FAQ sur Web Application Firewall
Questions générales
Qu’est-ce que le service Oracle Cloud Infrastructure Web Application Firewall (WAF) ?
Oracle Cloud Infrastructure Web Application Firewall (WAF) est un service de sécurité mondial basé sur le cloud, conforme à la norme PCI, qui protège les applications contre le trafic Internet malveillant et indésirable. Oracle Cloud Infrastructure WAF peut protéger n’importe quel point de terminaison accessible sur Internet, en assurant une application cohérente des règles sur l’ensemble des applications d’un client.
Le service Oracle Cloud Infrastructure WAF permet aux clients de créer et de gérer des règles pour éviter les menaces Internet, notamment le scripting cross-site (XSS), l’injection SQL et d’autres vulnérabilités définies par l’OWASP. Il est possible d’atténuer les effets des robots indésirables tout en laissant entrer les robots désirables. Les règles peuvent également être utilisées pour limiter l’accès en fonction de la géographie ou de la signature des demandes entrantes.
Le Security Operations Center (SOC) mondial d’Oracle, ouvert 24 h/24, surveillera en permanence les menaces présentes sur Internet et agira comme une extension de votre équipe de sécurité informatique.
Quel est le cas d’utilisation du service Oracle Cloud Infrastructure WAF ?
Le service Oracle Cloud Infrastructure WAF doit être envisagé pour toute application web orientée vers l’Internet ou l’API basée sur HTTP.
Quel est le modèle de responsabilité partagée du service Oracle Cloud Infrastructure WAF ?
| Responsabilité | Oracle | Client |
|---|---|---|
| Intégrer/configurer la stratégie WAF pour l’application web | Non | Oui |
| Configurer les dépendances d’intégration du WAF (DNS, règles d’entrée, réseau) | Non | Oui |
| Fournir une haute disponibilité (HA) pour le WAF | Oui | Non |
| Surveiller les attaques par déni de service (DDoS) | Oui | Non |
| Maintenir l’infrastructure du WAF à jour | Oui | Non |
| Surveiller les journaux de bord pour détecter tout comportement anormal ou indésirable | Oui | Oui |
| Construire de nouvelles règles basées sur les nouvelles vulnérabilités et atténuations | Oui | Non |
| Examiner et accepter les nouvelles règles recommandées | Non | Oui |
| Adapter les règles d’accès du WAF et les stratégies de gestion des robots à votre trafic | Non | Oui |
Quels sont les avantages du service Oracle Cloud Infrastructure WAF ?
Oracle Cloud Infrastructure WAF filtre les requêtes malveillantes vers votre application web ou votre API. Cela vous donne également plus de visibilité sur la provenance du trafic et les attaques DDoS de couche 7 sont atténuées, ce qui garantit une plus grande disponibilité.
La solution de gestion des robots utilise des techniques de détection telles que la limitation du taux d’IP, CAPTCHA, l’empreinte digitale du terminal et les défis de l’interaction humaine pour identifier et bloquer les activités de robots malveillants et/ou suspects afin d’éviter que votre site web ne soit rayé de la liste des données concurrentielles. En même temps, le WAF peut permettre au trafic légitime des robots de Google, Facebook et autres de continuer à accéder à vos applications web comme prévu.
Oracle Cloud Infrastructure WAF utilise un algorithme DNS intelligent piloté par les données qui détermine le meilleur point de présence (POP) global pour servir un utilisateur donné en temps réel. En conséquence, les utilisateurs sont dirigés vers des problèmes de réseau mondial et de latence potentielle tout en offrant le meilleur temps de fonctionnement et les meilleurs niveaux de service possibles.
Quelles sont les capacités et les principales caractéristiques du service Oracle Cloud Infrastructure WAF ?
- Déploiement d'architecture et verrouillage d'origine : restreignez le trafic aux ports 80 et 443, de sorte que toutes les autres connexions soient supprimées.
- Routage dynamique du trafic via DNS : tirez parti des algorithmes de routage de trafic DNS, qui tiennent compte de la latence des utilisateur à partir de milliers d'emplacements dans le monde pour déterminer les itinéraires à plus faible latence.
- Haute disponibilité : lors de la configuration de la fourniture d'applications Web, Oracle Cloud Infrastructure WAF offre plusieurs options de configuration à haute disponibilité avec la possibilité d'ajouter plusieurs serveurs d'origine. Ces paramètres et/ou serveurs ne seront utilisés que dans les cas où les serveurs d’origine primaire sont hors ligne ou ne répondent pas correctement aux contrôles de santé.
- Gestion de stratégies : configurez et gérez les caractéristiques et les fonctionnalités au sein de la configuration Oracle Cloud Infrastructure WAF.
- Surveillance et génération de rapports : cette fonctionnalité permet aux utilisateurs d'accéder aux rapports liés à leur bibliothèque de contenu.
- Support : alertez les équipes de support d'un problème et escaladez un ticket en fonction de l'urgence (c'est-à-dire sev1, 2 ou 3).
Comment puis-je commencer à utiliser le service Oracle Cloud Infrastructure WAF ?
Oracle Cloud Infrastructure WAF utilise le modèle de crédits universels et fonctionne selon les indicateurs clés suivants :
- Nombre de demandes (prix plus élevé avec la gestion des bots activée)
- Quantité de données/trafic sortant du WAF
- Nombre de points de terminaison non-Oracle Cloud Infrastructure (mensuel)
Puis-je m’abonner au service Oracle Cloud Infrastructure WAF sans utiliser d’autres services ?
Oui, Oracle Cloud Infrastructure WAF est disponible pour les abonnés au modèle de crédits universels. Les clients peuvent choisir de n’utiliser que le service Oracle Cloud Infrastructure WAF pour protéger les workloads non-OCI. Il existe une petite dépendance à l’égard du stockage d’objets pour exploiter la console Oracle Cloud Infrastructure qui apparaîtra sur votre facture.
Toutes les capacités du service Oracle Cloud Infrastructure WAF sont-elles disponibles dans l’API ?
Oui, Oracle Cloud Infrastructure WAF a été conçu en premier lieu pour l’API, de sorte que tout ce que vous pouvez faire dans la console est disponible dans l’API.
Toutes les commandes du service Oracle Cloud Infrastructure WAF sont-elles disponibles via la console ?
Pas à partir de mars 2021. Certaines fonctions de gestion ne peuvent être exécutées que via l’API. Voici quelques-unes de ces fonctions réservées à l’API :
- Renseignement sur les menaces
- Limitation du débit IP
- Tri des règles d’accès
- Gestion des certificats (au-delà du téléchargement d’un seul certificat/clé)
- Reporting et télémétrie (en supposant que la télémétrie publique d’Oracle Cloud Infrastructure n’est pas disponible pour vous)
Nous continuerons à ajouter ces éléments à la console et à publier des exemples d’API, de SDK et de Terraform pour gérer ces fonctionnalités.
Comment importer des logs Oracle Cloud Infrastructure WAF dans mon SIEM ?
L’approche recommandée consiste à utiliser l’API pour que SIEM consomme les journaux WAF. Nous ne fournissons pas aujourd’hui de plug-ins préconstruits pour les fournisseurs de SIEM.
À partir de quelles régions Oracle Cloud Infrastructure puis-je configurer le WAF ?
Oracle Cloud Infrastructure WAF est un service mondial qui peut être configuré à partir de n’importe quelle région commerciale. Il n’est cependant pas limité à cette région pour les données. Toute configuration Oracle Cloud Infrastructure WAF est ajoutée à la « périphérie » mondiale.
Où sont les points de présence mondiaux pour Oracle Cloud Infrastructure WAF ?
Oracle compte actuellement un total de 11 nœuds de périphérie dont l’empreinte mondiale est la suivante* :
- Brésil
- Inde
- Sydney
- Francfort
- Suisse
- Londres
- Phénix
- Ashburn
- Toronto
- Tokyo
- Séoul
*Notez que certains emplacements ont plus d’un PoP.
Questions techniques
Oracle Cloud Infrastructure fournit-il une protection contre les attaques par déni de service (DDoS) de couche 7 (L7) ?
Oui, Oracle Cloud Infrastructure offre une protection DDoS illimitée pour les applications et services web.
Où intervient la protection DDoS L7 ?
La protection contre les DDoS est assurée par le réseau de périphérie Oracle Cloud Infrastructure, qui comprend des points de présence (PoP) de grande capacité répartis dans le monde entier et qui prennent en charge un large éventail d’applications de périphérie. Les PoPs Oracle Edge sont situés dans les régions Oracle Cloud Infrastructure et sur des sites autonomes dans le monde entier. Plus précisément, les attaques DDoS L7 sont gérées par le pare-feu des applications web Oracle (WAF), qui comprend un ensemble complet de fonctions de contrôle d’accès et de gestion des robots conçues pour vaincre les menaces DDoS L7. Oracle WAF est conçu pour protéger contre la grande majorité des attaques DDoS à chaque PoP. Dans le cas d’une attaque DDoS L7 à très haut volume, Oracle utilise des centres d’épuration DDoS, qui sont répartis dans le monde entier pour garantir des temps de réponse rapides.
Comment l’atténuation DDoS L7 Oracle Cloud Infrastructure est-elle prévue ?
Le service est disponible à partir de la console Oracle Cloud Infrastructure. Le client sélectionne la protection DDoS L7 à partir de la console dans le cadre du menu de gestion des bots du WAF. Les clients peuvent sélectionner l’une des deux options :
1. A la demande : L7 DDoS La protection est activée à la discrétion du client.
2. Activation permanente : la protection L7 DDoS est toujours activée et automatique.
Qu’est-ce qui est inclus avec l’atténuation DDoS L7 ?
L’atténuation DDoS L7 fait partie du service Oracle Cloud Infrastructure WAF et est activé lorsque les utilisateurs sélectionnent une série d’options de stratégie conçues pour vaincre les attaques DDoS L7 sophistiquées. Les options de stratégie incluent, sans s’y limiter, les défis JavaScript, la limitation du débit IP, les empreintes digitales des terminaux et les défis d’interaction humaine. Ces contre-mesures sont entièrement automatisées lorsque l’option « toujours actif » est sélectionnée. Les utilisateurs peuvent également sélectionner l’option « à la demande » pour activer manuellement la protection DDoS L7 à leur discrétion.
Que facture Oracle pour l’atténuation DDoS L7 ?
L’atténuation DDoS L7 fait partie du service Oracle Cloud Infrastructure WAF. Il s’agit d’un abonnement avec compteur basé sur le trafic et le volume des demandes. Pour plus d'informations, reportez-vous à la page de tarification d'Oracle.
Comment fonctionne l’atténuation DDoS L7 du service Oracle Cloud Infrastructure ?
Le trafic est automatiquement acheminé vers le réseau de périphérie Oracle Cloud Infrastructure via une architecture de proxy inverse. Le réseau de périphérie comprend des PoP répartis dans le monde entier qui inspectent tout le trafic HTTP et HTTPS avant qu’il n’arrive sur l’application web. Les PoP utilisent les contre-mesures DDoS activées pour éliminer automatiquement le trafic qui est identifié comme provenant de botnets malveillants.
Quel reporting est fourni ?
Le portail Oracle Cloud Infrastructure contient des consoles avec un reporting en temps quasi réel sur les alertes, les demandes bloquées, les atténuations de bot et les journaux.
Comment puis-je verrouiller mon origine pour n’accepter que les connexions provenant des nœuds périphériques WAF d’Oracle Cloud Infrastructure ?
Configurez vos règles entrantes d'origine pour accepter uniquement les connexions de certaines plages CIDR. Reportez-vous à la section Sécurisez votre WAF dans le guide d'introduction pour obtenir la liste mise à jour.
Un client peut-il marquer ses pages CAPTCHA ?
Non, nous ne prenons pas en charge cette fonctionnalité pour le moment.
Quel ensemble de règles de base (CRS) de l’OWASP prend en charge le service Oracle Cloud Infrastructure WAF ?
Oracle Cloud Infrastructure WAF prend en charge CRS 3.0.
Existe-t-il un moyen d’activer toutes les règles, dans tous les ensembles, en même temps ?
Nous vous suggérons d'utiliser l'API, l'interface de ligne de commande, le kit SDK ou Terraform pour le script, mais il n'est pas recommandé d'activer tous les éléments en même temps.
Comment obtenir plus d'informations sur les services WAF ?
Pour plus d'informations, reportez-vous à la page principale Pare-feu d'applications Web.
Oracle Cloud Infrastructure WAF for Fusion Applications
Comment fonctionne Oracle Cloud Infrastructure WAF for Fusion Applications ?
WAF for Oracle Fusion Cloud Applications Suite améliore la sécurité de nos clients en donnant à l'équipe Oracle SaaS Cloud Security une visibilité supplémentaire sur les attaques au niveau des applications avec les données de ses applications. WAF for Fusion Applications est entièrement transparent pour les clients et géré de bout en bout par les experts d'Oracle. Grâce à cette offre prête à l'emploi, les clients bénéficient d'un centre d'opérations de sécurité 24 h/24 responsable de la mise à jour, de la surveillance, de la gestion, de la réponse et de la protection de nos applications Fusion, sans impact sur la résilience ou la disponibilité des applications.
Combien coûte Oracle Cloud Infrastructure WAF for Fusion Applications ?
Tous les clients Fusion hébergés sur Oracle Cloud Infrastructure bénéficient gratuitement de WAF for Fusion Applications.
Cela aura-t-il une incidence sur les performances de mes applications Fusion ?
WAF for Fusion Applications est déployé avec notre équilibreur de charge. Il supporte des centaines de règles qui peuvent inspecter n'importe quelle partie de la requête Web vers Fusion Applications et les API avec un impact minimal sur la latence du trafic entrant.
Quelle est la différence entre Oracle Cloud Infrastructure WAF et WAF for Fusion Applications ?
WAF for Fusion Applications est une version d'Oracle Cloud Infrastructure WAF qui a été affinée pour les produits SaaS. Il protège les applications SaaS des attaques ciblées en filtrant le trafic avec des règles prêtes à l'emploi. Nos équipes de sécurité SaaS les ont conçues pour assurer une protection permanente des applications.