SÉCURITÉ APPLICATIVE
Le bon outil, la bonne
administration
Jérôme CLAUZADE
Product Management Director
A L’ORIGINE…
+ Le WAF a comblé une faiblesse des pare-feux réseau
+ On l’a déployé derrière eux
+ Les applications web éta...
OÙ PLACER LE WAF ?
EN DMZ… OU PAS…

+ Nécessaire mais loin d’être suffisant car…
+ Un équipement en DMZ ne peut pas tout constater ni tout
ar...
PRENONS L’EXEMPLE D’UN DOCUMENT XML
CHIFFRÉ
UN RISQUE D’ATTAQUE
+ Le pare-feu réseau va faire son travail de filtrage de ports
+ Il n’est pas possible de laisser dans...
DÉPLOYER PLUSIEURS INSTANCES DU WAF
+ Il est nécessaire de passer par une deuxième instance du
pare-feu applicatif, située...
CARTOGRAPHIE RESEAU APPLICATIVE
+
+
+
+

Les murs en place ne sont pas assez hauts
Les flux HTTP sont (souvent) cartograph...
CARTOGRAPHIE WEB SERVICES ??
+ Il faut pouvoir analyser les documents
+ A l’intérieur des requêtes HTTP
+ … avec les resso...
QUI EXPLOITE LE WAF ?
SÉCURITÉ APPLICATIVE ET PROCESS METIER
LES LIMITES DE L’ADMINISTRATION RÉSEAU
+ Historiquement, le pare-feu applicatif est à la charge de
l’administrateur réseau...
LE CONSTAT
+ La sécurité applicative ne peut reposer sur :

✘1 produit
✘1 personne
✘1 endroit
??

ET DONC ?
Le pare-feu applicatif doit être capable d’intercepter et
d’analyser tous les flux (internes, inter-applicatifs, mobiles,
...
Il faut donc un produit facilement administrable et facilement
déployable
ET DONC…?
+ Bee Ware a conçu un mécanisme de déploiement
automatisé, capable de piloter un grand nombre de
machines
+ Poin...
USUAL PRODUCTS
+ Plus on s’éloigne du réseau, plus le rôle de l’administrateur
réseau diminue…
INTELLIGENCE APPLICATIVE
>> 95% de l’intelligence du WAF est « applicative »
Hémisphère Sécurité
Détection d’intrusion
Con...
AU DELÀ DU PRODUIT
+ S’affranchir des contraintes matérielles
• S’adapter à des infrastructures élastiques
• Supporter les...
SÉCURITÉ APPLICATIVE ET PROCESS METIER
+ Les différentes entités auront à leur disposition un
ensemble de services qui ne ...
EXEMPLES DE SERVICES
EXEMPLES DE SERVICES

Je mets à jour
l’application

Je valide la conformité
de ces nouvelles URL

API

Intégration des nou...
DU PRODUIT VERS LE SERVICE
Fournir de multiples interfaces dédiées pour la
configuration, la supervision, l’audit, etc.

C...
POUR TOUTES LES ARCHITECTURES
AU PLUS TÔT
+ Le WAF peut jouer un rôle dès le développement des
applications
Exemple : OpenSAMM
EXEMPLE OPENSAMM
Pourquoi ?
+ Identifier les risques applicatifs
+ Réduire la surface d’attaque
+ Optimiser le coût de la ...
CONCLUSION
L’évolution de la sécurité applicative passe par une
refonte du rôle du WAF
Le WAF n’est pas un module de pare-...
CONTACTS
Jérôme Clauzade

Bee Ware

jerome.clauzade@bee-ware.net

20 rue Billancourt
92100 Boulogne Billancourt

Service c...
+ D’INFOS
Upcoming SlideShare
Loading in...5
×

Waf, le bon outil, la bonne administration

624

Published on

Comment les évolutions architecturales des systèmes d’information influencent le positionnement et l’administration d’un pare-feu applicatif

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
624
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
32
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Waf, le bon outil, la bonne administration

  1. 1. SÉCURITÉ APPLICATIVE Le bon outil, la bonne administration Jérôme CLAUZADE Product Management Director
  2. 2. A L’ORIGINE… + Le WAF a comblé une faiblesse des pare-feux réseau + On l’a déployé derrière eux + Les applications web étaient donc protégées de manière empirique + Malheureusement, c’est toujours le cas…
  3. 3. OÙ PLACER LE WAF ?
  4. 4. EN DMZ… OU PAS… + Nécessaire mais loin d’être suffisant car… + Un équipement en DMZ ne peut pas tout constater ni tout arrêter…
  5. 5. PRENONS L’EXEMPLE D’UN DOCUMENT XML CHIFFRÉ
  6. 6. UN RISQUE D’ATTAQUE + Le pare-feu réseau va faire son travail de filtrage de ports + Il n’est pas possible de laisser dans la DMZ les clefs privées nécessaires au déchiffrement du message XML + Le pare-feu applicatif situé en DMZ se retrouve donc dans l’incapacité total de faire son travail… + Il va donc transmettre en interne des messages qui sont potentiellement porteurs de contenus offensifs !
  7. 7. DÉPLOYER PLUSIEURS INSTANCES DU WAF + Il est nécessaire de passer par une deuxième instance du pare-feu applicatif, située en interne dans une zone protégée + Il sera alors possible de déployer les clefs de chiffrement en toute sécurité
  8. 8. CARTOGRAPHIE RESEAU APPLICATIVE + + + + Les murs en place ne sont pas assez hauts Les flux HTTP sont (souvent) cartographiés… … mais pas qualifiés … et rarement en interne accept SQL injection accept Command injection accept any HTTP based exploit…
  9. 9. CARTOGRAPHIE WEB SERVICES ?? + Il faut pouvoir analyser les documents + A l’intérieur des requêtes HTTP + … avec les ressources nécessaires Ressources = Connaissances + moyens techniques + moyens cryptographiques accept SQL injection accept Command injection accept any XML/JSON based exploit…
  10. 10. QUI EXPLOITE LE WAF ?
  11. 11. SÉCURITÉ APPLICATIVE ET PROCESS METIER
  12. 12. LES LIMITES DE L’ADMINISTRATION RÉSEAU + Historiquement, le pare-feu applicatif est à la charge de l’administrateur réseaux + Mais de nouvelles problématiques viennent agrandir son spectre fonctionnel + … Les limites de l’administrateur vont vite être atteintes !
  13. 13. LE CONSTAT + La sécurité applicative ne peut reposer sur : ✘1 produit ✘1 personne ✘1 endroit
  14. 14. ?? ET DONC ?
  15. 15. Le pare-feu applicatif doit être capable d’intercepter et d’analyser tous les flux (internes, inter-applicatifs, mobiles, etc.)
  16. 16. Il faut donc un produit facilement administrable et facilement déployable
  17. 17. ET DONC…? + Bee Ware a conçu un mécanisme de déploiement automatisé, capable de piloter un grand nombre de machines + Point central de configuration + Gain de temps + Il est également possible de piloter l’ensemble des tâches (administration, supervision, configuration) grâce aux API
  18. 18. USUAL PRODUCTS + Plus on s’éloigne du réseau, plus le rôle de l’administrateur réseau diminue…
  19. 19. INTELLIGENCE APPLICATIVE >> 95% de l’intelligence du WAF est « applicative » Hémisphère Sécurité Détection d’intrusion Contrôle d’accès Audit de sécurité Disponibilité de service Etc. Hémisphère Applicatif Listes d’URL Journalisation Faux positifs Routage applicatif Etc. Zone réseau Déclaration d’IP
  20. 20. AU DELÀ DU PRODUIT + S’affranchir des contraintes matérielles • S’adapter à des infrastructures élastiques • Supporter les hyperviseurs du marché + Permettre le suivi de la consommation • Métriques d’allocation et d’utilisation des ressources • Gestion flottante des licences + Adapter le management de la solution • Autoriser le management centralisé ou dédié • Faciliter les audits
  21. 21. SÉCURITÉ APPLICATIVE ET PROCESS METIER + Les différentes entités auront à leur disposition un ensemble de services qui ne passera plus par l’administrateur réseau mais qui sera directement accessible dans le produit au travers d’API
  22. 22. EXEMPLES DE SERVICES
  23. 23. EXEMPLES DE SERVICES Je mets à jour l’application Je valide la conformité de ces nouvelles URL API Intégration des nouvelles URL dans la configuration Mise à jour de la configuration de sécurité et application de celle-ci Le WAF s’intègre dans les processus métier et non l’inverse
  24. 24. DU PRODUIT VERS LE SERVICE Fournir de multiples interfaces dédiées pour la configuration, la supervision, l’audit, etc. Chaque fonctionnalité doit être invocable comme un service, avec autorisation et trace Les clients ne doivent utiliser que ce dont ils ont besoin, et payer uniquement ce qu’ils sécurisent
  25. 25. POUR TOUTES LES ARCHITECTURES
  26. 26. AU PLUS TÔT + Le WAF peut jouer un rôle dès le développement des applications Exemple : OpenSAMM
  27. 27. EXEMPLE OPENSAMM Pourquoi ? + Identifier les risques applicatifs + Réduire la surface d’attaque + Optimiser le coût de la sécurité + Industrialiser la protection Environment Hardening Design Review
  28. 28. CONCLUSION L’évolution de la sécurité applicative passe par une refonte du rôle du WAF Le WAF n’est pas un module de pare-feu ou de répartiteur de charge La clé est l’adaptation aux processus métier C’est possible ! (Pensez API !)
  29. 29. CONTACTS Jérôme Clauzade Bee Ware jerome.clauzade@bee-ware.net 20 rue Billancourt 92100 Boulogne Billancourt Service commercial +33 (0)1 74 90 50 90 contact@bee-ware.net +33 (0) 1 74 90 50 96 sales@bee-ware.net
  30. 30. + D’INFOS
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×