise-t-elle des applications web qui obligent les utilisateurs à se connecter ? Azure Web Application Firewall peut détecter du code malveillant exploitant une faille de sécurité, comme l’injection de code SQL et l’inclusion de fichier local, qui essaie d’afficher ou de voler les informations d’identification des comptes.
Important
Gardez à l’esprit qu’Azure Web Application Firewall n’est qu’un aspect de la stratégie de sécurité réseau que vous devez mettre en œuvre. Pour les données de connexion, cette stratégie peut également inclure des exigences rigoureuses relatives aux mots de passe et stocker ces derniers sous forme chiffrée.
Vos développeurs d’applications web manquent d’expertise en sécurité
Le codage d’applications web pour les protéger contre l’ensemble des exploits potentiels nécessite une grande expertise. Cette expertise repose sur une connaissance détaillée des concepts suivants :
- Structure générale des requêtes et des réponses HTTP/HTTPS
- Types de requêtes HTTP/HTTPS spécifiques, comme GET, POST et PUT
- Encodage des URL et UTF
- Agents utilisateur, chaînes de requête et autres variables
- Commandes, chemins, shells et données similaires pour plusieurs systèmes d’exploitation serveur
- Technologies web front-end, comme HTML, CSS et JavaScript
- Technologies web côté serveur, comme SQL, PHP et les sessions utilisateur
Que faire si l’équipe de développement web de votre entreprise manque de connaissances sur un ou plusieurs de ces concepts ? Dans ce cas, vos applications web sont exposées à plusieurs éléments de code malveillant exploitant une faille de sécurité. En revanche, Azure Web Application Firewall est géré et mis à jour par une équipe d’experts en sécurité de Microsoft.
Vos développeurs d’applications web ont d’autres priorités.
Il est fort peu probable que votre entreprise déploie ses applications web dans le seul but de contrecarrer des exploits tels que l’injection de code SQL et l’exécution de commandes à distance. Votre entreprise a vraisemblablement d’autres objectifs pour ses applications web, comme vendre des produits, fournir des services ou promouvoir son activité.
Dans cette optique, vous préféreriez certainement que votre équipe de développement web donne la priorité à ces objectifs au lieu d’écrire du code pour sécuriser des applications robustes. Avec Azure Web Application Firewall, vous laissez à Microsoft le soin de gérer la sécurité pendant que votre équipe se concentre sur votre entreprise.
Le développement de vos applications web est soumis à des contraintes budgétaires.
Coder des applications en interne contre tous les exploits OWASP est une proposition coûteuse :
- Les développeurs web disposant de l’expertise nécessaire en sécurité sont relativement rares. Ces développeurs peuvent demander des salaires plus élevés que leurs collègues qui n’ont pas une telle expertise.
- Le codage d’applications web pour les protéger contre l’ensemble des exploits web n’est pas une proposition isolée. À mesure que des exploits nouveaux ou modifiés font leur apparition, votre équipe doit constamment gérer et mettre à jour son code de sécurité. Vos experts en sécurité doivent devenir des membres permanents de votre équipe de développement web et être pris en compte de façon permanente dans votre budget.
Azure Web Application Firewall n’est pas gratuit. Toutefois, vous constaterez peut-être que cette solution vous coûte moins cher que d’embaucher une équipe d’experts en sécurité web à plein temps.
Le développement de vos applications web est soumis à des contraintes de temps
De nombreuses équipes de développement web codent en interne pour se protéger contre tous les codes malveillants exploitant une faille de sécurité OWASP. La plupart d’entre elles se rendent vite compte que la création et la maintenance de ce code sont des tâches laborieuses et chronophages. Si vous essayez de respecter un délai serré pour lancer une nouvelle application web, les milliers d’heures-personnes nécessaires pour protéger l’application contre tous les exploits OWASP constituent un obstacle majeur.
Vous pouvez configurer une instance Azure Application Gateway ou un profil Azure Front Door avec Azure Web Application Firewall en quelques minutes.
Votre application web doit être générée et déployée rapidement
De nombreuses applications web ne nécessitent pas un travail de développement complet. Par exemple, prenez les deux types d’applications suivants :
- Preuve de concept : l’application doit seulement prouver qu’une technique, une proposition ou une conception est réalisable.
- Produit minimum viable : l’application comprend un nombre limité de fonctionnalités permettant aux utilisateurs précoces de fournir un feedback qui sera utilisé pour développer les versions futures.
Les applications web « preuve de concept » et MVP sont conçues pour être créées et déployées rapidement. Dans ces cas précis, il n’est pas judicieux de coder manuellement les applications contre des exploits courants. Pour protéger tout de même ces applications contre les acteurs malveillants, placez-les derrière un pare-feu d’applications web.
Le lancement de votre application web est très attendu
Votre équipe marketing fait-elle de gros efforts pour promouvoir la sortie imminente de votre application web ? Poste-t-elle des messages sur plusieurs plateformes de réseaux sociaux afin de susciter de l’intérêt pour l’application avant sa sortie ? C’est bien, mais savez-vous qui d’autre peut être intéressé par la sortie de votre application ? Un utilisateur malveillant, qui peut essayer de perturber la sortie de l’application en lançant des attaques courantes contre celle-ci.
Pour éviter toute perturbation, il peut être judicieux de protéger l’application web avec Azure Web Application Firewall.