Qu'est-ce que l'application Web and API Protection (WAAP) ?

WAAP : Fonctionnement et composantes principales

Il ne s'agit pas de déclarer le WAF obsolète - au cœur du WAAP se trouve un Pare-feu pour applications Web. Le WAAP suit également la même conception architecturale, puisqu'il se positionne également comme un proxy inverse qui s'interpose entre les utilisateurs et les services dorsaux.

Toutefois, au lieu de s'appuyer uniquement sur les capacités du WAF, le WAAP bénéficie de plusieurs autres composants. Notez que Gartner définit le WAAP comme étant basé sur l'informatique en nuage, car il nécessite non seulement l'intégration avec les outils de réseau préexistants d'une organisation, mais aussi une base de renseignements sur les menaces qui est mise à jour en permanence.

Pare-feu pour applications Web (WAF)

Le WAF continue de servir de couche de défense efficace et hautement évolutive. Il inspecte tout le trafic HTTP/S en provenance et à destination de application et de ses utilisateurs - une base fondamentale pour sécuriser le web application. Les modules WAF avancés sont basés sur un ensemble de règles mises à jour en permanence, ce qui permet d'apporter des correctifs virtuels au fur et à mesure de la découverte de nouvelles menaces. Les flux de menaces en temps réel peuvent intégrer l'ensemble des flux de renseignements sur la vulnérabilité d'un fournisseur, ce qui permet une protection en temps quasi réel.

En outre, un WAF avancé peut offrir une inspection approfondie des paquets (DPI). Les WAF traditionnels examinent les en-têtes des paquets des requêtes des utilisateurs, qui indiquent la destination et l'origine des paquets, ainsi que la manière dont ils sont acheminés. L'IAP va plus loin en examinant le contenu intégral des paquets de données et leur charge utile lorsqu'ils transitent par un réseau.

Cette analyse plus approfondie permet à un moteur WAF de bloquer non seulement les paquets dangereux individuels, mais aussi les attaques plus complexes, telles qu'une application compromise qui commence à demander des connexions à des serveurs de commande et de contrôle. Les protocoles contextuels peuvent donc prendre en compte le contexte plus large de chaque demande, comme l'identité de l'utilisateur, la localisation, l'heure, l'appareil et l'endroit où les données apparaissent dans la demande.

Enfin, toutes ces données de trafic HTTPS en temps réel sont intégrées dans une plateforme d'analyse comportementale. Cela permet au WAF d'établir un profil de la manière dont chaque application est appelée au fil du temps et du comportement des différents utilisateurs.

API passerelle

La sécurité des API est un élément essentiel de la WAAP. Conçu comme une passerelle API, le WAAP agit comme un point d'entrée unique qui ingère chaque demande, avant de l'acheminer vers le service dorsal approprié ou d'invoquer tous les services dorsaux demandés et d'agréger les résultats.

Du point de vue de la visibilité de la sécurité, cela permet une bien meilleure visibilité de l'API. API la découverte peut être semi-automatique, car la solution WAAP analyse le trafic et les postes associés pour détecter l'API en cours d'utilisation. Les API vérifiées sont transférées dans un inventaire de référence, tandis que les découvertes inattendues sont signalées comme des API fantômes et répertoriées en vue d'une vérification supplémentaire.

Une partie de ce processus consiste à valider le schéma auquel chaque API adhère. Lorsque chaque API est découverte, l'outil WAAP ingère ses données de demande et de réponse échantillonnées et les compare à une liste interne de schémas communs. Tout schéma inhabituel peut être vérifié manuellement. Outre le schéma, cette découverte WAAP comprend les éléments d'authentification de chaque API.

Les schémas d'API appris ou importés permettent d'appliquer la validation aux demandes entrantes et sortantes. Cela permet donc de s'assurer que même les API tierces adhèrent aux meilleures pratiques telles que l'authentification OAuth 2.0, l'assainissement des entrées et la limitation des taux. Les plateformes WAAP modernes intègrent souvent API passerelle pour une visibilité du trafic en temps réel et une gestion automatisée de l'inventaire API.

Gestion des robots

S'il est important de sécuriser les API et les utilisateurs individuels, il existe un autre acteur à prendre en compte lors de la sécurisation d'une application : les robots. Heureusement, les robots se comportent souvent d'une manière qui les différencie des utilisateurs réels et des appels d'API - par exemple, les humains déplacent les pointeurs de leur souris de manière aléatoire et organique, alors que les robots simulent des mouvements de souris en lignes droites mécaniques, ou ne les simulent pas du tout. WAAP recueille l'activité côté client, ainsi que des paramètres tels que l'appareil, le navigateur et le réseau.

Les meilleures pratiques de la WAAP indiquent alors qu'un bot suspecté doit être confronté à un défi, tel que JavaScript ou CAPTCHA. Une fois que l'on a vérifié qu'il s'agit bien d'un robot, il est possible de le bloquer ou de lui imposer des limites de débit raisonnables.

Gestion de l'accès

Nous avons évoqué précédemment l'importance de l'authentification sécurisée des API. WAAP assure la visibilité et l'application de ces règles en s'intégrant au fournisseur de gestion des identités et des accès (IAM) préexistant de l'organisation.

Une fois intégré, le WAAP peut capturer et valider tous les jetons d'accès émis dans le cadre de l'authentification de l'API - et garantir que chaque appel à l'API est accompagné d'un justificatif d'identité valide et non périmé. Il s'agit d'un cadre qui permet à une organisation de détecter et de supprimer les jetons d'accès volés, tout en imposant un renouvellement régulier des jetons au sein de ses API actives.

Du point de vue de l'utilisateur final, les outils WAAP peuvent accélérer le processus d'authentification, car ils prennent en charge les identités fédérées et les intégrations SSO. Cela signifie que l'authentification des appareils de confiance peut se faire en arrière-plan.