CDN vs WAF : comment combiner les deux technologies pour protéger votre entreprise de e-commerce
Un WAF (Web Application Firewall) et un CDN (Content Delivery Network) sont deux technologies distinctes utilisées dans le domaine de la sécurité et de la performance pour les applications Web, bien qu’ils aient des fonctionnalités et des objectifs différents. Dans cet article, nous allons vous expliquer pourquoi il est important de disposer de ces deux solutions.
Différences entre un WAF et un CDN en matière de sécurité :
Protection des applications web et rôle des CDN
Un WAF est spécifiquement conçu pour protéger les applications Web contre les menaces connues telles que le top 10 OWASP par exemple avec notamment les injections SQL, les attaques XSS (Cross-Site Scripting), les attaques CSRF (Cross-Site Request Forgery) ou les CVEs (Common Vulnerabilities and Exposures) qui sont des failles connues et les attaques dites Zero Day qui comme le nom l’indique viennent d’apparaître et donc n’ont pas de signatures connues pour les corriger. Ces attaques ciblent les sites/applications Web et API .
En revanche, un CDN est principalement destiné à accélérer les temps de réponse des sites et la distribution de contenu sur le réseau de façon internationale pour améliorer la performance et la disponibilité des sites Web, et n’est pas conçu pour la sécurité des applications Web.
Analyse du trafic Web :
Un WAF analyse le trafic Web chiffré (fonction reverse proxy) soit 80% du trafic et le trafic non chiffré entre les clients et le serveur pour identifier les attaques potentielles et bloquer les tentatives d’attaques. Il peut utiliser des règles de filtrage basées sur des signatures, des comportements anormaux ou des algorithmes d’apprentissage automatique ou de l’intelligence artificielle pour détecter les menaces.
En revanche, un CDN analyse généralement le trafic Web pour optimiser la distribution du contenu, mais ne se concentre pas principalement sur la détection d’attaques ou la protection des applications Web.
Filtrage et blocage des attaques :
Un WAF est capable de filtrer et de bloquer activement les attaques en utilisant des règles de sécurité configurables, des listes de blocage d’adresses IP, et d’autres mécanismes de sécurité. Il protège les applications Web contre les attaques connues et inconnues. Un WAF a aussi en mode Saas des fonctions de protection contre le déni de service ( DOS ou DDOS).
En revanche, un CDN n’est pas principalement conçu pour filtrer ou bloquer les attaques, bien qu’il puisse offrir des fonctionnalités de protection contre les attaques par déni de service (DDoS) en acheminant le trafic vers des serveurs distribués.
Emplacement de déploiement :
Traditionnellement un WAF est déployé dans le réseau du propriétaire de l’application Web, ou en mode Saas en interception du trafic ce qui lui permet de contrôler le trafic entrant et sortant de l’application.
En revanche, un CDN est généralement déployé sur des serveurs distribués situés dans divers emplacements géographiques pour optimiser la distribution de contenu, ce qui signifie qu’il est généralement positionné plus en amont du serveur d’origine et a une visibilité limitée sur le trafic entre le client et le serveur d’origine.
En résumé, les deux technologies sont complémentaires. Elles offrent des fonctionnalités distinctes.
Un WAF est spécifiquement conçu pour protéger les applications Web contre les attaques, tandis qu’un CDN est principalement destiné à optimiser la distribution de contenu ou accélérer les sites web pour améliorer la performance et la disponibilité des sites Web. Il est souvent recommandé d’utiliser ces deux technologies en conjonction pour une sécurité et une performance optimales des sites.
Pourquoi utiliser un WAF si j’ai déjà un CDN ?
Voici quelques raisons pour lesquelles il est recommandé la mise en place d’un WAF même si vous avez déjà un CDN :
La solution pour disposer d’une protection avancée contre les attaques :
Les WAF apportent de la sécurité applicative avec une personnalisation des règles de sécurité si besoin est en fonction des spécificités des application Web. Ils peuvent créer des règles pour bloquer les attaques spécifiques, les sources d’attaque ou les comportements suspects. Les CDN offrent des fonctionnalités de sécurité de base telles que le blocage des adresses IP malveillantes, et l’anti DDOS réseau uniquement.
Vous assurez une visibilité complète du trafic Web de votre site :
Les WAF sont déployés sur le serveur ou dans le réseau du propriétaire de l’application Web ou en interception de trafic en mode saas ce qui leur permet d’inspecter de près le trafic entrant et sortant de l’application. Ils ont donc une visibilité complète sur le trafic Web et peuvent détecter les attaques en temps réel. En revanche, les CDN sont déployés sur des serveurs distribués situés dans divers emplacements géographiques pour optimiser la distribution de contenu, ce qui signifie qu’ils ont une visibilité limitée sur le trafic entre le client et le serveur d’origine.
Vous êtes protégé contre les nouvelles menaces :
Les WAF sont continuellement mis à jour pour protéger contre les nouvelles menaces et les vulnérabilités de sécurité découvertes. Ils peuvent être configurés pour recevoir des mises à jour de sécurité automatiques et fournir une protection contre les menaces de sécurité connues et inconnues. Les CDN ne peuvent pas offrir la même protection contre les nouvelles menaces de sécurité, car ils ne sont pas conçus spécifiquement pour la sécurité des applications Web. La mise en place d’un WAF assure la protection optimale de votre réseau et de vos applications, c’est la vocation de son utilisation.
Je suis CDO d’un site de e-commerce pourquoi je dois utiliser un WAF même si j’ai déjà un CDN ?
En tant que CDO (Chief Digital Officer) d’une entreprise de e-commerce, vous cherchez à faciliter le parcours de l’utilisateur afin de maximiser les ventes ou l’usage du service.
Cela signifie:
- avoir un bon référencement sur Google ou d’autres moteurs de recherche
- avoir des temps de réponse rapides lorsque que votre site web est sollicité pour faciliter l’expérience utilisateur .
- avoir un bon niveau de sécurité tout en ne dégradant pas les deux premiers points
Dans ces 3 domaines plusieurs aspects interviennent pour améliorer le référencement sur les moteurs de recherche :
- Le temps de chargement des pages du site Web doit être faible.C’est le rôle des CDN principalement en améliorant les temps de réponses. Mais aussi si le site est sécurisé le WAF par son analyse ne doit pas pénaliser les temps de réponse. Ainsi un site Web très efficient est à 25 millisecondes (ms) de temps de réponse là où un site web lent est à 1 voir 2 secondes par page. Dans ces conditions le WAF doit se limiter à un temps d’analyse faible pour la sécurité (environ 10 ms).
- Le niveau de sécurité : un site avec beaucoup de failles fait décroître le référencement du site voir provoque sa disparition des pages de résultats des moteurs de recherche. Ici c’est le rôle des WAF que d’assurer la protection de celui-ci tel qu’on nous l’avons vu plus haut.
- La conception des sites web avec notamment la taille en terme de contenu des pages web, l’usage des balises, des mots clés, des liens vers des sites ayant la même thématique que le site considéré les techniques de SEO (Search Engine optimisation), de SEA (Search Engine advertisement ) etc… Toutes ces techniques vous sont déjà connues, on ne va donc pas les détailler.
Les CDN et les WAF sont donc deux technologies importantes qui peuvent aider à protéger votre entreprise contre les attaques et à garantir une expérience utilisateur sécurisée pour vos clients.
Un CDN améliore la performance de votre site Web en stockant des contenus non dynamiques et si nécessaire en distribuant le contenu à partir de serveurs situés dans des emplacements géographiques différents.
Un WAF offre une protection avancée contre les attaques ciblant les applications Web telles que les injections SQL, les attaques XSS et les attaques CSRF. Il utilise des règles de filtrage basées sur des signatures, des comportements anormaux, des algorithmes d’apprentissage automatique ou de l’intelligence artificielle pour détecter les menaces et bloquer les tentatives d’attaques.
Il est important de noter que les WAF sont personnalisables et peuvent être configurés pour répondre aux besoins spécifiques de votre entreprise de e-commerce. Par ailleurs, il faut veiller à choisir un WAF qui ne nécessite pas d’administration et qui génère très peu de faux positifs (personnes indûment considérées comme attaquantes). De plus, les WAF sont continuellement mis à jour pour protéger contre les nouvelles menaces et les vulnérabilités de sécurité découvertes. À ce titre OGO security avec l’utilisation de l’IA permet d’avoir un niveau de paramétrage et de protection unique sur le marché.
Enfin, à partir d’octobre 2023 sera mis en place progressivement le Cyberscore qui à l’instar du Nutriscore note un site de A à F pour indiquer son niveau de sécurité. Cette loi poussera à augmenter drastiquement le niveau de sécurité pour obtenir un score A ou B. Ce Cyberscore sera aussi un argument différenciant pour vous vis à vis de vos concurrents, si vous adhérez volontairement au dispositif. En effet pour faire un parallèle, entre un produit avec Nutriscore A , un produit avec un Nutriscore E et un produit sans Nutriscore, lequel choississez-vous ?
En synthèse, en tant que CDO d’une entreprise de e-commerce, vous devriez considérer l’utilisation d’une combinaison de CDN et de WAF pour protéger votre site Web contre les attaques ciblant les applications Web, comme essentielle pour améliorer la performance de votre site Web et offrir une expérience sécurisée pour vos clients et utilisateurs.
Si vous avez besoin de plus d’informations sur le sujet prenez rendez-vous avec un de nos experts !
