Actu
rXML, firewall XML, dédié aux Web Services
octobre 2011 par Marc Jacob
Deny All sécurise et accélère les Web Services depuis de nombreuses années, avec l’extension XML de son produit phare, rWeb. Pour ajuster son offre aux besoins du marché, Deny All propose désormais, avec rXML, une offre 100% dédiée aux Web Services. Ce produit s’appuie sur la même plateforme que les deux autres Web Application Firewall (WAF), rWeb et sProxy. Il bénéfice des nombreuses fonctionnalités de cette plateforme, notamment dans le domaine de l’accélération, de la sécurité Web (black list, scoring list), de la haute disponibilité et des capacités de gestion centralisée.
Il intègre par ailleurs des caractéristiques spécifiques, indispensables pour protéger efficacement les applications SOA :
· Validation du modèle des données : les données transmises par les Web Services sont vérifiées et mises en conformité avec les modèles XML (WSDL, XSD et DTD). En outre, des règles additionnelles peuvent être spécifiées ;
· Validation et transformation XML : pour éviter la fuite de données, les requêtes sont canonisées, les messages d’erreurs effacés, les données sensibles remplacées et la complexité vérifiée (notamment la taille maximale d’un document ou la profondeur maximale de l’arbre) ;
· Black list : des signatures spécifiques aux attaques XML (injections xPath, DoS, etc) combinées aux filtres http génériques assurent un excellent niveau de sécurité face aux attaques ciblant les Web Services ;
· Stateful : le suivi des éléments XML permet d’éviter l’altération des données, que ce soit involontairement par un utilisateur, ou lors de leur transmission, du fait d’un attaquant ;
· Attachements SOAP : ils peuvent être autorisés ou pas, une taille maximale peut être fixée, les pièces jointes textes sont analysées par la Black List XML et le filtre http générique, ainsi que par un anti-virus via le protocole ICAP ;
Listes de contrôle d’accès : elles permettent un contrôle d’accès granulaire aux fonctions des différents Web Services et de limiter les accès UDDI aux services de la registry, en fonction de l’adresse IP source ou des fonctions accédées.
Une solution unique qui se distingue de la concurrence :
Au-delà de ces fonctions, qui en font un produit unique, les principaux avantages concurrentiels de rXML sont les suivants :
rXML se déploie facilement et rapidement, sans impact sur l’architecture applicative existante, il ne nécessite pas d’adaptation particulière et encore moins d’apprentissage.
rXML est un vrai firewall applicatif, qui protège contre les attaques spécifiques aux Web Services, mais également, plus largement, contre les attaques Web connues et inconnues.
rXML permet une montée en charge des applications grâce à un mécanisme de haute disponibilité actif-actif. Plusieurs systèmes rXML peuvent fonctionner en parallèle afin d’assurer la continuité de la sécurité applicative, y compris en cas de panne.
rXML offre des possibilités uniques en terme d’évolutivité : pour répondre aux besoins de sécurisation des applications les plus sensibles, une simple clé de license permet de lui ajouter les fonctions de sécurité Web avancées de rWeb, telles que la White List, l’analyse comportementale (UBT) et l’option Client Sanitization.
Avec la mise sur le marché de rXML, Deny All prouve sa capacité à s’adapter aux besoins des entreprises. Aujourd’hui, les problématiques liées à la sécurisation des applications modernes trouvent une réponse adaptée parmi l’offre de Deny All, qui s’articule désormais autour des trois parefeux applicatifs suivants :
sProxy, un WAF “plug and play”, plus particulièrement adapté aux besoins des PME,
rWeb, le WAF de nouvelle génération, pour sécuriser les applications les plus critiques,
rXML, un firewall dédié aux Web Services.
