Examen et alternatives d'AWS WAF
En bref, AWSWAF est un pare-feu d'applications Web conçu pour protéger vos services contre les exploits et vous donner un contrôle détaillé sur la façon dont le trafic interagit avec vos applications.
Qu'est-ce qu'AWS WAF ? Comment ça marche?
Alors que les pare-feu classiques protègent des réseaux entiers, un WAF est conçu pour surveiller uniquement vos applications et services Web. AWS WAF vous permet de créer des règles personnalisées pour vous protéger contre des attaques spécifiques, ainsi que d'utiliser des ensembles de règles préconfigurés conçus par l'équipe de sécurité AWS.
Par exemple, vous pouvez configurer un ensemble de règles qui autorise uniquement le trafic spécifique provenant d'un ensemble d'adresses IP sur liste blanche sur un accès au port personnalisé à une partie de votre application. Comme vous pouvez l’imaginer, plus vos règles sont granulaires, meilleure est la sécurité opérationnelle que vous pouvez mettre en œuvre. Une autre fonctionnalité courante des systèmes WAF est la limitation du débit. Vous pouvez ici créer une règle qui bloque automatiquement une adresse IP lorsqu'un nombre spécifié de requêtes est généré dans un certain laps de temps. Ceci est utile pour détecter et arrêter les attaques de connexion par force brute ainsi que les attaques par inondation de paquets.
Toutes les implémentations d'AWS WAF sont fournies avec AWS Shield Standard comme couche de protection supplémentaire. AWS Shield fonctionne sur la couche de transport et arrête les menaces dès qu'elles sont détectées en temps réel. Cela se fait en utilisant la détection des anomalies, les signatures de trafic et la comparaison des bases de données des menaces, le tout sans impact sur la disponibilité de votre application. Cette fonctionnalité fournit également une protection DDoS intégrée étendue pour vos services WAF. AWS Shield Standard est entièrement gratuit et s'intègre facilement à AWS WAF.
AWS WAF réside entièrement dans le cloud AWS et peut être contrôlé et configuré via AWS Firewall Manager. Dans le gestionnaire, vous définissez des règles, surveillez vos événements et gérez même plusieurs déploiements du WAF. Grâce à une API étendue, vous aurez la possibilité de définir des règles spécifiques aux applications à mesure que votre équipe de développement développe des applications.
Une tarification flexible permet à pratiquement toutes les équipes de développement, quelle que soit leur taille, de mettre en œuvre cette solution de pare-feu basée sur le Web. Le coût est uniquement lié à la quantité de données traitées et au nombre de règles que vous mettez en œuvre. Bien que cela puisse sembler la solution parfaite, vous devez d’abord prendre en compte un certain nombre de fonctionnalités et de détails.
Jetons un coup d'œil aux fonctionnalités principales d'AWS WAF et passons en revue certains pièges que vous pouvez rencontrer sur la plate-forme.
Configuration d'AWS WAF
L'une des principales raisons pour lesquelles AWS WAF a rapidement gagné en popularité est sa facilité de mise en œuvre. La seule condition préalable pour commencer est que vous disposiez d'un compte AWS, ce qui rend la configuration beaucoup plus facile que celle des autres pare-feu d'applications basés sur le cloud.
Une fois connecté, vous exécuterez un assistant qui vous guidera dans la création et la configuration de votre ACL (Access Control List). L'ACL constitue la première ligne de défense contre les accès non autorisés et les attaques contre vos services Web. C'est ici que vous pourrez autoriser ou bloquer les requêtes Web, définir des règles basées sur les adresses IP et configurer des politiques spécifiques qui dictent si le trafic est autorisé ou non à atteindre vos applications Web.
Lors de la configuration de vos règles, vous aurez la possibilité de les appliquer à un groupe ou de rester indépendantes par elles-mêmes. La création de groupes de règles vous aide à réduire l'encombrement et à créer plus efficacement vos politiques de sécurité. Les règles détectent les demandes en faisant correspondre les données trouvées dans la chaîne à un ensemble de règles que vous configurez.
Bien que la configuration de règles de chaîne puisse être un peu compliquée, AWS WAF fournit un éditeur visuel qui vous guide tout au long du processus de création de règles. En fonction de vos ensembles de règles, il peut arriver un moment où vous ne puissiez utiliser que l'éditeur de règles JSON. L'éditeur JSON n'est pas aussi intuitif que l'éditeur visuel, mais il vous donne plus de liberté pour créer des ensembles de règles plus personnalisés et plus approfondis. L'éditeur JSON peut également être utilisé pour copier des configurations sur plusieurs ACL Web si nécessaire.
Si vos règles personnalisées n'ont pas encore été configurées, vous pouvez utiliser le groupe de règles gérées d'Amazon pour démarrer rapidement la mise en place et le fonctionnement de votre WAF. Les règles gérées AWS sont des règles préconfigurées qui suivent les meilleures pratiques du secteur et sont écrites par l'équipe de sécurité AWS. Les règles gérées sont automatiquement mises à jour et suivent de près les listes de réputation IP et Normes OWASP .
Si vous recherchez davantage d'options prêtes à l'emploi, AWS Marketplace propose un certain nombre de règles d'achat gérées. Des sociétés telles que Cyber Security Cloud, F5 et Fortinet proposent leurs propres versions de règles gérées qui permettent de tout bloquer, des attaques menées par des botnets aux attaques par scripts intersites.
Cette combinaison de configuration flexible et d'ensembles de règles préemballés rend AWS WAF plus simple à configurer que la plupart des alternatives.
Fonctionnalités et intégrations
En plus de l'ACL, il existe un certain nombre de fonctionnalités et d'intégrations supplémentaires qui offrent à AWS WAF des fonctionnalités et une protection étendues.
Grâce à une API complète, le pare-feu peut être entièrement contrôlé et configuré via un ensemble de requêtes. Comme la plupart des pare-feu disposent d’un accès API, rares sont ceux qui sont aussi étendus que le WFA d’Amazon. Plutôt que de perdre du temps à se connecter à une interface graphique, les développeurs peuvent rapidement apporter des modifications et des configurations au fur et à mesure qu'ils créent leur application.
Même si cette approche nécessiterait une connaissance plus approfondie de la plateforme, une équipe de développement pourrait élaborer un ensemble de règles de sécurité dans le cadre du processus de déploiement. En théorie, cela pourrait réduire les transferts compliqués entre les équipes et raccourcir le cycle de développement. Les développeurs peuvent également appliquer l'automatisation des scripts via cette API pour créer des règles, des groupes et des politiques de sécurité personnalisés en fonction des exigences de leur modèle ou de leur politique interne.
L'automatisation peut également être appliquée pour déployer automatiquement les instances AWS WAF à l'aide d'AWS CloudFormation. Ici, vous pouvez créer un modèle principal qui dicte les paramètres de sécurité, les ensembles de règles et les configurations dont le pare-feu a besoin. Cette fonctionnalité accélère la création de nouveaux environnements et garantit la cohérence entre tous vos produits.
AWS WFA s'appuie fortement sur une intégration Amazon CloudWatch pour fournir des informations supplémentaires et une visibilité en temps réel. CloudWatch vous offre une visibilité étendue sur vos événements de sécurité WAF et agit comme une extension SIEM pour votre pare-feu.
L'une des intégrations les plus utiles pour votre WAF est la fonctionnalité d'alerte, que vous pouvez entièrement personnaliser via des seuils et des modèles d'alerte. CloudWatch peut vous aider à tenir votre équipe de sécurité informée des modifications et des événements de configuration, ainsi qu'à fournir des services basés sur l'IA, tels que la détection d'anomalies.
Défis avec AWS WAF
Bien qu'AWS WAF s'avère être une solution de sécurité polyvalente basée sur le cloud, elle n'est pas sans défis.
Vous aurez besoin d’un personnel de sécurité dédié. AWS WAF peut s'avérer compliqué lors de la création d'ensembles de règles et de politiques personnalisées. Une mauvaise configuration de votre WAF pourrait être un désastre et permettre l’accès à des zones plus vulnérables de vos applications. Il existe de nombreux cas de violations de données dues à des paramètres AWS mal configurés. Un incident notable s'est produit lorsque Capital One n'a pas réussi à sécuriser son WAF.
Un attaquant a utilisé une attaque courante appelée Side Server Request Forgery pour inciter AWS WAF à envoyer des informations à l'attaquant. Cela a entraîné le vol de plus de 100 millions de dossiers de demandes de carte de crédit et était le résultat direct d'un WAF mal configuré.
Sans un professionnel de la sécurité informatique hautement qualifié, une organisation peut être victime d’un pirate informatique tirant parti des faiblesses de mauvaises configurations. Votre personnel informatique peut également atténuer les risques en utilisant un produit tel qu'Access Advisor, qui permet de définir les rôles AWS et d'identifier les problèmes d'autorisation.
AWS WAF ne dispose pas de certaines fonctionnalités intégrées. Vous constaterez que l'utilisation du WAF d'Amazon nécessite un certain nombre d'intégrations ou de modules complémentaires pour les fonctionnalités que vous pourriez espérer intégrer. Par exemple, AWS WAF peut collecter des données sur le trafic, mais extraire des informations significatives via le WAF peut être difficile. fastidieux et chronophage.
Si vous souhaitez gérer la journalisation de votre ACL Web, vous devrez activer et configurer Kinesis Data Firehose, qui a sa propre courbe d'apprentissage et ses propres limites. Lorsqu’un WAF comporte trop de modules complémentaires et de fonctionnalités, il peut devenir difficile non seulement de tous les gérer, mais également d’acquérir une compréhension approfondie de tous les systèmes en place.
C’est ce même manque de compréhension et de confusion qui peut entraîner des erreurs de configuration et, à terme, des violations de données. Encore une fois, la présence d’un professionnel de la sécurité peut atténuer ce risque, mais disposer d’un WAF intégrant une solution intégrée l’éliminerait.
Les ensembles de règles devront être gérés, mis à jour et audités. Les règles de pare-feu WAF peuvent sembler statiques, mais à mesure que le paysage des menaces évolue, vos règles de pare-feu devront emboîter le pas. Les règles gérées sont une alternative simplifiée à la création des vôtres, mais elles présentent deux inconvénients. Les règles gérées coûteront de l'argent à votre entreprise et devront être achetées sur AWS Marketplace. Même si cela reste considérablement moins coûteux que l’embauche d’un consultant, cela reste un coût supplémentaire.
Les règles gérées ne permettent pas non plus de modifier les règles. Cela signifie que votre capacité à modifier ou personnaliser un ensemble de règles déployé sur AWS Marketplace est limitée. Cela vous place dans une case en matière de sécurité et de flexibilité. Si vous choisissez de créer vos propres ensembles de règles, ils devront périodiquement être mis à jour pour refléter les menaces nouvelles et évolutives. Les autorisations sur votre environnement AWS doivent également être auditées régulièrement, en fonction de la taille de votre organisation.
Tarifs
La tarification d'AWS WAF est liée au nombre de listes de contrôle d'accès que vous utilisez, au volume de demandes que vous traitez et au nombre de règles que vous avez ajoutées à chaque ACL. Ce modèle de tarification peut être un peu compliqué, mais avec une bonne planification, vous pouvez estimer vos coûts en fonction de l'utilisation actuelle et des besoins futurs.
La tarification mensuelle commence actuellement à 0,60 $ par million de requêtes, 1,00 $ par règle et 5,00 $ par liste de contrôle d'accès. Il existe également des frais minimes pour la création de groupes de règles supplémentaires. Planifier exactement le nombre de règles et de groupes dont vous aurez besoin peut être difficile, surtout si vous êtes nouveau sur la plateforme AWS. Pour aider les nouveaux utilisateurs, Amazon a créé un calculateur de prix pour vous aider à avoir une meilleure idée de ce que seraient vos coûts mensuels.
Pourquoi choisir AWS WAF ?
AWS WAF est une solution de pare-feu flexible qui exploite la puissance du cloud d'Amazon pour offrir aux entreprises une protection abordable et évolutive. Bien que leur tarification puisse être un peu compliquée, elle contribue à abaisser la barre d’entrée pour les petites entreprises et les startups à court d’argent. AWS WAF est une excellente option ; assurez-vous simplement d'avoir quelqu'un qui connaît AWS pour configurer et administrer votre WAF.
Alternatives à AWS WAF
Si vous souhaitez vous éloigner de la plateforme AWS, consultez notre liste d'alternatives AWS WAF compétitives. N'oubliez pas de consulter notre article mis à jour sur le meilleurs WAF .
- Pare-feu d'applications Web gérées AppTrana Cette solution WAF est livrée avec sa propre équipe de sécurité entièrement gérée et propose des politiques de sécurité personnalisées, des SLA contractuels et une assistance 24h/24 et 7j/7.
- WAF Cloudflare Tire parti de sa vaste infrastructure basée sur le cloud pour créer des ensembles de règles et des politiques puissantes avec une relative facilité grâce à des tableaux de bord et des assistants intuitifs.
- Pare-feu d'applications Web Barracuda Barracuda propose trois offres WAF qui offrent une protection adéquate contre les menaces et une multitude de mesures correctives automatisées. Les solutions incluent des services sur site, basés sur le cloud et sous forme de services gérés.
- Pare-feu d'applications Web avancé F5 Utilise des défenses proactives contre les botnets, des analyses comportementales et un cryptage de la couche application pour défendre vos services contre les menaces et sécuriser les communications entre vos systèmes auxiliaires.
- Pare-feu d'application Web StackPath Un produit de pare-feu basé sur le cloud qui comprend des tarifs compétitifs basés sur les utilisations en conjonction avec une suite de services de protection et de périphérie.
FAQ sur AWS WAF
AWS WAF est-il inclus dans AWS Shield ?
AWS Shield Standard n'inclut pas le service AWS WAF. AWS WAF est inclus avec AWS Shield Advanced.
Sur quelles conditions les règles de pare-feu des applications Web AWS WAF sont-elles basées ?
Les règles de pare-feu d'application AWS WAF peuvent être basées sur :
- Adresses IP
- En-têtes HTTP
- Corps du message HTTP
- URI personnalisés
Quels sont les trois éléments payants d'AWS WAF ?
Le prix que vous payez pour AWS WAF est calculé selon trois éléments facturables :
- Le nombre de requêtes entrantes que WAF doit traiter
- Le nombre d'ACL Web dont vous disposez
- Le nombre de règles dans chacune des ACL Web