Concepts de base, fonctionnalités et avantages du WAF (Web Application Firewall) eCDN

Avantages :

• Sécurité au niveau de l’application supplémentaire sur les sites vitrines
• Accès aux journaux WAF pendant sept jours, ensemble de règles OWASP configurable
• Fonctionnalité porteuse de valeur ajoutée gratuite pour les clients de l’eCDN
• Outil en libre-service facile d’utilisation dans Business Manager

Capacités :

• Dans le cadre de notre offre d’atténuation des attaques DDoS visant les eCDN, nous offrirons à nos clients une protection supplémentaire de la couche 7 via le Web Application Firewall (WAF) eCDN.
• Le Web Application Firewall (WAF) eCDN est conçu pour protéger le nom d’hôte personnalisé des vitrines présentes dans les environnements de production et de développement contre les vulnérabilités courantes relatives au code, telles que les attaques par injection SQL, les scripts intersites et les menaces identifiées par l’OWASP ciblant la couche d’application. 
• Il s’agit d’une fonctionnalité porteuse de valeur ajoutée incluse dans l’eCDN de Commerce Cloud sans frais supplémentaires.

Quelle est son utilité ?

• Le Web Application Firewall (WAF) eCDN examine toutes les interactions se déroulant sur le site d’un commerçant, qu’il s’agisse d’actions normales d’acheteurs, de visites de robots ou de requêtes malveillantes.
• Toutes les requêtes adressées à une vitrine sont effectuées via HTTP/S (site complet) et AJAX (petits extraits de données).
• Le WAF procède à une inspection approfondie de chaque requête pour y détecter toutes les formes courantes de trafic Web et filtre le trafic malveillant pour ne conserver que celui émanant d’acheteurs réels.
• Le WAF identifie, isole ou bloque le trafic malveillant anormal et empêche les menaces associées d’atteindre le serveur. 
• En outre, l’eCDN WAF inspecte également les adresses de sites Web ou les URL afin de détecter tout élément suspect.

Comment met-il cela en œuvre ?

• Si le site d’un commerçant fait l’objet d’une requête suspecte, le WAF eCDN évalue la requête et applique l’action choisie par le commerçant. 
• Si l’action choisie est « vérification », l’utilisateur suspect verra s’afficher une page CAPTCHA qu’il devra remplir pour pouvoir continuer à accéder à la page. 
• Si l’utilisateur ne parvient pas à remplir le CAPTCHA, le WAF bloquera tout trafic identifié comme malveillant avant que celui-ci n’atteigne l’origine Commerce Cloud. 
• Si le marchand choisit l’action « bloquer », l’utilisateur suspect sera tout simplement bloqué.

Quels sont les aspects non couverts par le WAF eCDN ?

• En cas de requête légitime (p. ex. un robot passant une commande correctement), le WAF n’appliquerait AUCUN filtrage/blocage
• Pour prévenir les attaques impliquant la réalisation de commandes frauduleuses, la meilleure option serait de mettre en place un CAPTCHA ou un limiteur de débit sur la page de soumission de commande ou sur la page où l’attaque de robots a été constatée

Voici des informations concernant le traitement du trafic indésirable issu notamment des robots, des solutions automatisées et des scripts

• Compte tenu des opportunités de marché considérables associées à la revente de produits uniquement disponibles lors d’événements fortement médiatisés, il n’est pas rare que des robots/scripts soient créés et proposés à la vente avant la tenue de tels événements.  Ce type de trafic émanant de robots peut interférer avec le trafic légitime associé aux acheteurs et avoir une incidence négative sur les performances de la vitrine.  Les approches ci-dessous peuvent limiter l’efficacité et l’impact de ces robots/scripts automatisés.
  1. CAPTCHA/reCAPTCHA
     • Comme indiqué plus haut, CAPTCHA est un système de réponse de vérification utilisé pour différencier les requêtes humaines de celles émanant de robots/scripts afin d’autoriser uniquement les acheteurs humains (n’étant pas des robots) à acheter le produit disponible lors de l’événement fortement médiatisé. En raison du mécanisme de réponse de vérification, l’exécution des scripts automatisés échoue.
     • Lorsque CAPTCHA est implémenté avant la réception des requêtes des robots, il réduit l’impact de celles-ci en les empêchant de solliciter la réalisation de certaines opérations parmi les plus gourmandes en ressources (ajout au panier, finalisation de commande)
  2. Restriction du trafic/Limitation/Filtrage
     • Permet de disposer de la capacité de limiter les requêtes adressées à la vitrine (et de restreindre le trafic associé), ainsi que de la possibilité d’ajuster la configuration en temps réel. 
     • Étant donné qu’un robot/script effectue souvent un grand nombre de requêtes en peu de temps (beaucoup plus que les acheteurs humains), la restriction du trafic ou la limitation des demandes entrantes, si elles sont correctement configurées, n’auront d’impact que sur les requêtes émanant de robots/scripts, et non sur celles provenant d’acheteurs humains.
     • De nombreux CDN ont la capacité de limiter les requêtes entrantes/restreindre le trafic leur étant associé en fonction d’un certain nombre de paramètres de configuration. Par ailleurs, un Web Application Firewall (WAF) peut effectuer une analyse en temps réel des requêtes entrantes en s’appuyant sur un ensemble de règles prédéfinies.
     • De plus, certains de nos clients obtiennent de bons résultats en utilisant l’outil de défense contre les robots  PerimeterX, qui aide à arrêter les comportements malveillants sur votre vitrine.