Introduction
Les systèmes de pare-feu d'applications web (WAF) sont essentiels pour protéger les applications contre les attaques. Cependant, le mode de détection du WAF Azure peut être trompeur. Même si le tableau de bord de sécurité indique que le WAF est activé, les attaques peuvent toujours passer.
Contexte Technique
Le mode de détection du WAF Azure inspecte les requêtes et accumule un score d'anomalie en fonction des règles correspondantes. Cependant, contrairement au mode de prévention, le WAF ne bloque pas les requêtes même si le score d'anomalie est élevé. Au lieu de cela, il enregistre simplement un événement dans les journaux et transmet la requête à l'application sans la modifier.
Le mode de détection est activé par défaut pour les nouvelles stratégies WAF dans le portail Azure. Bien que Microsoft recommande de commencer par le mode de détection, d'observer le trafic réel, de régler les faux positifs, puis de passer au mode de prévention, de nombreux équipes oublient de basculer en mode de prévention une fois le processus de réglage terminé.
Analyse et Implications
Le mode de détection peut entraîner des problèmes de sécurité importants. Puisque les requêtes sont toujours transmises à l'application, les attaques peuvent réussir même si le WAF est activé. De plus, les équipes peuvent ignorer les alertes WAF, ce qui peut créer des problèmes de sécurité supplémentaires.
Les journaux du WAF peuvent également être trompeurs. Même si un événement est enregistré avec une action « Block », cela ne signifie pas que la requête a été bloquée. Il est essentiel de filtrer explicitement les journaux en fonction du mode de stratégie pour éviter les interprétations incorrectes.
Perspective
Il est crucial de comprendre les limites du mode de détection du WAF Azure et de prendre des mesures pour garantir que les stratégies WAF sont correctement configurées. Cela inclut la mise en œuvre d'un processus de réglage et de surveillance régulière pour garantir que les stratégies WAF sont efficaces et que les attaques sont bloquées. De plus, les équipes doivent être conscientes des pièges potentiels du mode de détection et prendre des mesures pour éviter les problèmes de sécurité.
