Citrix Web App Firewall

Les rubriques suivantes couvrent l’installation et la configuration de la fonctionnalité de Citrix Web App Firewall.

   
Introduction Vue d’ensemble de la sécurité Web et du fonctionnement du Web App Firewall.
Configuration Comment faire pour configurer le Web App Firewall pour protéger un site Web, un service Web ou un site Web 2.0.
Signatures Description détaillée de la fonction de signatures et comment configurer les signatures, ajouter des signatures à partir d’un outil d’analyse des vulnérabilités pris en charge et définir vos propres signatures, avec des exemples.
Vue d’ensemble des contrôles de sécurité Description détaillée de toutes les vérifications de sécurité du Web App Firewall, avec des informations de configuration et des exemples.
Profils Description de la façon dont les profils sont configurés et utilisés dans le Web App Firewall.
Stratégies Description de la façon dont les stratégies sont utilisées lors de la configuration du Web App Firewall, avec des exemples de stratégies utiles.
Importations Description de la façon dont le Web App Firewall utilise différents types de fichiers importés et comment importer et exporter des fichiers.
Configuration globale Description des fonctionnalités du Web App Firewall qui s’appliquent à tous les profils et comment les configurer.
Cas d’utilisation Exemples étendus qui montrent comment configurer le Web App Firewall pour protéger au mieux des types spécifiques de sites Web et de services Web plus complexes.
Journaux, statistiques et rapports Comment accéder et utiliser les journaux du Web App Firewall, les statistiques et les rapports pour vous aider à configurer le pare-feu des applications Web.

Le Citrix Web App Firewall offre des options faciles à configurer pour répondre à un large éventail d’exigences en matière de sécurité des applications. Les profils de Web App Firewall, qui consistent en des ensembles de contrôles de sécurité, peuvent être utilisés pour protéger à la fois les demandes et les réponses en fournissant des inspections approfondies au niveau des paquets. Chaque profil inclut une option permettant de sélectionner des protections de base ou des protections avancées. Certaines protections peuvent nécessiter l’utilisation d’autres fichiers. Par exemple, les vérifications de validation xml peuvent nécessiter des fichiers WSDL ou de schéma. Les profils peuvent également utiliser d’autres fichiers, tels que des signatures ou des objets d’erreur. Ces fichiers peuvent être ajoutés localement ou importés à l’avance et enregistrés sur l’appliance pour une utilisation ultérieure. Ils peuvent être partagés par plusieurs profils.

Les profils fonctionnent en conjonction avec les stratégies de Web App Firewall. Chaque stratégie identifie un type de trafic et ce trafic est inspecté pour détecter les violations de contrôle de sécurité spécifiées dans le profil associé à la stratégie. Les stratégies peuvent avoir différents points de liaison, qui déterminent la portée de la stratégie. Par exemple, une stratégie liée à un serveur virtuel spécifique est appelée et évaluée uniquement pour le trafic circulant à travers ce serveur virtuel. Les stratégies sont évaluées dans l’ordre de leurs priorités désignées, et la première qui correspond à la demande ou à la réponse est appliquée.

  • Déploiement rapide de la protection par Web App Firewall

    Vous pouvez utiliser la procédure suivante pour un déploiement rapide de la sécurité du Web App Firewall :

    1. Ajoutez un profil appfw et sélectionnez le type approprié (html, xml, JSON) pour les exigences de sécurité de l’application.
    2. Sélectionnez le niveau de sécurité requis (de base ou avancé).
    3. Ajoutez ou importez les fichiers requis, tels que les signatures ou WSDL.
    4. Configurez le profil pour qu’il utilise les fichiers et apportez les autres modifications nécessaires aux paramètres par défaut.
    5. Ajoutez une stratégie appfw pour ce profil.
    6. Liez la stratégie au point de liaison cible et spécifiez la priorité.
  • Entités de Web App Firewall

    Profil: un profil de Web App Firewall spécifie ce qu’il faut rechercher et ce qu’il faut faire. Il inspecte à la fois la demande et la réponse pour déterminer quelles violations de sécurité potentielles doivent être vérifiées et quelles mesures doivent être prises lors du traitement d’une transaction. Un profil peut protéger une charge utile HTML, XML ou HTML et XML. Selon les exigences de sécurité de l’application, vous pouvez créer un profil de base ou un profil avancé. Un profil de base peut protéger contre les attaques connues. Si une sécurité plus élevée est requise, vous pouvez déployer un profil avancé pour permettre un accès contrôlé aux ressources de l’application, bloquant les attaques zéro jour. Cependant, un profil de base peut être modifié pour offrir des protections avancées, et vice versa. Plusieurs options d’action (par exemple, bloc, journal, apprentissage et transformation) sont disponibles. Les contrôles de sécurité avancés peuvent utiliser des cookies de session et des balises de formulaire cachées pour contrôler et surveiller les connexions client. Les profils de Web App Firewall peuvent apprendre les violations déclenchées et suggérer les règles de relaxation.

    Protections de base: un profil de base inclut un ensemble préconfiguré de règles de relaxation d’URL de démarrage et de refus d’URL. Ces règles d’assouplissement déterminent les demandes qui doivent être acceptées et celles qui doivent être rejetées. Les demandes entrantes sont mises en correspondance avec ces listes et les actions configurées sont appliquées. Cela permet à l’utilisateur de sécuriser les applications avec une configuration minimale pour les règles de relaxation. Les règles d’URL de démarrage protègent contre la navigation forcée. Les vulnérabilités connues des serveurs Web exploitées par les pirates peuvent être détectées et bloquées en activant un ensemble de règles d’URL de refus par défaut. Les attaques lancées couramment, telles que Buffer Overflow, SQL ou cross-site scripting peuvent également être facilement détectées.

    Protections avancées: comme son nom l’indique, les protections avancées sont utilisées pour les applications qui ont des exigences de sécurité plus élevées. Les règles de relaxation sont configurées pour autoriser l’accès à des données spécifiques et bloquer le reste. Ce modèle de sécurité positif atténue les attaques inconnues, qui peuvent ne pas être détectées par les contrôles de sécurité de base. En plus de toutes les protections de base, un profil avancé assure le suivi d’une session utilisateur en contrôlant la navigation, en vérifiant les cookies, en spécifiant les exigences d’entrée pour différents champs de formulaire et en protégeant contre la falsification de formulaires ou les attaques de falsification de requêtes intersites. L’apprentissage, qui observe le trafic et déploie les relaxations appropriées, est activé par défaut pour de nombreuses vérifications de sécurité. Bien que faciles à utiliser, les protections avancées nécessitent une attention particulière, car elles offrent une sécurité plus étroite, mais nécessitent également plus de traitement et ne permettent pas l’utilisation de la mise en cache, ce qui peut affecter les performances.

    Importer: la fonctionnalité d’importation est utile lorsque les profils de Web App Firewall doivent utiliser des fichiers externes, c’est-à-dire des fichiers hébergés sur un serveur Web externe ou interne, ou qui doivent être copiés à partir d’une machine locale. Importer un fichier et le stocker sur l’appliance est très utile, en particulier dans les situations où vous devez contrôler l’accès à des sites Web externes, où la compilation prend beaucoup de temps, les fichiers volumineux doivent être synchronisés entre les déploiements HA ou vous pouvez réutiliser un fichier en le copiant sur plusieurs périphériques. Par exemple :

    • Les WSDL hébergées sur des serveurs Web externes peuvent être importées localement avant de bloquer l’accès aux sites Web externes.
    • Les fichiers de signatures volumineux générés par un outil d’analyse externe tel que Cenzic peuvent être importés et précompilés à l’aide d’un schéma sur l’appliance Citrix.
    • Une page d’erreur HTML ou XML personnalisée peut être importée à partir d’un serveur Web externe ou copiée à partir d’un fichier local.

    Signatures: les signatures sont très puissantes, car elles utilisent la correspondance de modèles pour détecter les attaques malveillantes et peuvent être configurées pour vérifier à la fois la demande et la réponse d’une transaction. Ils sont une option privilégiée lorsqu’une solution de sécurité personnalisable est nécessaire. Plusieurs choix (par exemple, bloc, journal, apprentissage et transformation) sont disponibles pour l’action à effectuer lorsqu’une correspondance de signature est détectée. Le Web App Firewall dispose d’un objet de signature par défaut intégré composé de plus de 1 300 règles de signature, avec une option permettant d’obtenir les dernières règles à l’aide de la fonctionnalité de mise à jour automatique. Les règles créées par d’autres outils d’analyse peuvent également être importées. L’objet signature peut être personnalisé en ajoutant de nouvelles règles, qui peuvent fonctionner conjointement avec les autres contrôles de sécurité spécifiés dans le profil Web App Firewall. Une règle de signature peut avoir plusieurs modèles et ne peut marquer une violation que lorsque tous les modèles sont appariés, évitant ainsi les faux positifs. Une sélection minutieuse d’un modèle de correspondance rapide littérale pour une règle peut optimiser considérablement le temps de traitement.

    Stratégies: les stratégies de pare-feu des applications Web permettent de filtrer et de séparer le trafic en différents types. Cela offre la flexibilité nécessaire pour implémenter différents niveaux de protection de sécurité pour les données de l’application. L’accès aux données hautement sensibles peut être dirigé vers des inspections de sécurité avancées, tandis que les données moins sensibles sont protégées par des inspections de sécurité de base. Les stratégies peuvent également être configurées pour contourner l’inspection de contrôle de sécurité pour un trafic inoffensif. Une sécurité plus élevée nécessite plus de traitement, de sorte que la conception soignée des stratégies peut fournir la sécurité souhaitée ainsi que des performances optimisées. La priorité de la stratégie détermine l’ordre dans lequel elle est évaluée, et son point de liaison détermine la portée de son application.

Résumé

  1. Possibilité de sécuriser un large éventail d’applications en protégeant différents types de données, en mettant en œuvre le bon niveau de sécurité pour différentes ressources et en obtenant des performances maximales.
  2. Flexibilité pour ajouter ou modifier une configuration de sécurité. Vous pouvez resserrer ou relâcher les contrôles de sécurité en activant ou en désactivant les protections de base et avancées.
  3. Option permettant de convertir un profil HTML en un profil XML ou Web2.0 (HTML+XML) et vice-versa, offrant la flexibilité d’ajouter la sécurité pour différents types de charge utile.
  4. Des actions facilement déployées pour bloquer les attaques, les surveiller dans les journaux, collecter des statistiques ou même transformer certaines chaînes d’attaque pour les rendre inoffensives.
  5. Capacité à détecter les attaques en inspectant les demandes entrantes et à prévenir les fuites de données sensibles en inspectant les réponses envoyées par les serveurs.
  6. Possibilité d’apprendre du modèle de trafic pour obtenir des recommandations pour des règles de relaxation facilement modifiables qui peuvent être déployées pour autoriser les exceptions.
  7. Modèle de sécurité hybride qui applique la puissance des signatures personnalisables pour bloquer les attaques qui correspondent à des modèles spécifiés, et qui offre la flexibilité d’utiliser les contrôles positifs du modèle de sécurité pour les protections de sécurité de base ou avancées.
  8. Disponibilité de rapports de configuration complets, y compris des informations sur la conformité PCI-DSS.

Citrix Web App Firewall