La migration des applications dans le Cloud public place le WAF (Web Application Firewall) au cœur de la protection des ressources IT des entreprises. Il se décline aujourd’hui sous forme d’instances, de services à la demande ou encore de conteneurs pour les DevSecOps.
Avec une croissance annuelle de 17% sur la période 2020/ 2025 selon IndustryARC, le WAF (Web Application Firewall) connaît un fort succès alors que le Cloud public s’impose de plus en plus dans les entreprises. Il était logique que les éditeurs de ces pare-feux dédiés à la protection des applications prennent position sur les marketplaces d’AWS, Microsoft Azure et de Google Cloud Platform. C’est le cas de Rohde & Schwarz Cybersecurity qui propose Web Application Firewall, un WAF qui peut être instancié en quelques clics, puis facturé à l’usage. A ce mode de fonctionnement à l’instance, un nouveau mode de consommation du WAF est en train de s’imposer, le WAF-as-a-Service. « Les entreprises qui déploient des applications dans le Cloud utilisent de plus en plus Cloud Protector, notre offre de WAF as a Service » explique Edouard Viot, Head of Product Management chez Rohde & Schwarz Cybersecurity. « L’intérêt de l’approche WAF-as-a-Service est d’être agnostique vis-à-vis des fournisseurs Cloud choisis par l’entreprise. »
Une course aux fonctionnalités additionnelles est lancée
De nombreux éditeurs se sont positionnés sur ce marché et la concurrence est rude entre des éditeurs depuis Cloudfare, Check Point software, Citrix, F5 Networks, Fortinet, Barracuda, sans compter les WAF proposés par les acteurs du Cloud eux-mêmes. Chacun est engagé dans une course à celui qui va offrir la plus de fonctionnalités sur son WAF. Ainsi, l’offre CloudGuard de Check Point Software inclut le WAF, mais aussi une protection contre les bots et encore la sécurité des API, une tendance que suivent aujourd’hui tous les éditeurs. Arnaud Lemaire, directeur technique France de F5 Networks, analyse ce mouvement : « On parle aujourd’hui de plus en plus du WAAP (Web Application & Api Protection), l’idée étant d’englober plus de services autour des passerelles de sécurité applicatives et notamment englober la protection des API. »
Outre cette protection contre le trafic qui provient de l’extérieur, les concepteurs de WAF se concentrent aujourd’hui sur la protection du trafic sortant, comme l’explique Christophe Rup, ingénieur avant-ventes chez Barracuda Networks : « Outre un premier niveau de protection basé sur le filtrage sur les flux entrants, nous analysons aussi les flux sortants, notamment afin de masquer les messages d’erreur du serveur et faire ce que l’on appelle le “Cloaking” pour ne pas donner d’informations potentiellement intéressantes aux attaquants. »
Edouard Viot de Rohde & Schwarz Cybersecurity confirme cette course aux fonctionnalités et notamment pour la protection des API et la mise en place de fonctions de DLP dans le WAF afin de détecter d’éventuelles exfiltrations de données. « Il est assez facile d’implémenter une protection des API en s’appuyant sur les fichiers Swagger ou OpenAPI des développeurs. Nous les importons dans le WAF afin de bloquer tout ce qui n’est pas prévu par le développeur. Enfin, en 2021 nous travaillons sur la capacité de bloquer proactivement des flux de données lorsque l’algorithme comportemental détecte que la réponse de l’application passe de 10 octets habituellement à 8 Mo d’un coup. » Une accumulation de fonctions de sécurité qui fait du WAF une véritable tour de contrôle de la sécurité applicative dans le Cloud.
DevSecOps : nouveaux outils pour nouvelle approche
Une autre tendance forte est en train d’émerger avec l’arrivée de solutions dédiées destinées à répondre aux besoins du DevSecOps. Cette nouvelle classe de WAF répond à l’idée que le WAF doit coller au plus près des nouvelles applications pour mieux les protéger et doit pouvoir être paramétré non plus par un RSSI, mais bien par les équipes agiles. Rohde & Schwarz Cybersecurity a lancé Trusted Application Factory, un WAF conçu pour protéger les applications de nouvelle génération basé sur des conteneurs logiciels et l’orchestrateur Kubernetes. « Nous livrons des conteneurs ultra-compacts qui n’intègrent que nos moteurs de sécurité et des fonctionnalités pensées pour les DevSecOps » commente Edouard Viot. Les développeurs injectent le contexte de sécurité de leur application dans le conteneur qui va ainsi définir la politique de sécurité du WAF. Même volonté de se positionner auprès des développeurs chez F5 Networks qui a réalisé l’acquisition de NGinx en 2019, un éditeur bien connu des Dev pour son serveur http haute performance. Avec NGinx App Protect, l’éditeur dispose d’un WAF spécifique pour les DevOps et les Cloud Architects.
Une approche fait désormais face à une autre approche radicalement différente, le RASP (Runtime Application Self-Protection), une solution de sécurité qui vient directement s’intégrer aux composants applicatifs. Dynatrace, Microfocus, Sqreen, Cyber Sciences, Synopsys proposent ce type de solutions. Pour Arnaud Lemaire, « le RASP est une technologie jeune qui est à des années lumière de fournir les mêmes fonctions de sécurité qu’un WAF. Celui-ci ne réalise pas d’analyse comportementale, n’assure pas de protection contre les techniques d’évasions sophistiquées, la détection de Bots, le DDOS, le credential stuffing, etc. » D’autre part, l’expert pointe la forte adhérence du RASP à l’application auquel il est attaché, avec des contraintes techniques et en termes de performances et de temps de réponse. Il conclut : « En cybersécurité, il n’y a pas de solution miracle, la tendance aujourd’hui est que le RASP peut être vu comme un complément de sécurité au WAF afin de bâtir une approche de défense multi couche. »