Web Application Firewall (WAF)
Optimisé par Fastly, le service de pare-feu d’application web (WAF) pour Adobe Commerce sur l’infrastructure cloud détecte, consigne et bloque le trafic de requêtes malveillantes avant qu’il puisse endommager vos sites ou votre réseau. Le service WAF est disponible uniquement dans les environnements de production.
Le service WAF offre les avantages suivants :
-
Conformité PCI : l’activation de WAF garantit que les vitrines Adobe Commerce dans les environnements de production répondent aux exigences de sécurité PCI DSS 6.6.
-
Stratégie WAF par défaut : la stratégie WAF par défaut, configurée et gérée rapidement, fournit un ensemble de règles de sécurité personnalisées pour protéger vos applications web Adobe Commerce contre un large éventail d’attaques, y compris les attaques par injection, les entrées malveillantes, les scripts intersites, l’exfiltration de données, les violations de protocole HTTP et d’autres menaces de sécurité OWASP Top Ten.
-
Intégration et activation de la méthode WAF : Adobe se déploie et active la stratégie WAF par défaut dans votre environnement de production dans les 2 à 3 semaines suivant la mise en service finale.
-
Support opérationnel et de maintenance—
- Adobe et configurez et gérez rapidement vos journaux et alertes pour le service WAF.
- Adobe trie les tickets d’assistance clientèle en rapport avec les problèmes de service WAF qui bloquent le trafic légitime en tant que problèmes de priorité 1.
- Les mises à niveau automatisées de la version du service WAF assurent une couverture immédiate pour les nouveaux projets ou les projets en cours d’évolution. Voir Maintenance et mises à niveau de WAF.
Activation de la fonction WAF
Adobe active le service WAF sur les nouveaux comptes dans les 2 à 3 semaines suivant la fin de l’approvisionnement. Le WAF est mis en oeuvre par le biais du service de CDN Fastly. Vous n’avez pas besoin d’installer ni de gérer du matériel ou des logiciels.
Fonctionnement
Le service WAF s’intègre à Fastly et utilise la logique de cache du service Fastly CDN pour filtrer le trafic sur les noeuds globaux Fastly. Nous activons le service WAF dans votre environnement de production avec une stratégie WAF par défaut basée sur les règles de sécurité ModSecurity de Trustwave SpiderLabs et les dix principales menaces de sécurité OWASP.
Le service WAF filtre le trafic HTTP et HTTPS (demandes de GET et de POST) par rapport à l’ensemble de règles WAF et bloque le trafic malveillant ou non conforme à des règles spécifiques. Le service filtre uniquement le trafic lié à l’origine qui tente d’actualiser le cache. Par conséquent, nous arrêtons la plupart du trafic d’attaques au niveau du cache Fastly, ce qui protège votre trafic d’origine des attaques malveillantes. En traitant uniquement le trafic d’origine, le service WAF conserve les performances du cache, en introduisant uniquement une estimation de 1,5 millisecondes à 20 millisecondes de latence pour chaque requête non mise en cache.
Dépannage des requêtes bloquées
Lorsque le service WAF est activé, il filtre tout le trafic web et administrateur par rapport aux règles WAF et bloque toute requête web qui déclenche une règle. Lorsqu’une demande est bloquée, le demandeur voit une page d’erreur 403 Forbidden
par défaut qui inclut un ID de référence pour l’événement de blocage.
Vous pouvez personnaliser cette page de réponse aux erreurs à partir de l’administrateur. Voir Personnaliser la page de réponse WAF.
Si votre page d’administration Adobe Commerce ou storefront renvoie une page d’erreur 403 Forbidden
en réponse à une demande d’URL légitime, envoyez un ticket d’assistance Adobe Commerce. Copiez l’ID de référence de la page de réponse d’erreur et collez-le dans la description du ticket.
Maintenance et mises à jour du WAF
Instaurer et mettre à jour rapidement l’ensemble de règles WAF à partir de mises à jour de règles de tiers commerciaux, de recherches rapides et de sources ouvertes. Met rapidement à jour les règles publiées dans une stratégie selon les besoins ou lorsque des modifications apportées aux règles sont disponibles à partir de leurs sources respectives. En outre, Fastly peut ajouter des règles qui correspondent aux classes de règles publiées dans l’instance WAF de n’importe quel service une fois le service WAF activé. Ces mises à jour assurent une couverture immédiate des exploits nouveaux ou en évolution.
Adobe et gestion rapide du processus de mise à jour pour vous assurer que les règles WAF nouvelles ou modifiées fonctionnent efficacement dans votre environnement de production avant le déploiement des mises à jour en mode de blocage.
Limites
Le service WAF standard, optimisé à la vitesse, ne prend pas en charge les fonctionnalités suivantes :
- Protection contre les logiciels malveillants ou la limitation des robots : envisagez d’utiliser listes de contrôle d’accès ou un service tiers.
- Limitation de débit : voir Limitation de débit dans la documentation Fastly ou Limitation de débit dans la section de sécurité Commerce Web API.
- Configuration d’un point de terminaison de journalisation pour customer. Voir Service PrivateLink comme alternative.
Bien que le service WAF ne vous permette pas de bloquer ou d’autoriser le trafic basé sur les adresses IP, vous pouvez ajouter des listes de contrôle d’accès (ACL) et des fragments de code VCL personnalisés à votre service Fastly afin de spécifier les adresses IP et la logique VCL pour bloquer ou autoriser le trafic. Voir Fragments de code VCL personnalisés Fastly.
Le filtrage des requêtes TCP, UDP ou ICMP n’est pas pris en charge par le service WAF. Toutefois, cette fonctionnalité est fournie par la protection intégrée de DDoS incluse avec le service de CDN Fastly. Voir Protection DDoS.