Pour avoir testé deux offres avec dépendances, j'ai vu les très gros inconvénients.
Je peux citer : - le délai de traitement qui se rallonge de quelques minutes à quelques heures pour du traitement que j'aurais espéré pratiquement temps réel parce que l'infra cloud rame - la même lorsque bien sur un client est bloqué par le waf, qu'il faut aller éditer des règles de filtrage et que l'interface web / api ne fonctionne plus pour maintenance ou indisponibilité ... - dans une de nos solutions éprouvées, l'entreprise est tombée en silence radio du jour au lendemain, plus de news, plus personne joignable, problème l'intelligence du produit n'est pas chez nous, on est pas autonome si la partie cloud s'arrête en cas de faillite ou autre. Il en va de même pour une entreprise qui déciderait de changer brutalement le mode économique - le fait que pour gérer des règles, des configurations il faille passer par une interface web ou api alors qu'on sait très bien gérer des configurations en fichier ou BD à partir d'outils d'infras as a code. Coder tous les 4 matins des interfaces API ça nous botte pas surtout quand elles changent sans prévenir. - avoir des limites dans les possibilités de réglage parce que l'interface ne l'a pas encore prévu ou que c'est by design, en full local s'il faut monter un contournement on est autonome pour le faire et régler comme on le souhaite C'est pour cela que nous nous orientons doucement vers modsecurity / naxsi où l'on aura pleine maitrise des réglages, néanmoins je ne suis pas fermé à découvrir d'autres produits. On ne cherche pas de l'open source à tout prix, seulement d'avoir une solution autonome et ne pas dépendre de tiers, donc des logiciels sous Linux avec licence oui c'est possible. Le 02/07/2019 à 15:48, Stephane Pham a écrit : > hey, > > Le on prem sans dépendance dans le "cloud" est vraiment un pré-requis ? > > Le lun. 1 juil. 2019 à 16:08, Laurent-Charles Fabre > <lc.fa...@gmail.com <mailto:lc.fa...@gmail.com>> a écrit : > > Bonjour, > > nous pour les clients Denyall qui a fusionné avec beware et qui > maintenant ça s’appelle Rohde &Schwarz > > Directeur technique disponible pour causer > appliance ou vm > modèle commercial adaptable pour les hébergeurs. > Accessoirement, c’est béni par l'ANSSI > > Laurent-Charles Fabre > > > > > Le 1 juil. 2019 à 08:32, Ludovic RAMOSFILIPE > <l.ra...@sct-telecom.fr <mailto:l.ra...@sct-telecom.fr>> a écrit : > > > > Salut, > > > > Sinon il y a aussi fortinet fortiweb > > > > Le dim. 30 juin 2019 à 18:30, Alexandre DERUMIER > <aderum...@odiso.com <mailto:aderum...@odiso.com>> a > > écrit : > > > >> Wallarm ca marche pas mal en effet, par contre c'est hors de prix. > >> > >> et pour avoir négocier avec leur commerciaux, c'est vraiment > pas le genre > >> de démarche commerciale que j'aime. > >> (tarif non public, à la tete du client, tu fais le mort , bam > t'as une > >> ristourne de 50%) > >> > >> Enfin bref... > >> > >> > >> > >> > >> Perso, j'utilise pour mes clients > >> > >> https://bitninja.io/ (entre 10-40€ par mois/par serveur. ca > dépend du > >> nombre d'utilisateur sur le serveur. (uid>1000) > >> > >> > >> ca fait en autre waf (basé sur modsecurity), mais le plus > interessant > >> c'est la réputation d'ip collaborative (whitelist/greylist + > captcha). > >> > >> j'avais testé justement avec wallarm derriere, il me restait > quelques > >> injections sql qui passait encore derrière, on va dire 1% avec > dedans pas > >> mal de faux positif. > >> > >> > >> > >> sinon j'attend avec impatience la sortie de darwin du projet > vulture, qui > >> sera un waf machine learning intégré à haproxy. > >> https://2018.pass-the-salt.org/files/talks/13-vulture.pdf > >> > >> > >> > >> ----- Mail original ----- > >> De: "Wallace" <wall...@morkitu.org <mailto:wall...@morkitu.org>> > >> À: "frnog-tech" <frnog-t...@frnog.org > <mailto:frnog-t...@frnog.org>> > >> Envoyé: Jeudi 27 Juin 2019 13:00:40 > >> Objet: [FRnOG] [TECH] solution WAF > >> > >> > >> > >> Bonjour à tous, > >> > >> On exploite du WAF en amont de certains clients, on est passé > par les > >> étapes Naxsi, IngenSec (qui a fermé), Wallarm. > >> > >> On est assez content de Wallarm même s'il reste des > améliorations à faire > >> et que techniquement on est pas fan d'une partie on premise > avec une > >> dépendance dans le cloud que l'on ne maitrise pas. Par contre > leur modèle > >> commercial n'est pas adapté à ce que l'on désire mettre en > place se basant > >> sur un coût par host au lieu d'un coût par domaine / site ou hits. > >> > >> Du coup qu'avez-vous testé et éprouvé en solutions WAF on > premise tournant > >> sous Linux? > >> > >> > >> Merci par avance. > >> > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > >> > > -- > > > > > > > > > > > > > > > > Ludovic Ramos | Responsable VOIP > > > > | *SCT TELECOM *| La plaine saint denis > > | phone: 0 <892020220>892020220 > > | email: l.ra...@sct-telecom.fr <mailto:l.ra...@sct-telecom.fr> > > | site: www.sct-telecom.fr <http://www.sct-telecom.fr> > > | skype: ludovic.ramos95 > > | address: 17-19 avenue de la metallurgie > > <https://fr-fr.facebook.com/scttelecom/> > <https://twitter.com/SCT_Telecom_> > > <https://www.youtube.com/channel/UCq3sTrWumacQq1Dh20Ix80Q> > > <https://mysignature.io/preview/www.sct-telecom.fr> > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ >
signature.asc
Description: OpenPGP digital signature
