A new WAF Experience

Il y a environ trois ans, nous avons intégré de multiples fonctionnalités dans l'onglet Pare-feu de notre tableau de bord. Le but était de « rendre nos produits et services intuitifs. » Après les efforts acharnés que nous avons consacrés depuis trois ans à l'élargissement des offres en matière de fonctionnalités, nous souhaitons saisir une nouvelle opportunité d'évaluer le caractère intuitif de Cloudflare WAF (Web Application Firewall).

Nos clients montrent la voie vers le nouveau WAF

Le panorama de la sécurité évolue rapidement ; les types d'application web se multiplient à vive allure et il existe dans ce secteur d'activité différents points de vue concernant ce qu'un WAF doit comporter ou proposer. Cloudflare met en proxy non seulement des applications d'entreprise, mais également des millions de blogs personnels, des sites communautaires et les boutiques de petites entreprises. La grande diversité des scénarios d'utilisation est couverte par les différents produits que nous proposons ; toutefois, ces produits sont actuellement dispersés et cela nuit à la visibilité des règles de protection en vigu. Cela nous amène à réfléchir sur la manière dont nous pourrions le mieux accompagner nos clients afin qu'ils exploitent pleinement la valeur du WAF, en leur proposant une offre claire qui réponde à leurs attentes.

Il y a quelques mois, nous avons demandé à nos clients de répondre à une question simple : d'après vous, de quoi est constitué le pare-feu WAF ? Pour ce faire, nous avons eu recours à une série de méthodes de recherche sur les utilisateurs, dont le tri par carte, le test d'arborescence, l'évaluation de la conception et des enquêtes. Les résultats de cette recherche ont mis en évidence ce que nos clients pensent du WAF, ce qu'il signifie pour eux et la manière dont il accompagne leurs scénarios d'utilisation. C'est ce qui a donné à l'équipe produit l'idée d'en étendre la portée et de s'intéresser à ce que la sécurité (des applications web) signifie, au-delà du seul WAF.

Sur la base des centaines de réponses des clients, nos équipes de recherche sur les utilisateurs et de conception de produit ont collaboré avec la gestion de produit afin de repenser l'expérience de la sécurité. Nous avons examiné nos hypothèses et évalué l'efficacité des éléments de conception pour créer une structure (ou une architecture des informations) qui soit le reflet des modèles mentaux de nos clients.

Cette nouvelle structure consolide les règles de pare-feu, les règles gérées et les règles de limitation du débit pour les intégrer au WAF. Le nouveau WAF vise à devenir le guichet unique pour la sécurité des applications web dans la mesure où il est propre à différencier le trafic malveillant du trafic légitime.

À compter d'aujourd'hui, vous allez constater les modifications suivantes dans notre navigation :

  1. Pare-feu a été renommé Sécurité.
  2. Sous Sécurité, vous trouverez désormais WAF.
  3. Les règles de pare-feu, règles gérées et règles de limitation du débit apparaîtront désormais sous WAF.
À partir de maintenant, lorsque nous parlerons de WAF, nous ferons référence à ces trois composants.

Qui plus est, certaines mises à jour importantes sont à venir pour ces composants. Des règles avancées de limitation du débit seront lancées dans le cadre de la Security Week, et chaque client obtiendra également un ensemble gratuit de règles gérées permettant de protéger l'ensemble du trafic des vulnérabilités les plus en vue. Enfin, au cours des prochains mois, des règles de pare-feu seront transférées vers le moteur d'ensemble de règles ce qui ajoutera des capacités plus puissantes à la nouvelle API d'ensembles de règles. Ce sont de bonnes nouvelles n'est-ce pas ?

Comment les clients ont façonné l'avenir du WAF

Près de 500 clients ont participé à cette recherche sur les utilisateurs, grâce à laquelle nous en avons appris plus sur les besoins et le contexte d'utilisation. Nous avons procédé selon quatre méthodes de recherche, toutes menées sans modération ; ce qui signifie que les personnes du monde entier pouvaient participer à distance à l'heure et depuis le lieu de leur choix.

  • Pour le tri par carte, les participants devaient grouper des éléments de navigation dans des catégories qui selon eux avaient du sens.
  • Le test d'arborescence a permis d'évaluer les performances d'une structure de navigation proposée pour notre public cible.
  • L'évaluation de la conception a impliqué une méthode basée sur les tâches pour mesurer l'efficacité et l'utilité des éléments de conception.
  • Les questions de l'enquête nous ont permis d'explorer en détail les résultats et de dresser un portrait de nos participants.

Les résultats de cette étude à quatre facettes ont guidé les modifications apportées au WAF et à la sécurité qui sont présentées ci-dessous.

La nouvelle expérience du WAF

Le résultat final présente le WAF comme un élément d'une catégorie plus large, la sécurité, au même titre que les bots, DDoS, API Shield et Page Shield. Cette destination vous permet de créer vos règles (également désignées règles de pare-feu), déployer des règles gérées par Cloudflare, définir des conditions de limitation du débit et intégrer des outils pratiques pour protéger vos applications web.

Tous les clients, quelles que soient les offres souscrites verront désormais les produits du WAF organisés comme suit :

  1. Les règles de pare-feu permettent de créer une logique personnalisée, définie par l'utilisateur en bloquant ou autorisant le trafic à partir de l'ensemble des composants des requêtes HTTP et des champs dynamiques calculés par Cloudflare, tels que le score des bots.
  2. Les règles de limitation du débit comprennent un produit traditionnel reposant sur l'adresse IP que nous avons lancé en 2018 et la plus récente limitation avancée du débit proposée aux clients Enterprise de l'offre avancée (prochainement).
  3. Les règles gérées permettent aux clients de déployer des ensembles de règles gérées par l'équipe d'analystes de Cloudflare. Ces ensembles de règles comprennent un « ensemble gratuit de règles gérées par Cloudflare » actuellement en cours de déploiement pour toutes les offres y compris l'offre gratuite, ainsi que Cloudflare géré, la mise en œuvre de OWASP et la vérification des comptes exposés pour toutes les offres payantes.
  4. Les outils donnent accès aux règles d'accès aux adresses IP, au verrouillage de zone et au blocage d’agent utilisateur. Bien que toujours activement pris en charge, ces produits couvrent des scénarios d'utilisation que peuvent couvrir des règles de pare-feu. Toutefois, pour des raisons pratiques, ils ont été maintenus dans la boîte à outils du WAF.

Repenser l'expérience du WAF

Selon les principes de conception Gestalt, « les éléments qui sont à proximité les uns des autres sont perçus comme partageant une fonctionnalité ou des caractéristiques communes. » Nos décisions en matière de conception ont été orientées par ce principe en plus des réponses de nos clients.

Après avoir passé en revue les réponses de l'étude, nous avons compris combien il est important que les produits liés à la sécurité soient faciles à trouver dans le tableau de bord et combien il est nécessaire de bien préciser le lien qui existe entre des produits particuliers ou d'indiquer s'ils fonctionnent ensemble.

Il est absolument impératif que la page :

  • Affiche chaque type de règle que nous prenons en charge, c'est-à-dire les règles de pare-feu, les règles de limitation du débit et les règles gérées
  • Indique les chiffres d'utilisation pour chaque type
  • Donne au client la possibilité d'ajouter une nouvelle règle et de gérer les règles existantes
  • Permette au client de redéfinir l'ordre de priorité des règles par un glisser et déposer, ce qui existe déjà
  • Soit suffisamment flexible pour accueillir de futurs ajouts et consolidations des fonctionnalités du WAF

Nous avons itéré de multiples options, y compris les présentations de page principalement verticales, les présentations de page sous forme de tableau et même des présentations de page en accordéon. Chacune de ces options, toutefois, nous oblige à répliquer des boutons à la fonction similaire sur la page. Soucieux de ne pas engendrer davantage de confusion, nous avons abandonné ces options et leur avons préféré une présentation de page horizontale, avec des onglets.

Comment puis-je l'obtenir ?

À partir d'aujourd'hui, nous lançons cette nouvelle présentation du WAF pour tout le monde ! Parallèlement, nous mettons à jour la documentation qui vous guidera pour optimiser la puissance du pare-feu WAF de Cloudflare.

Perspectives d'avenir

C'est le point de départ de l'évolution par laquelle nous allons rendre le WAF de Cloudflare non seulement puissant mais également facile à adapter à vos besoins. Nous procédons à une évaluation des méthodes qui enrichiront vos processus de prise de décision au moment de protéger vos applications web. Devant la quantité croissante d'informations et les nouvelles possibilités de création de règles, nous voulons vous aider à trouver la voie le plus directe entre la détection éventuelle d'une menace (par exemple dans le cadre d'un aperçu de la sécurité) et l'établissement de la bonne règle qui permettra d'atténuer ladite menace. Restez à l'écoute !