Cette reconnaissance souligne notre engagement et notre investissement permanents dans ce domaine, notre objectif étant de fournir à nos utilisateurs et clients des solutions de sécurité plus performantes et plus efficaces.
Suivre l'évolution de la sécurité des applications
Avec plus de 36 millions de requêtes HTTP traitées chaque seconde par le réseau mondial de Cloudflare, nous bénéficions d'une visibilité sans précédent des modèles de réseau et des vecteurs d'attaque. Cette étendue nous permet de différencier efficacement le trafic légitime du trafic malveillant, et ainsi, d'atténuer environ 1 requête HTTP sur 10 traitée en proxy par Cloudflare à la périphérie avec notre portefeuille WAAP.
La visibilité ne suffit pas et, à mesure que de nouveaux scénarios d'utilisation et modèles apparaissent, nous investissons dans la recherche et le développement de nouveaux produits. Par exemple, le trafic des API augmente (plus de 55 % du trafic total), et nous n'anticipons aucun ralentissement de cette tendance. Pour aider les clients à traiter ces nouvelles charges de travail, notre passerelle API Gateway s'appuie sur notre pare-feu WAF pour offrir une visibilité et des atténuations améliorées du trafic bien structuré des API, avec lequel nous avons observé des profils d'attaque différents de ceux des applications web standard.
Nous pensons que notre investissement continu dans la sécurité des applications nous a permis de nous faire une place dans ce domaine, et nous tenons à remercier Gartner pour cette reconnaissance.
Cloudflare WAAP
Chez Cloudflare, nous avons développé plusieurs fonctionnalités qui relèvent de la protection des applications web et des API (WAAP).
Protection contre les attaques DDoS et atténuation des attaques
Notre réseau, qui s'étend à plus de 275 villes situées dans plus de 100 pays, constitue l'épine dorsale de notre plateforme et est une composante essentielle qui nous permet d'atténuer les attaques DDoS de toute ampleur.
À cette fin, notre réseau utilise intentionnellement la technologie anycast et annonce les mêmes adresses IP depuis tous les sites, nous permettant ainsi de « diviser » le trafic entrant en fragments gérables, pouvant être facilement traités par chaque site. Ceci s'avère particulièrement important pour l'atténuation d'attaques volumétriques de grande ampleur par déni de service distribué (DDoS).
Le système est conçu pour nécessiter une configuration très réduite, le cas échéant, tout en étant « toujours actif », ce qui garantit l'atténuation instantanée des attaques. Ajoutez à cela des logiciels très intelligents, à l'image de notre nouveau système d'atténuation géolocalisable, et les attaques DDoS cessent d'être un problème.
Pour les clients présentant des modèles de trafic très spécifiques, la capacité de configuration complète de nos règles gérées DDoS n'est qu'à un clic.
Pare-feu d'applications web
Notre pare-feu WAF est une composante essentielle de notre solution de sécurité des applications, et assure que les acteurs malveillants et les outils d'analyse des vulnérabilités auront des difficultés à identifier les vulnérabilités potentielles des applications web.
Cet aspect est très important lorsque des vulnérabilités « zero-day » sont rendues publiques, car nous avons vu des acteurs malveillants tenter d'exploiter de nouveaux vecteurs quelques heures seulement après leur publication. Log4J et, plus récemment, Confluence CVE ne sont que deux exemples dans lesquels nous avons observé ce comportement. C'est pourquoi notre pare-feu WAF est également soutenu par une équipe d'experts de la sécurité, qui surveillent et développent/améliorent continuellement les signatures afin de nous assurer de gagner un temps précieux, et ainsi, permettre à nos clients de renforcer leurs systèmes back-end et d'appliquer les correctifs requis, si nécessaire. Par ailleurs, en complément des signatures, le système d'apprentissage automatique de notre pare-feu WAF catégorise chaque requête, offrant ainsi une vision beaucoup plus étendue des modèles de trafic.
Notre pare-feu WAF intègre de nombreuses fonctionnalités avancées telles que la vérification d'identifiants compromis, l'analyse avancée de données, ainsi que les alertes et la journalisation des contenus.
Gestion des bots
Ce n'est un secret pour personne : le trafic web est en grande partie automatisé et, bien que toutes les automatisations ne soient pas mauvaises, certaines sont inutiles et peuvent également être malveillantes.
Notre produit Gestion des bots s'exécute en parallèle avec notre pare-feu WAF et évalue chaque requête en fonction de la probabilité qu'elle soit générée par un bot, vous permettant ainsi de filtrer facilement le trafic indésirable en déployant une règle personnalisée au niveau du pare-feu WAF, avec l'appui d'analyses de données puissantes. Cette tâche est facilitée par la disponibilité d'une liste mise à jour de bots vérifiés, qui peuvent être utilisés pour améliorer davantage une politique de sécurité.
Si vous souhaitez bloquer du trafic automatisé, l'action de test gérée de Cloudflare vous assure que seuls les bots se heurtent à des difficultés d'accès, sans que cette protection n'affecte l'expérience des utilisateurs réels.
Passerelle API Gateway
Le trafic des API, par définition, est très bien structuré par rapport à celui des pages web standard consommées par les navigateurs. Dans le même temps, les API ont tendance à être des abstractions plus proches des bases de données et services back-end ; elles attirent donc davantage l'attention des acteurs malveillants et passent souvent inaperçues, même pour les équipes de sécurité internes (API fantômes).
La passerelle API Gateway, qui peut être superposée à notre pare-feu WAF, vous aide à découvrir les points de terminaison d'API desservis par votre infrastructure, ainsi qu'à détecter les anomalies potentielles dans les flux de trafic pouvant indiquer une compromission, du point de vue volumétrique aussi bien que séquentiel.
La nature des API permet également à la passerelle API Gateway de déployer beaucoup plus facilement un modèle de sécurité positive, contraire à celui de notre pare-feu WAF : autoriser uniquement le trafic légitime connu et bloquer tout le reste. Les clients peuvent tirer parti de la protection par schéma et de l'authentification TLS réciproque (mTLS) pour atteindre facilement ce résultat.
Page Shield
Les attaques qui exploitent directement l'environnement du navigateur peuvent passer inaperçues pendant un certain temps, car elles ne nécessitent pas forcément la compromission de l'application back-end. Par exemple, si une bibliothèque JavaScript tierce utilisée par une application web adopte un comportement malveillant, les administrateurs et utilisateurs de l'application peuvent n'être conscients de rien tandis que les données de cartes de crédit sont transmises à un terminal tiers, contrôlé par un acteur malveillant. Il s'agit d'un vecteur commun de Magecart, l'une des nombreuses attaques de sécurité côté client.
Page Shield résout le problème de la sécurité côté client en assurant la surveillance active des bibliothèques tierces et en alertant les propriétaires d'applications lorsqu'une ressource tierce présente une activité malveillante. La solution repose à la fois sur des normes publiques, telles que les politiques de sécurité du contenu (CSP), et sur des informations de classification personnalisées pour remplir sa mission.
Page Shield, à l'image de nos autres produits WAAP, est entièrement intégré sur la plateforme Cloudflare, et son activation ne nécessite qu'un clic.
Centre de sécurité
Le nouveau Centre de sécurité de Cloudflare accueille le portefeuille de solutions WAAP, et offre un endroit unique depuis lequel les professionnels de la sécurité peuvent bénéficier d'une vue d'ensemble des ressources réseau et d'infrastructure protégées par Cloudflare.
À l'avenir, nous avons l'intention de faire du Centre de sécurité le point de départ des analyses de données et analyses après incident, ce qui vous permettra également de tirer parti des informations sur les menaces de Cloudflare lors de l'examen d'incidents.
L’avantage Cloudflare
Notre portefeuille de solutions WAAP est déployé depuis une plateforme horizontale unique, vous permettant d'accéder à toutes les fonctionnalités de sécurité sans déploiement supplémentaire. Par ailleurs, l'évolutivité, la maintenance et les mises à jour sont entièrement gérées par Cloudflare, vous permettant ainsi d'optimiser la valeur opérationnelle de votre application.
Cette approche s'étend même au-delà de notre solution WAAP, car bien que nous ayons commencé à construire des produits et des services pour les applications web, notre position sur le réseau nous permet de protéger toute entité connectée à Internet, notamment les équipes, les bureaux et les applications internes – et tout cela, depuis une plateforme unique. Notre portefeuille de solutions Zero Trust fait désormais partie intégrante de notre activité, et les clients de notre solution WAAP peuvent commencer à tirer parti de notre service d’accès sécurisé en périphérie (SASE, Secure Access Service Edge) en quelques clics seulement.
Si vous cherchez à consolider votre niveau de sécurité, tant du point de vue de la gestion que du budget, les équipes de services d'application peuvent utiliser la même plateforme que celle qu'emploient les équipes de services informatiques pour protéger le personnel et les réseaux internes.
Innovation continue
Nous n'avons pas bâti notre portefeuille de solutions WAAP en un jour, et au cours de l'année passée, nous avons lancé plus de cinq versions majeures des produits de sécurité de notre portefeuille WAAP. Pour illustrer notre rapidité d'innovation, voici une sélection de nos meilleures offres :
- Protection par schéma d'API Shield : les approches traditionnelles des pare-feu WAF basées sur les signatures (modèle de sécurité négatif) ne s'avèrent pas toujours efficaces avec des données bien structurées telles que le trafic des API. Compte tenu de la croissance rapide du trafic des API sur l'ensemble du réseau, nous avons développé un nouveau produit incrémentiel qui vous permet d'appliquer des schémas d'API directement à la périphérie, avec un modèle de sécurité positif, en ne laissant que les données bien structurées transiter vers vos serveurs web d'origine.
- Détection de l'utilisation abusive des API : complémentant la protection des schémas d'API, la détection de l'utilisation abusive des API vous avertit lorsque des anomalies sont détectées sur vos points de terminaison d'API. Celles-ci peuvent être déclenchées par des flux de trafic inhabituels ou des modèles non conformes à l'activité normale du trafic.
- Notre nouveau pare-feu d'applications web : développé sur la fondation de notre nouveau moteur de règles périphériques, le pare-feu d'applications web a bénéficié d'une refonte complète, des composants internes du moteur jusqu'à l'interface utilisateur. Il offre des performances supérieures en termes de latence et d'efficacité pour bloquer les contenus malveillants, ainsi que de nouvelles fonctionnalités, et notamment la vérification d'identifiants compromis, les configurations de comptes et la journalisation des contenus.
- Règles gérées DDoS personnalisables : pour offrir davantage de flexibilité lors de la configuration, nous avons commencé à divulguer certaines de nos règles gérées internes d'atténuation des attaques DDoS pour des configurations personnalisées, afin de réduire davantage les faux positifs et permettre aux clients d'élever les seuils/les détections selon le besoin.
- Centre de sécurité : la vision de Cloudflare des ressources d'infrastructure et réseau, ainsi que des alertes et des notifications concernant les erreurs de configuration et les problèmes de sécurité potentiels ;
- Page Shield : développé en réponse à une demande croissante de nos clients et à l'augmentation des vecteurs d'attaque ciblant l'environnement de navigateur des utilisateurs finaux, Page Shield vous aide à détecter tout script JavaScript malveillant susceptible de s'être introduit dans le code de votre application.
- Passerelle API Gateway : gestion complète des API, avec routage directement depuis la périphérie de Cloudflare, sécurité intégrée des API, chiffrement et authentification réciproque TLS (mTLS).
- Pare-feu WAF avec apprentissage automatique : complémentant nos ensembles de règles gérées du pare-feu WAF, le nouveau moteur d'apprentissage automatique de notre pare-feu WAF évalue chaque requête de 1 (légitime) à 99 (malveillant) pour vous donner une visibilité supplémentaire des contenus malveillants valides et non valides et améliorer notre capacité à détecter les attaques et les analyses ciblant votre application.
Perspectives d'avenir
Notre feuille de route regorge de nouvelles fonctionnalités de sécurité des applications et d'améliorations de nos systèmes existants. Au fur et à mesure que nous en apprenons davantage sur Internet, nous nous trouvons mieux équipés pour préserver la sécurité de vos applications. Restez à l'écoute pour plus d'informations
Par Michael Tremante, Product Manager - Director - Application Security chez Cloudflare