«Deux très vieux adages en matière de sécurité sont« moindre privilège »et« défense en profondeur ». L'idée est de donner uniquement les logiciels de privilèges suffisants pour faire le travail, et ne pas se fonder sur un seul mécanisme de sécurité. M. Andrews et J. Whittaker, Guide to Web Application Security »
Bien que les outils de sécurité ont leurs limites, ils sont généralement nécessaires pour faire des infrastructures de sécurité plus fort. Et, soit dit en passant, ils doivent être remplis avec deux principales composantes d'une politique de sécurité efficace: les ressources humaines (expertise, formation, sensibilisation à la menace, ...) et de l'organisation (processus, les meilleures pratiques, les comités, ...).
Les experts en sécurité se référer à des infrastructures de sécurité comme "ANNEAUX DE PROTECTIONS». Deux très bien connues et des outils communs sont des antivirus et pare-feu réseau. En ce qui concerne la sécurité Web, nous avons vu que le trafic Web pénètre les systèmes informatiques, sans véritable opposition. C'est pourquoi les pare-feu d'applications web deviennent indispensables. Une application web et un site web besoin de son 'garde du corps', car les technologies web deviennent de plus en plus critique et exposé dans une infrastructure informatique moderne! À la fin de 2004, un journaliste de Red Herring a mentionné: "web-app de la sécurité sera juste comme un anti-virus était il ya 10 ans. En cinq ans, ce sera un must-have.".
Conclusion: les pare-feu d'application Web agir dès que les outils classiques montrent leurs limites
Nous faisons face à la conjonction de grandes tendances:
- IT infrastructure a un rôle croissant dans la création de valeur pour l'entreprise
- Architectures Web prennent une place majeure dans ce processus
- Ces solutions sont vulnérables
- Les outils traditionnels ne peuvent pas les protéger efficacement
C'est pourquoi les pare-feu d'applications Web constituent un élément important dans chaque réseau HTTP. Les applications Web ont besoin de leur [intelligent et d'auto-apprentissage] garde du corps. Quand nous disons garde du corps, nous entendons une solution qui 'comprend' l'application, en tenant compte de son comportement, qui est proche de celle-ci (c'est à dire directement sur le serveur web) et peut agir immédiatement et par conséquent (contre-mesure). Dans le même temps, elle doit être discrète et s'en tenir à la logique métier. Il est le rempart "dernier", la protection ultime!
Richard Touret est gestionnaire au Binarysec, http://www.binarysec.com, l'édition de logiciels de sécurité entreprise un softwall intelligente des applications web ou pare-feu logiciel. Ce module Apache s'adapte sur la plupart des sites web, l'apprentissage du trafic légitime de bloquer les requêtes malveillantes, notamment par injection SQL, cross-site scripting, traversée de répertoire, la navigation avec force, l'injection de commandes, paramètres falsification, faux-fuyants attaque de type buffer overflow, ...
