Cloudflare WAF : c'est quoi ? À quoi cela sert ? Ses concurrents et ses limites | Panorama complet

Ando Ranaivosoa
Rédigé par Ando Ranaivosoa
07 octobre 2021 - 5 minutes

Cloudflare WAF (Web Application Firewall) est un pare-feu web applicatif. C’est une variété de pare-feu qui vise à surveiller, filtrer ou bloquer le trafic HTTP (Hypertext Transfert Protocol) entre une application web et Internet.

Il protège généralement les applications Web contre les attaques telles que la falsification intersites, le cross-site-scripting (XSS), l’inclusion de fichiers et l’injection SQL, entre autres. Cloudflare WAF est sert à se protéger contre les attaques basées sur les applications (couche 7 du modèle OSI), et n’est pas conçu pour se défendre contre tous les types d’attaques. Cette méthode d’atténuation des attaques fait généralement partie d’une suite d’outils qui, ensemble, créent une défense globale contre une série de vecteurs d’attaque.

En déployant un WAF devant une application web, un bouclier est placé entre l’application web et Internet. Un serveur proxy protège l’identité d’une machine client en utilisant un intermédiaire ; Cloudflare WAF est un type de proxy inversé qui protège le serveur en faisant passer les clients par le WAF avant d’atteindre le serveur.

Il s’agit d’une solution haute performance distribuée sur un réseau mondial avec plus de 200 PoP (Point of Presence ou point de présence opérateur), dont 22 en Chine.

Développé par le langage de script libre, multiplateforme appelé Lua, Cloudflare WAF possède des capacités de traitement extrêmement rapides de 0,3 ms ! Il comprend le jeu de règles OWASP ModSecurity créées par la société Cloudflare et personnalisées par les clients. Ces mises à jour se propagent à travers leur réseau mondial pendant environ 30 secondes.

Les avantages de Cloudflare WAF

Gestion des règles de Cloudflare WAF

Cloudflare est devenu très performant dans la protection des serveurs web contre les attaques DDoS et il étend sa protection avec son pare-feu web applicatif. Leurs serveurs traitent 2,9 millions de requêtes chaque seconde pour le compte de leur vaste clientèle. C’est la solution que nous utilisons pour iQera, le leader français du recouvrement de créance.

L’avantage ? Les entreprises abonnées à Cloudflare WAF peuvent appliquer des économies d’échelle à sa recherche sur les menaces. Une tentative d’attaque contre un client devient instantanément une entrée de liste noire pour tous les serveurs web protégés par Cloudflare. Si vous avez un serveur central basé sur le cloud pour votre entreprise ou comme système de diffusion de contenu inclus dans votre présentation web, Cloudflare peut couvrir cela aussi. L’intégration de la protection DDoS complète de Cloudflare à votre abonnement WAF est une tâche très simple.

Les limites de Cloudflare WAF

  • Seulement 3 page rules avec le plan gratuit.
  • L’interface comporte un grand nombre d’options, ce qui peut prendre un peu de temps pour s’y retrouver et s’y familiariser. En outre, le fait de forcer le SSL peut facilement entraîner le site Web dans une boucle de redirection.
  • Bien qu’il accélère le site Web, il ajoute parfois un deuxième écran de chargement à des fins de vérification de sécurité. Cela peut entraîner un certain retard, et les utilisateurs peuvent devoir attendre quelques secondes. Parfois, il peut aussi afficher une page CAPTCHA demandant aux utilisateurs de prouver qu’ils sont humains.
  • Parfois, le module de réputation des menaces bloque les menaces malveillantes en identifiant les adresses IP et parfois ces IP ne sont pas toujours une menace. C’est peut-être dû au fait qu’elles ne sont pas reconnues.

Les concurrents majeurs de Cloudflare WAF

On retrouve principalement :

Sucuri Website Firewall de Sucuri. Il s’agit d’une option complète de pare-feu de sécurité, ce qui signifie qu’elle couvre la plupart des menaces ayant trait à la sécurité de notre site. Il comprend des options de nettoyage des logiciels malveillants, de surveillance et de protection. Il prend en charge de nombreux types de connexions telles que FTP, SFTP, SSH et cPanel, etc. Et le scanner côté serveur analyse automatiquement le back-end des sites qui peuvent présenter des malwares.

AppTrana d’Indusface : entièrement géré, associé à une accélération du contenu et à un CDN dans le cloud. Il suffit de faire transiter le trafic par le service AppTrana hébergé dans plusieurs régions dans des centres de données AWS par Indusface. AppTrana est livré avec des règles de base optimisées qui peuvent être instantanément mises en mode bloqué sur la base des règles de base optimisées qu’Indusface a développées en évaluant la sécurité de milliers d’autres sites web. Une fois intégrés, les clients peuvent effectuer une évaluation automatisée à la demande de la sécurité de leur site web et savoir immédiatement s’ils sont déjà protégés par le WAF ou s’ils ont besoin de règles personnalisées. Ceux qui ont besoin de règles personnalisées peuvent en faire la demande depuis le portail centralisé et l’équipe MSS d’Indusface, disponible 24 heures sur 24 et 7 jours sur 7, créera une règle personnalisée avec la garantie de faux positifs et les protégera. Les performances du site web sont améliorées grâce à un CDN inclus dans le service.

StackPath WAF : ensemble de services cloud proposés par StackPath. La configuration externe de StackPath offre une protection supplémentaire à votre serveur web, car tout code malveillant n’a même pas la possibilité de toucher vos ressources. Le trafic Web se dirigeant vers votre site est détourné pour atteindre d’abord le serveur StackPath. Les trois défenses fondamentales offertes par ce service sont les suivantes : L’évaluation de l’adresse IP, la validation du navigateur et l’utilisation de règles de contenu. Cette méthodologie se concentre sur la probabilité que les demandes entrantes proviennent de sources douteuses. Le filtrage à la source permet également de bloquer toute tentative d’attaque DDoS. Seul le trafic validé est transmis à votre serveur web. Tout ce traitement est effectué si rapidement que les utilisateurs réguliers ne subissent aucune détérioration de la vitesse de connexion. StackPath offre le Web Application Firewall gratuitement pendant le premier mois de service.

Akamai Kona Site Defender : intègre une protection DDoS complète à son pare-feu d’application web dans un service cloud appelé Site Defender. Un grand avantage de la combinaison des deux services en un seul produit est que vous n’aurez pas besoin de faire transiter votre trafic par deux sociétés différentes pour recevoir les demandes authentiques qui parviennent à votre serveur web.

Aucun commentaire sur cet article. Soyez le premier !

Laissez votre commentaire