OZON innove en intégrant ModSecurity à HAProxy

OZON, la startup spécialisée dans la cybersécurité eCommerce, a intégré le firewall applicatif web ModSecurity® dans HAProxy® et décide de faire profiter la communauté open source de son travail de R&D.

Sur le marché depuis plus de 15 ans, les logiciels open source HAProxy et ModSecurity ont connu d’énormes améliorations et sont devenus des standards de facto dans leurs domaines respectifs : HAProxy comme répartiteur de charge web et ModSecurity en tant que firewall applicatif web (WAF). Ces technologies sont largement utilisées par les grandes entreprises, les opérateurs et les fournisseurs de services à travers le monde.

A la recherche d’un reverse proxy web en mesure de supporter les fortes variations de trafic des sites eCommerce, OZON a mené une évaluation comparative des technologies NGINX®, Apache® et HAProxy. Le verdict ?

HAProxy sort gagnant et joue un rôle clé dans la plate-forme cloud OZON. Contrairement à NGINX et Apache, HAProxy a été conçu dès l’origine pour être un reverse proxy et non un serveur web. La fiabilité et les performances d’HAProxy ne sont plus à démontrer.

Thierry Fournier, associé-fondateur d’OZON, est l’un des principaux contributeurs d’HAProxy.

Parmi beaucoup d’autres choses, Thierry a implémenté le support du langage de programmation Lua.

Thierry dirige l’équipe R&D d’OZON qui a apporté quelques améliorations fonctionnelles à HAProxy telles que:

  • SSL/TLS fingerprinting,
  • ajout et amélioration de métriques performances,
  • intégration du firewall applicatif web ModSecurity.

En tant que répartiteur de charge Web, HAProxy est un composant central dans les infrastructures Internet et donc bien positionné pour effectuer des analyses sécurité sur les flux. Jusqu’à présent, personne n’avait fait l’effort de porter un firewall applicatif web sur HAProxy. C’est désormais chose faite !

OZON a réalisé une intégration de ModSecurity, l’un des principaux firewall applicatif web du marché, dans HAProxy. Depuis la dernière version de HAProxy (v1.7) publiée en novembre dernier, la disponibilité du Stream Processing Offloading Protocol (SPOP) permet de communiquer avec des agents externes non compatibles avec l’architecture interne de HAProxy, tel qu’un firewall applicatif web, et plus généralement tout composant qui nécessite des mises à jour fréquentes, des accès au système de fichiers, un traitement prolongé ou des allocations de mémoire importantes.

OZON a développé l’agent SPOA qui permet une analyse ModSecurity sur les flux traités par HAProxy.

Le principal avantage à utiliser le protocole SPOP est de déléguer les traitements lourds de sécurité à ModSecurity, sans impacter les performances d’HAProxy et tout en apportant une scalabilité horizontale très appréciable. Sur cette fondation technologique, les performances mesurées chez OZON dépassent largement celles obtenues avec d’autres technologies du marché, en particulier en terme de latence, et ce, quel que soit le volume de trafic des sites eCommerce protégés.

Chez OZON, nous croyons en la capacité de la communauté open source à bâtir des fondations technologiques solides permettant à quiconque d’innover. Une communauté forte qui maintient un noyau solide permet à la R&D d’OZON de se concentrer exclusivement sur les innovations cybersécurité.

Après plus de 6 mois de tests concluants, OZON a décidé de faire profiter la communauté open source de ses travaux de R&D. Dans le paysage des cyber-menaces actuel, où l’automatisation et la sophistication sont des mots clés, chaque site eCommerce doit être protégé à minima par un firewall applicatif web (WAF). C’est vital.

____________________

«  HAProxy is a registered trademark of HAProxy Technologies »

«  NGINX is a registered trademark of Nginx, Inc. »

«  ModSecurity is a registered trademark of Trustwave Holdings, Inc. »

«  Apache is a registered trademark of the Apache Software Foundation »

Régis Rocroy
Passionné par les nouvelles technologies et leurs usages dès les premiers PC, j’interviens dans la sécurité des systèmes d’information depuis plus de 20 ans en tant que consultant et architecte sécurité.