Combattre les menaces à la frontière.

Application Web et securité API

Avec la tendance croissante à migrer les applications web vers le cloud, rendant plus floue la frontière entre le réseau interne et le web public, les menaces de sécurité ont à leur tour commencé à se tourner vers ces cibles souvent vulnérables. Qu'il s'agisse de sécuriser une API back-end qui n'est pas destinée à être visible par des clients extérieurs, ou de lutter contre les attaques visant un site web PHP dynamique, la suite de produits HAProxy offre une multitude de fonctionnalités puissantes pour neutraliser les menaces.

Le pare-feu d'applications Web HAProxy constitue la ligne de défense ultime contre les attaques courantes, émergentes et de type Zero Day ciblant les applications Web et les API. Alimenté par notre moteur WAF intelligent et compatible en option avec l'ensemble de règles de base OWASP (CRS), HAProxy Enterprise WAF offre une précision équilibrée exceptionnelle et une latence ultra faible. Global Rate Limiting protège les API et les applications Web contre les abus sophistiqués grâce à un suivi en temps réel à l'échelle du cluster optimisé par notre moteur de profilage global. En implémentant également l'authentification de base ou mTLS au niveau de l'équilibreur de charge pour restreindre l'accès aux API, vous pouvez être sûr que seules les requêtes valides sont acheminées vers des serveurs backend sensibles. Vous pouvez personnaliser les contrôles de sécurité pour chaque application backend ou API pour un contrôle granulaire du trafic sans précédent.

Protection de données

Le chiffrement du trafic peut également être un outil puissant pour empêcher les intrus malveillants, et il est essentiel pour les clients qui traitent des données sensibles. Grâce au déchargement SSL/TLS intégré, qui ne nécessite pas de composant réseau supplémentaire, les données sont également sécurisées de bout en bout lorsqu'elles circulent entre les systèmes. Ceci est particulièrement important pour les clients du secteur financier, qui peuvent profiter de la prise en charge du protocole FIX par HAProxy Enterprise, et configurer des paramètres restreignant les versions de SSL et TLS que les clients peuvent utiliser. De même, il est possible de paramétrer une liste préférée de chiffrements cryptographiques afin d'empêcher les attaques par déclassement de protocole. Grâce à l'utilisation d'OpenSSL, la bibliothèque de cryptage open-source la plus importante du secteur, la sécurité de nos données a été testée et fait l'objet d'une confiance internationale.

Prévention anti-Bot et DDoS

Pour protéger votre système contre les menaces qui pèsent sur sa disponibilité par le biais d'attaques DDoS, HAProxy Technologies propose le module PacketShield, leader sur le marché. Spécifique à l'ALOHA de HAProxy, ce logiciel breveté est une défense puissante contre les attaques par submersion de paquets, une attaque courante de déni de service. Proposant un filtrage intégral des paquets et bloquant les paquets illégitimes avant qu'ils ne soient traités par le noyau, il permet aux services de rester opérationnels même en cas d'attaque.

HAProxy Enterprise propose une limitation globale du débit au niveau de la connexion ou de l'application, ce qui signifie que les clients peuvent mettre en œuvre des seuils et empêcher une utilisation déloyale. Le moteur de profilage global fournit un suivi à l'échelle du cluster pour regrouper les modèles de comportement des clients sur les clusters d'équilibrage de charge. De plus, le module de gestion des robots HAProxy Enterprise, les listes de contrôle d'accès flexibles et les empreintes digitales des clients garantissent que vos services sont protégés contre les scanners de vulnérabilité, les scrapers, les robots par force brute, etc., économisant ainsi vos ressources pour le trafic légitime.

Visibilité du système

Si le répartiteur de charge HAProxy Enterprise est le centre de sécurité qui orchestre toutes ces fonctionnalités, les fenêtres de son mirador doivent également offrir une visibilité impeccable sur toutes les allées et venues dans le système. Grâce à la journalisation détaillée non seulement du contenu et des métadonnées de chaque demande et réponse, mais aussi du temps nécessaire pour effectuer chaque phase du traitement, les clients sont en mesure de capturer des détails approfondis sur les activités suspectes. Et en mettant en œuvre ces journaux à l'aide du protocole Syslog largement répandu, les utilisateurs de HAProxy Enterprise peuvent les transmettre à presque tous les outils d'agrégation et d'analyse des journaux.

Les administrateurs de systèmes peuvent ensuite suivre les comportements en fonction de l'adresse IP, de la chaîne User-Agent, de l'ID de session et du chemin de la requête, ce qui permet une analyse et une évaluation minutieuse de leurs besoins en matière de sécurité. Les mesures générées comprennent également les demandes par seconde, le nombre total de demandes effectuées, les erreurs par seconde, le nombre total d'erreurs, les débits en octets etc.