| La technologie
Les solutions en reverse proxy optimisé de Deny All (rWeb, rWeb-XML Edition, sProxy, rFTP) s’appuient sur la maîtrise du filtrage applicatif.
Elles mettent en jeu la gamme la plus complète de mécanismes de sécurité applicative avec une granularité très fine d’inspection des flux :
Le filtrage intégral des flux HTTP et HTTPS
- Sur protocoles, méthodes, entêtes, URI, arguments en query-string ou post, paramètres cachés, cookies, liens…,
- Parsing complet HTML,
- Filtrage des Webmail, et du contenu XML,
- Substitution/masquage à la volée d’URL et de contenu sortant (dans les entêtes, pages et pages d’erreurs).
Le modèle de sécurité positive de Deny All
Chaque application est unique et offre aux utilisateurs malveillants des possibilités de manipulations virtuellement illimitées. Ainsi le nombre potentiel de requêtes malveillantes surpasse largement le nombre de requêtes correspondant à une utilisation normale. Au lieu de chercher à détecter et bloquer toutes les attaques, démarche réactive et en pratique impossible, le modèle de sécurité positive limite les possibilités d’interaction aux échanges conformes.
Dès lors, il garantit :- La protection proactive des applications contre toutes les attaques,
- La protection contre les attaques dites inconnues ou encore appelées « zero day exploit » et contre les erreurs involontaires de manipulations,
- Un bond en termes de performances (nombre de requêtes/seconde traité).
Le modèle de sécurité positive de Deny All s’appuie sur deux mécanismes :La liste blanche automatique :- Valide l’intégrité des échanges entre le client et le serveur,
- Traque la conformité des cookies, liens, CGI, paramètres cachés échangés,
- Ne nécessite aucune phase d’apprentissage préalable.
La liste blanche proactive :- Décrit le cadre normal d’utilisation de chaque application,
- Ne nécessite pas de phase d’apprentissage
- entièrement automatisée (voir ci-dessous),
- Ne nécessite pas de mises à jour comme les systèmes à bases de signature.
Les mécanismes de sécurité additionnels :- La normalisation canonique d’url,
- La liste noire avec mise à jour automatisée,
- Le filtrage de contenu sortant spécifique pour la protection d’informations privées,
- Le filtrage paramétrable des métacodes et encodages,
- Le filtrage bidirectionnel dynamique.
L’automatisation de la sécurité positive :
Les règles de liste blanche proactive adaptées à chaque application sont générées automatiquement à l’aide de Scanweb, scanneur de sites et le « Rules Wizard » :
- Scanweb prototype l’ensemble des possibilités d’utilisation de l’application y compris les applications faisant appel au javascript,
- Rules wizard génère et valide les règles de filtrage adaptées en fonction du niveau de sécurité requis par l’administrateur,
- Rules wizard fournit une représentation synthétique de chaque application qui autorise si besoin un tuning simple et rapide.
Les évolutions des règles liées aux mises à jour des applications sont également traitées en appliquant le processus décrit ci-dessus sur la partie de l’application modifiée. |
 | |
|
|
|
|
| |
Deny All est adhérent à SAP Global Security Alliance, au CLUSIF, au Cercle de la Sécurité, à l'OSSIR et adhérent Associate à Liberty Alliance.
|
|
| |
))
))
