Barracuda

Web Application Firewall

Protège vos sites Web et vos applications contre les cybermenaces les plus avancées

Sécurité des applications Web

Protection contre toutes les attaques répertoriées par l'OWASP, y compris les « 10 plus courantes » (injection SQL, scripts de site à site, CSRF, etc.) et ajouts récents comme la protection d'API. La journalisation et les rapports avancés offrent une vue approfondie du trafic et des détails relatifs aux attaques pour permettre aux administrateurs de bloquer, limiter, rediriger ou appliquer d'autres mesures afin de maintenir une protection intégrale.

Barracuda Advanced Bot Protection utilise l'apprentissage automatique dans le cloud pour fournir :

  • Détection du spam par les bots : réduisez le spam de référent et bloquez le spam des commentaires.

  • Protection contre le credential stuffing : bloquez les tentatives d'usurpation d'identité par credential stuffing pour empêcher les piratages de comptes.

  • Évaluation du risque des requêtes : suivez et bénéficiez d'outils d'analyse des comportements avancés pour évaluer les requêtes entrantes.

  • Fingerprinting client : suivez les utilisateurs avec une fidélité supérieure à celle des adresses IP.

Créez des profils de sécurité positifs pour les applications en échantillonnant le trafic Web émis par des hôtes de confiance. Une fois activés, les profils de sécurité positifs permettent aux administrateurs d'appliquer des règles de mise sur liste blanche précises pour les parties sensibles de l'application. Cette technologie réduit considérablement le risque d'attaque et aide à se protéger des vulnérabilités zero-day.

La première étape d'une attaque ciblée consiste souvent à sonder les applications publiques pour obtenir des informations sur les serveurs, les bases de données et les systèmes d'exploitation sous-jacents. Le masquage permet d'empêcher la reconnaissance d'attaque en dissimulant les bannières de serveurs, les messages d'erreur, les en-têtes HTTP, les codes de retour, les informations de débogage ou les adresses IP des serveurs principaux pour ne pas les communiquer aux malfaiteurs potentiels.

Chiffrez les URL avant qu'elles soient envoyées aux clients et assurez-vous que les URL originales ou la structure du répertoire ne soient jamais exposées aux regards indiscrets extérieurs*. Les utilisateurs finals des applications Web utilisent et naviguent sur le site uniquement par l'intermédiaire d'URL chiffrées qui sont ensuite déchiffrées par WAF. Le processus de déchiffrement identifie immédiatement les requêtes ou paramètres altérés dans les URL, les injections de contenu malveillant et les attaques aveugles de navigation forcée.

* Modèles WAF 660 et supérieurs

En tirant parti des adresses source des clients, les entreprises ont la capacité de contrôler l'accès aux ressources Web. Barracuda Web Application Firewall peut contrôler l'accès selon des critères de géolocalisation pour autoriser uniquement les utilisateurs des régions spécifiées. Il est également intégré avec la Barracuda Reputational Database afin d'identifier les adresses IP suspectes, les bots, les réseaux TOR, ainsi que d'autres proxys anonymes que les malfaiteurs utilisent fréquemment pour dissimuler leur identité et leur emplacement géographique. Une fois qu'une adresse IP a été identifiée comme étant potentiellement dangereuse, les administrateurs ont la possibilité de la bloquer, la restreindre, la limiter ou de lui soumettre un défi CAPTCHA avant d'autoriser l'accès.

Intégrations : MaxMind

Profitez de l'intégration avec Barracuda Vulnerability Manager, Cenzic Hailstorm, HPE Security WebInspect, HPE Security Fortify On Demand ou IBM AppScan pour configurer automatiquement le modèle de sécurité d'une application et bénéficier d'une protection contre les problèmes identifiés. Tout est réalisé automatiquement avec les données de sortie des analyseurs (sans nécessiter l'intervention des administrateurs).

Barracuda Web Application Firewall s'intègre également avec plus de 20 analyseurs de vulnérabilités par l'intermédiaire de l'intégration Denim Threadfix.

Intégration en toute transparence avec Barracuda Advanced Threat Protection (BATP) pour offrir une protection contre les menaces avancées. Il vous suffit d'ajouter BATP à Barracuda WAF pour bloquer les menaces zero-hour. Grâce aux analyses de fichiers réalisées via sandboxing par émulation CPU, il peut détecter et bloquer les logiciels malveillants dissimulés dans les fichiers téléchargés vers les sites ou les applications Web.

En plus de traiter le trafic HTTP et HTTPS, Barracuda Web Application Firewall est également capable d'inspecter le trafic FTP et FTPS et peut être configuré pour autoriser/rejeter des commandes FTP spécifiques. Il offre aussi des fonctionnalités d'inspection pour les protocoles d'application comme XML et JSON, et peut être configuré pour transmettre par proxy le trafic HTTP2 et le trafic HTML5 des WebSockets.

Bénéficiez d'une protection contre les attaques DDoS avancées au niveau des applications (attaques de lecture lente, SlowLoris et RUDY) qui diffèrent des attaques DDoS volumétriques, en tirant parti de services heuristiques de fingerprinting et de réputation IP pour distinguer les vrais utilisateurs des réseaux de bots. Sécurisez vos applications contre les attaques DDoS à l'aide d'un vaste éventail de techniques d'évaluation du risque : seuils spécifiques aux applications, contrôles de protocoles, intégrité de session, demandes d'accès client actives et passives, listes noires historiques de réputation client, géolocalisation, et détection des anomalies pendant les durées d'inactivité.

Les attaques DDoS volumétriques sont de plus en plus fréquentes car les ressources informatiques auxquelles les agresseurs ont accès leur permettent de lancer très facilement des attaques à grande échelle pour déclencher des pannes réseau généralisées. Souvent, les points d'entrée de ces attaques sont les sites Web des organisations, qui sont également les plus gravement affectés. Barracuda WAF offre un service cloud de protection DDoS par abonnement qui nettoie le trafic avant qu'il atteigne les sites Web de destination. Le service cloud est ainsi en mesure d'identifier les modèles d'attaques DDoS dans les connexions et de les bloquer en conséquence.

Sécurité des API

Les API d'applications mobiles et REST dépendent aujourd'hui du format JSON (JavaScript Object Notation) pour le transfert de données. Cependant, il présente un nouveau terrain d'attaque qui est souvent négligé et difficile à sécuriser avec les approches par test de balayage ou d'intrusion traditionnelles. Barracuda Web Application Firewall sécurise le terrain d'attaque complet des API d'applications mobiles et REST, filtre les entrées malveillantes qui se dissimulent dans les requêtes contenant des charges JSON, aide à garantir aux partenaires le respect des SLA relatifs aux API, et fournit une protection anti-pharming contre les clients malhonnêtes. Les applications Web interactives qui utilisent JSON avec AJAX sont protégées de la même manière.

Les applications qui dépendent du format XML peuvent désormais être sécurisées avec une fonctionnalité de pare-feu XML qui les protège contre le WSDL et les schémas empoisonnés, les éléments profondément imbriqués, les analyses récursives, ainsi que d'autres attaques XML. Cela permet de sécuriser les communications entre les clients et les applications ou entre les applications de différents systèmes, et ainsi de fermer un vecteur d'attaque souvent négligé.

Application Delivery

Barracuda WAF prend en charge l'équilibrage de charge pour tout type d'application. L'équilibrage de charge permet de s'assurer que toutes les requêtes provenant d'une même adresse IP sont acheminées vers le même serveur principal. À cette fin, il est nécessaire d'avoir connaissance de l'intégrité des serveurs afin de ne pas continuer à envoyer des requêtes à un serveur qui ne répond plus. Barracuda WAF peut assurer le suivi de l'intégrité des serveurs en surveillant leurs réponses aux requêtes réelles et en désignant les serveurs comme « hors service » lorsqu'ils rencontrent un nombre d'erreurs supérieur au seuil configuré par l'utilisateur. De plus, Barracuda WAF est capable d'exécuter des contrôles d'intégrité hors-bande, pour lesquels des requêtes sont créées et envoyées à un serveur à des intervalles réguliers configurés pour vérifier son intégrité.

Barracuda WAF offre une flexibilité remarquable pour déployer des applications de grande envergure où chaque module peut être déployé sur plusieurs serveurs. Le contenu demandé, tel que l'URL du module ou les paramètres et en-têtes HTTP, est utilisé pour acheminer les données vers les serveurs appropriés. Cela s'avère également lorsque les utilisateurs doivent être redirigés vers différentes parties des applications en fonction de divers critères (site mobile, site correspondant à un pays spécifique, etc.)

Mise en cache : Barracuda WAF accélère le temps de réponse des applications en mettant en cache le contenu statique afin de le réutiliser lorsqu'il est demandé de manière répétée. Les règles de mise en cache peuvent être configurées selon l'espace d'URL et la taille ou le type de fichier.

Compression : le moteur de compression intégré à Barracuda Web Application Firewall compresse les données à mesure qu'elles sont envoyées aux clients. Cette fonctionnalité est extrêmement utile dans les situations de bande passante faible et accélère la livraison des applications.

Optimisation du trafic : Barracuda Web Application Firewall emploie plusieurs techniques comme le regroupement des connexions et le multiplexage TCP pour optimiser les performances des protocoles. Les techniques de regroupement des connexions permettent à Barracuda Web Application Firewall de diminuer le traitement associé à la création et la clôture des connexions, et ainsi de réduire le délai requis pour répondre aux requêtes des clients.

Conformité et protection des données

Inspecte tout le trafic sortant pour empêcher les fuites de données sensibles. Le contenu comme les numéros de cartes bancaires, les numéros de sécurité sociale ou correspondant à tout autre modèle personnalisé est identifié et peut être bloqué ou masqué sans nécessiter l'intervention des administrateurs. De plus, les informations sont également consignées afin d'aider les administrateurs à détecter des fuites potentielles.

Une assistance simple et rentable pour aider les administrateurs à se conformer aux principales exigences spécifiques aux applications comme PCI-DSS, HIPAA, FISMA et SOX. Certifié par un grand nombre de laboratoires tiers comme ICSA Labs, Barracuda Web Application Firewall satisfait directement la section 6.6 de la norme PCI-DSS et facilite le travail des administrateurs grâce à ses rapports de conformité PCI intégrés. Ses fonctionnalités robustes de gestion des identités, des accès et de protection contre la perte de données garantissent la confidentialité des données sensibles.

Identité et contrôle d'accès

Barracuda Web Application Firewall prend en charge le protocole d'authentification SAML v2 et l'authentification unique sur le Web, ce qui signifie qu'il peut jouer le rôle d'un fournisseur de services SAML pour les fournisseurs d'identité conformes SAML. Il vous évite par conséquent d'avoir à mettre en œuvre SAML sur vos serveurs Web, ainsi que toutes les complications que cela entraînerait. L'authentification unique est ainsi facilitée entre les applications Web sur site et dans le cloud, tout comme l'interopérabilité avec Azure AD qui prend en charge SAML 2.0. Barracuda Web Application Firewall prend également en charge l'authentification avec les identités fédérées et l'authentification unique, ainsi que l'intégration avec Active Directory Federation Services (AD FS).

Barracuda Web Application Firewall peut être configuré pour exiger que les clients fournissent un certificat pour s'authentifier, et refuser toute communication avec ceux qui manquent à cette obligation.

Il offre également le chiffrement côté serveur, et peut fournir un certificat aux serveurs pour l'authentification client (auquel cas Barracuda Web Application Firewall agit comme le client pour les serveurs principaux). La prise en charge du protocole OCSP (Online Certificate Status Protocol) et des listes de révocation de certificats permet aussi de déterminer l'état actuel des certificats numériques des clients.

Publiez en toute sécurité vos applications AD FS, ainsi que toute autre application Web qui dépend d'AD FS comme SharePoint. Tout comme le service Microsoft Web Application Proxy, Barracuda WAF se déploie sur le réseau de périmètre : la DMZ. Il n'est pas nécessaire de l'ajouter au domaine, et il ne nécessite qu'un accès à la batterie AD FS via le port 443. Il intercepte les requêtes HTTP/S envoyées aux applications publiées et offre une protection contre les requêtes HTTP/S malveillantes du Web.

Barracuda WAF offre une intégration complète d'Active Directory et de tout autre service d'authentification compatible RADIUS ou LDAP. En la combinant avec les fonctionnalités de contrôle d'accès robustes, les administrateurs peuvent fournir un contrôle granulaire sur l'allocation de l'accès à des ressources spécifiques aux différents groupes ou utilisateurs. Pour sécuriser les environnements Kerberos, Barracuda WAF peut également fournir une authentification aux applications Web protégées à la place des utilisateurs (y compris une authentification unique à plusieurs services Kerberos).

Barracuda WAF s'intègre avec un grand nombre de technologies d'authentification à deux facteurs telles que les certificats client, les codes confidentiels envoyés par SMS, ainsi que les jetons matériels comme RSA SecurID afin de fournir une authentification utilisateur robuste.

Intégrations : codes confidentiels envoyés par SMS, RSA SecurID

Rapports

Les rapports graphiques performants offrent un aperçu immédiat de la conformité, de l'activité des menaces, du trafic Web et du respect des réglementations. Plus de 50 rapports préconfigurés sont disponibles et peuvent facilement être personnalisés davantage à l'aide de différents filtres représentant les types d'attaques, le trafic, les périodes, et bien plus encore.

Les rapports générés sont interactifs et bénéficient de fonctionnalités d'analyse détaillée. Leur couverture inclut la conformité PCI, la sécurité, les audits, le trafic Web, ainsi que des analyses de géolocalisation. Ils peuvent être générés à la demande ou programmés pour des livraisons périodiques à plusieurs destinataires par e-mail ou FTP.

Toutes les requêtes des clients, les modifications des administrateurs et les actions du pare-feu sont consignées. Un journal d'audit complet est ainsi disponible pour vous permettre d'optimiser votre politique de sécurité et votre conformité. Web Application Firewall utilise les données des journaux pour générer des rapports graphiques sur les attaques, le trafic Web, la conformité et d'autres analyses. Les journaux peuvent également être exportés vers une suite d'outils d'analyse tiers via Syslog ou FTP.

Barracuda Web Application Firewall est configuré pour offrir une intégration immédiate avec de nombreuses solutions SIEM courantes. Les journaux sont envoyés dans les formats spécifiques exigés par ces solutions SIEM pour garantir une simplicité d'intégration maximale.

Barracuda WAF bénéficie également d'un moteur d'exportation de journaux hautement personnalisable. Toutes les solutions SIEM qui utilisent Syslog peuvent s'y intégrer, et les administrateurs ont ensuite la possibilité de définir des formats de journaux spécifiques pour garantir une intégration complète.

Intégrations : HPE ArcSight, Splunk, RSA EnVision, Symantec SIM et QRadar.

Prise en charge immédiate de plusieurs plateformes d'analyse des journaux (ELK stack, Microsoft OMS et Microsoft Azure Event Hub). Envoi des journaux via Syslog vers toute autre plateforme, avec des formats de journaux personnalisés.

Administration

Les instances Barracuda Web Application Firewall peuvent être organisées en clusters, par paires actif/passif ou actif/actif avec basculement pour garantir une reprise instantanée. Les déploiements et configurations de sécurité sont automatiquement synchronisés entre les clusters afin de permettre une reprise instantanée en cas de panne.

Grâce à l'administration basée sur les rôles, Barracuda WAF Control Center vous permet de gérer facilement les déploiements multi-tenant de Barracuda Web Application Firewall à partir d'un emplacement central unique.

Barracuda WAF est livré avec une API REST complète qui vous permet de configurer et de surveiller l'appliance par programmation. La fonctionnalité du dispositif est exposée dans les interfaces compatibles Representational State Transfer qui peuvent être utilisées avec le langage de programmation de votre choix. L'API REST vous permet d'automatiser et de réduire vos coûts et vos délais de commercialisation en tirant parti d'économies d'échelle au sein d'un environnement programmable.

Les entreprises du monde entier utilisent des logiciels de gestion de configuration comme Puppet, Chef et Ansible pour automatiser les déploiements et les flux de travail relatifs à la configuration. Barracuda Web Application Firewall prend en charge les modules personnalisés pour permettre aux adeptes du DevOps d'automatiser leur configuration Barracuda WAF.

Gérer les politiques de sécurité des applications sur plusieurs dispositifs peut rapidement s'avérer très complexe et entraîner des erreurs. Barracuda WAF inclut des modèles de sécurité vous permettant de définir des paramètres basiques destinés à faciliter l'élaboration de vos politiques de sécurité. En utilisant les modèles, vous pouvez rapidement créer des politiques de sécurité conçues pour protéger une application, un portail Web, une plateforme ou une infrastructure spécifique, ou certaines parties de ces composants seulement. Les modèles permettent d'améliorer la productivité, de réduire les erreurs manuelles et le temps de déploiement, et de garantir la conformité aux politiques.

Gestion centrale

The Barracuda WAF Control Center is the centralized management system that allows administrators to manage multiple geo-dispersed Barracuda Web Application Firewalls with varying configurations from a single console. A single pane of glass can manage hybrid hardware, virtual, and cloud deployments, and enables efficient, secure management for system administrators.

Les rapports de certificats intégrés offrent une vue d'ensemble condensée de tous les certificats installés sur les différents dispositifs Barracuda WAF et permettent de suivre leur expiration en spécifiant des plages de dates personnalisées.

L'affichage des notifications centralisées vous fournit des informations précises consolidées pour vous informer de l'état de tous les services configurés. Les alertes des différentes instances WAF connectées sont regroupées et envoyées ensemble pour minimiser la surabondance d'informations.