Aborder le Top 10 des risques de l'OWASP
Présentation
Le Top 10 de l'OWASP est un document de sensibilisation standard destiné aux développeurs et à la sécurité des applications Web. Il représente un large consensus sur les risques de sécurité les plus critiques pour les applications Web. Le Top 10 des risques de l'OWASP peut être traité à l'aide des outils et des conseils fournis par AWS. Par exemple, le pilier sécurité du Well Architected Framework aide les entreprises à créer des conceptions sécurisées. AWS WAF est un outil important, utilisé comme première couche de défense contre certains des risques répertoriés dans le Top 10 de l'OWASP.
Modélisation des menaces et tests d'intrusion
La première étape pour faire face au Top 10 des risques de l'OWASP consiste à modéliser les menaces auxquelles votre application est confrontée. Par exemple, vous devez identifier les menaces qui concernent votre application. Les menaces SQLi concernent principalement les applications dotées d'une base de données SQL. Ensuite, pour chaque menace, réfléchissez à la manière dont vous allez les atténuer (par exemple en utilisant quel outil, à quel niveau, etc.). Le Top 10 de l'OWASP inclut les menaces qui peuvent être traitées dans votre application, telles que la configuration CORS et d'autres en-têtes de sécurité, la gestion de l'authentification et des autorisations, l'intégrité des données dans les pipelines CI/CD, etc. Il inclut également les menaces qui peuvent être traitées à l'aide d'AWS WAF.
En effectuant régulièrement des tests d'intrusion sur votre application, vous pouvez évaluer votre niveau de sécurité et découvrir de nouvelles possibilités d'amélioration. Vous pouvez utiliser des tests automatisés ou travailler avec des partenaires AWS qui peuvent effectuer des tests sur votre application. Vous pouvez trouver ces outils et services sur l'AWS Marketplace.
AWS WAF
AWS WAF peut vous aider à faire face à certains des risques identifiés lors de votre exercice de modélisation des menaces. Par exemple, dans Broken Access Control, il est recommandé de refuser les demandes par défaut, sauf pour les ressources publiques. Cela peut être implémenté dans AWS WAF, en définissant l'action par défaut sur Bloquer, et en autorisant explicitement les URL qui correspondent à vos ressources publiques.
Outre les règles personnalisées que vous configurez dans AWS WAF, il est recommandé d'utiliser Amazon Managed Rules (AMR). (AMRs) est un ensemble de règles inspiré du Top 10 de l'OWASP et maintenu par l'équipe de recherche sur les menaces d'AWS. Il est conçu pour protéger les applications contre les menaces les plus courantes et les plus graves tout en maintenant un très faible taux de faux positifs chez tous les clients. L'équipe AWS Threat Research teste régulièrement les règles AMR afin de garantir leur efficacité et leur mise à jour, et collabore directement avec les clients pour améliorer les AMR. AMR possède des groupes de règles de baseet des groupes de règles spécifiques aux cas d'utilisation (par exemple pour SQL, Linux, etc.). Les AMR vous aident à améliorer votre couverture contre le Top 10 des risques de l'OWASP, mais ne remplacent pas l'exercice de modélisation des menaces.
Vous pouvez également envisager des règles gérées qui sont également inspirées du Top 10 de l'OWASP publié sur AWS Marketplace. Il comprend l'ensemble OWASP HighSecurity de CSC, les règles d'OWASP relatives aux exploits Web de F5 et le groupe de règle du Top 10 complet d'OWASP de Fortinet.