Les entreprises qui se connectent et mènent des affaires en ligne, essentiellement toutes les entreprises à ce stade, comprennent le besoin de sécurité Web. Un pare-feu d’application Web (WAF) basé sur un réseau de distribution de contenu (CDN) constitue le moyen le plus simple de configurer la protection de base des applications Web. C’est parfaitement logique, surtout pour les petites entreprises.
Les grandes entreprises et les entreprises sont moins disposées à partager le trafic de leurs clients avec un fournisseur tiers, même si le fournisseur est de confiance. Cependant, les dernières nouvelles sur la fiabilité des fournisseurs de WAF ont mis en garde les professionnels de la sécurité sur le fait de dépendre ou non de solutions WAF entièrement basées sur le cloud.
Lien le plus fiable
L’activité frontale, l’interface CDN / WAF, qui constitue un point d’accès unique pour toutes les données entrantes non chiffrées, est entièrement centralisée. La sécurité de ce serveur centralisé est le lien le plus faible de l’application Web et de la sécurité des API de tous ses clients. Lorsque l’entrée principale est redirigée vers le fournisseur, cela devient une porte d’entrée pour les pirates.
Ci-dessous une vidéo parlant de ces différences :
Les services de sécurité basés sur le cloud, censés protéger les sites Web contre les vulnérabilités en filtrant le trafic entrant, sont eux-mêmes vulnérables aux vulnérabilités côté client, telles que la falsification de requêtes intersites (CSRF) ou les attaques de script intersites (XSS). Ils sont également exposés aux attaques de prise de contrôle (piratage des informations d’identification) et aux vulnérabilités apparaissant au cours d’une transaction en ligne.
Meilleure sécurité Web
Contrairement au WAF basé sur le CDN, le déploiement en cloud natif en tant que proxy inverse (Docker, Kubernetes ou uniquement à partir de packages Linux) préserve la confidentialité des données et conserve les données sensibles dans l’infrastructure du client. Avec les solutions hybrides, le traitement initial et la détection sont effectués par des nœuds de filtrage fonctionnant dans le cadre d’une infrastructure d’équilibrage de la charge locale.
Ni les certificats SSL ni les clés API ne doivent être partagés en dehors de l’organisation cliente. L’exposition aux données et les vecteurs de menace sont limités, ce qui réduit le périmètre de conformité et le risque potentiel d’exposition aux données.