Die Distributed Cloud Services von F5 sind ausschließlich im Rahmen eines Jahresabonnements für Unternehmen verfügbar; dieses wird den erweiterten Anforderungen an Netzwerke und Sicherheit für Anwendungen gerecht.
Vielen Dank für Ihr Interesse an F5 Distributed Cloud Services. Ein F5-Mitarbeiter wird sich in Kürze mit Ihnen in Verbindung setzen, um Sie bei Ihrem Anliegen zu unterstützen.
Ein Jahresabonnement unterstützt verschiedene Anwendungsfälle, darunter die Anwendungssicherheit und Multi-Cloud-Netzwerke. Die Standard-Angebote decken grundlegende Funktionen ab, während die Advanced-Angebote speziell darauf ausgelegt sind, den strengen Anforderungen an erweiterte API-Sicherheit und Service-Netzwerke über verteilte Cloud- und Edge-Standorte hinweg gerecht zu werden.
Die erweiterte Anwendungssicherheit umfasst die Erkennung und den Schutz von APIs, die verhaltensorientierte Abwehr von Bots und die Abwehr von DDoS-Angriffen auf Ebene 7.
Erweitern Sie Multi-Cloud-Netzwerke, um moderne Anwendungsfälle im Sinne einer sicheren Dienstvernetzung zwischen verteilten Anwendungsclustern über mehrere Cloud- und Edge-Standorte hinweg zu unterstützen.
Verbessern Sie mit CDN, DNS und App Stack die globale Leistung und Zuverlässigkeit von Anwendungen.
| WAF | Standard |
Advanced |
|
|---|---|---|---|
| Signaturbasierter Schutz | Minimierung von Anwendungs- und API-Schwachstellen mit der zentralen WAF-Technologie von F5, die von unserer fortschrittlichen Signatur-Engine mit fast 8000 Signaturen für CVEs unterstützt wird, sowie von anderen bekannten Schwachstellen und Techniken wie etwa Bot-Signaturen, die von F5 Labs und Experten für Bedrohungen identifiziert wurden | Ja | Ja |
| Einhaltung der Compliance | Eine Kombination von Prüfungen, die der Aufdeckung von Verstößen und Umgehungen sowie der Einhaltung von HTTP-Protokollen dienen. | Ja | Ja |
| Automatische Abstimmung der Angriffssignatur | Selbstlernendes, probabilistisches Modell, das falsch-positive Auslöser unterdrückt | Ja | Ja |
| Maskieren sensibler Parameter/Daten in Protokollen | Nutzer können sensible Daten in Anforderungsprotokollen maskieren, indem sie den Namen des HTTP-Headers, den Namen des Cookies oder den Namen des Abfrageparameters angeben. Nur Werte werden maskiert. Standardmäßig werden die Werte der Abfrageparameter Karte, Pass, pwd und Kennwort maskiert. | Ja | Ja |
| Benutzerdefinierte Sperrseiten/Antwortcodes | Wenn eine Anfrage oder Antwort von der WAF blockiert wird, haben Nutzer die Möglichkeit, die Seite mit der Blockierungsantwort, die dem Kunden angezeigt wird, anzupassen. | Ja | Ja |
| Zulässige Antwortcodes vom Ursprung | Der Nutzer kann angeben, welche HTTP-Antwortstatuscodes zulässig sind. | Ja | Ja |
| Begrenzung der Anwendungsrate | Die Ratenbegrenzung steuert die Menge der Anfragen, die in einen Anwendungsursprung eingehen oder diesen verlassen. Die Ratenbegrenzung kann für Apps mithilfe der Schlüsselkennungen IP-Adresse, Cookie-Name und/oder HTTP-Header-Name gesteuert werden. | Nein | Ja |
| IP-Reputation | Analyse von IP-Bedrohungen und Veröffentlichung eines dynamischen Datensatzes aus Millionen von IP-Adressen mit hohem Risiko, der von F5 verwaltet wird, um App-Endpunkte vor eingehendem Datenverkehr von bösartigen IPs zu schützen. Zu den IP-Bedrohungskategorien gehören Spam-Quellen, Windows-Exploits, Webangriffe, Botnets, Denial-of-Service-Angriffe durch Scanner, Phishing usw. | Ja | Ja |
| Schutz sensibler Daten für Apps | Data Guard verhindert durch das Maskieren von Daten, dass durch HTTP/HTTPS-Antworten vertrauliche Informationen wie Kreditkartennummern und Sozialversicherungsnummern preisgegeben werden. | Ja | Ja |
| Ausschlussregeln | Regeln, in denen die Signatur-IDs und Verstöße/Angriffstypen definiert werden, die anhand von bestimmten Übereinstimmungskriterien von der WAF-Verarbeitung ausgeschlossen werden sollen. Zu den spezifischen Übereinstimmungskriterien gehören Domäne, Pfad und Methode. Wenn die Client-Anforderung mit all diesen Kriterien übereinstimmt, schließt die WAF die Verarbeitung für die in der Erkennungssteuerung konfigurierten Elemente aus. | Ja | Ja |
| CSRF-Schutz | Ermöglicht es Nutzern, geeignete, zulässige Quelldomänen auf einfache Weise zu konfigurieren bzw. anzugeben. | Ja | Ja |
| Cookie-Schutz | Der Cookie-Schutz bietet die Möglichkeit, Antwort-Cookies durch Hinzufügen von SameSite-, Secure- und HTTP-Only-Attributen zu modifizieren. | Ja | Ja |
| GraphQL-Schutz | Die WAF-Engine überprüft GraphQL-Anfragen auf Schwachstellen und blockiert den Datenverkehr auf der Grundlage der F5-Signaturdatenbank. | Ja | Ja |
| DDoS | Standard |
Advanced |
|
| Schnelle ACLs | Netzwerkfirewall-Steuerelemente, die es Nutzern ermöglichen, eingehenden Datenverkehr von bestimmten Quellen zu blockieren oder Ratenbegrenzungen auf den von einer bestimmten Quelle stammenden Netzwerkdatenverkehr anzuwenden. Verbesserte Schutzfunktionen ermöglichen die Filterung des Datenverkehrs nach Quelladresse, Quellport, Zieladresse, Zielport und Protokoll. | Ja | Ja |
| Abwehr von DDoS-Angriffen auf den Ebenen 3 und 4 | Mehrschichtige Abwehr von volumetrischen Angriffen durch eine Kombination aus voreingestellten Entschärfungsregeln mit automatischer Entschärfung und fortschrittlichem, geroutetem DDoS-Abwehr-Scrubbing samt vollständiger Paketanalyse über BGP-Routenwerbung oder autoritative DNS-Auflösung. | Nein | Ja |
| DoS auf Ebene 7 – Erkennung und Entschärfung | Erkennung von Anomalien und Alarmierung bei ungewöhnlichen Datenverkehrsmustern und -trends über Apps und API-Endpunkte hinweg durch Nutzung von fortschrittlichem maschinellem Lernen (ML) zur Erkennung von Spikes, Drops und anderen Änderungen im App- und API-Verhalten im Laufe der Zeit durch Analyse von Anforderungsraten, Fehlerraten, Latenzzeiten und Durchsatz mit der Möglichkeit, Endpunkte zurückzuweisen oder zu bewerten | Ja | Ja |
| DoS auf Ebene 7 – automatische Entschärfung | Auf maschinellem Lernen (ML) beruhende Funktionalität, die es ermöglicht, eine automatische Entschärfung von anormalem Datenverkehr auf Ebene 7 zu konfigurieren, wobei hierfür die Analyse des individuellen Client-Verhaltens und der App-Leistung im Laufe der Zeit, einschließlich Anforderungsraten, Fehlerraten, Latenzzeiten usw., als Grundlage dienen. | Nein | Ja |
| Entschärfung von langsamen DDoS-Angriffen | „Slow and Low“-Angriffe binden Serverressourcen, die dann für die Bearbeitung von Anfragen tatsächlicher Nutzer nicht mehr zur Verfügung stehen. Diese Funktion ermöglicht die Konfiguration und Durchsetzung von Anforderungs-Timeout- und Anforderungs-Header-Timeout-Werten. | Ja | Ja |
| API | Standard |
Advanced |
|
| Signaturbasierter Schutz | Die Distributed Cloud App Firewall von F5 unterstützt die Inspektion der beiden beliebtesten API-Protokolle – GraphQL und REST. | Ja | Ja |
| API-Erkennung und schemaorientiertes Lernen | Fortschrittliches maschinelles Lernen ermöglicht die Auszeichnung und Analyse von API-Endpunkten für Anwendungen, um API-Endpunkte zu erkennen und Verhaltensanalysen durchzuführen. Dazu gehören Anforderungs- und Antwortschemata sowie die Erkennung sensibler Daten und der Authentifizierungsstatus. Bereitstellung von Inventar- und Schatten-API-Sets mit OAS-(OpenAPI Specification-)Generierung. | Nein | Ja |
| API-Schema-Import | Importieren Sie OpenAPI-Spezifikationsdateien, um API-Gruppen zu definieren und Regeln festzulegen, mit denen der Zugriff auf APIs gesteuert und deren Verhalten durchgesetzt wird. | Nein | Ja |
| Validierung von OpenAPI-Spezifikationen | Die Funktionalität zur Durchsetzung von API-Spezifikationen ermöglicht ein positives API-Sicherheitsmodell, mit dem Unternehmen das gewünschte API-Verhalten anhand von Merkmalen für gültige API-Anfragen problemlos durchsetzen können. Diese Merkmale werden verwendet, um Eingabe- und Ausgabedaten zu Eigenschaften wie dem Datentyp, der minimalen oder maximalen Länge, zulässigen Zeichen oder gültigen Wertebereichen zu validieren. | Nein | Ja |
| Verwaltung der Lage | Umfasst die Fähigkeit zur Erkennung des Authentifizierungstyps und -status von API-Endpunkten sowie zur Bewertung des API-Risikos. Die Funktion zur Bewertung von API-Endpunkt-Risiken dient zur umfassenden Einschätzung des mit bestimmten API-Endpunkten verbundenen Risikos. Das Risiko wird anhand von unterschiedlichen Methoden und Kriterien bewertet. Dazu zählen etwa die Erkennung von Schwachstellen, die Auswirkungen von Angriffen, der Geschäftswert, die Angriffswahrscheinlichkeit sowie Entschärfungskontrollen. Dies hilft Unternehmen, API-Schwachstellen zu evaluieren und zu priorisieren, um APIs, die zusätzliche Sicherheitsmaßnahmen erfordern, rasch zu identifizieren. | Nein | Ja |
| Regeln zum Schutz von APIs | Unternehmen können die Konnektivität der API-Endpunkte und die Anfragetypen granular kontrollieren. Sie können bestimmte Clients und Verbindungen identifizieren, überwachen und insgesamt blockieren oder bestimmte Schwellenwerte festlegen. Dazu gehören Verweigerungslisten (Blockierung) auf der Grundlage von IP-Adresse, Region/Land, ASN oder TLS-Fingerabdruck, sowie komplexere Regeln, die bestimmte Übereinstimmungskriterien zur Steuerung der App- und API-Interaktionen mit Clients definieren, einschließlich HTTP-Methode, Pfad, Abfrageparameter, Header, Cookies und mehr. Diese granulare Kontrolle der API-Verbindungen und -Anfragen kann für einzelne APIs oder eine gesamte Domain erfolgen. | Nein | Ja |
| Begrenzung der API-Rate | Die Ratenbegrenzung steuert die Menge der Anfragen, die in API-Endpunkte ein- oder davon ausgehen. | Nein | Ja |
| Schutz sensibler Daten für APIs | Erkennung von generischen (Kreditkarte, Sozialversicherungsnummer) oder weniger verbreiteten und benutzerdefinierten PII-Datenmustern (Adressen, Namen, Telefonnummern) in API-Antworten und anschließende Maskierung sensibler Daten oder Blockierung von API-Endpunkten, die sensible Informationen übertragen. | Nein | Ja |
| Bot-Abwehr | Standard |
Advanced |
|
| Signaturbasierter Schutz | Die WAF-Signatur-Engine beinhaltet einzigartige Signaturen für automatisierte Bedrohungen und Bot-Techniken wie Crawler, DDoS/DoS und mehr. | Ja | Ja |
| Bot-Abwehr | Schützt Apps vor automatisierten Angriffen, indem JavaScript- und API-Aufrufe genutzt werden, um telemetrische Daten zu sammeln und ausgeklügelte Angriffe abzuwehren. Dies gelingt durch eine kontinuierliche, ML-gestützte Analyse von Signaldaten, um schnell auf Bot-Umrüstungen zu reagieren, und durch eine dynamische Aktualisierung von Echtzeit-Erkennungsmodellen, die für sämtliche Bot-Anwendungsfälle wie Credential Stuffing, Account Takeover, gefälschte Benutzerkonten usw. entwickelt wurden. | Nein | Ja |
| Client-side Defense | Bietet mehrphasigen Schutz für Webanwendungen vor Formjacking, Magecart, digitalem Skimming und anderen bösartigen JavaScript-Angriffen. Dieses mehrphasige Schutzsystem beruht auf Erkennung, Alarmierung und Entschärfung. | Ja | Ja |
| Network Connect | Standard |
Advanced |
|
| Multi-Cloud Transit | Netzwerkübertragung auf Ebene 3 zwischen öffentlichen Clouds, lokalen Rechenzentren und verteilten Edge-Standorten | Ja | Ja |
| Integration des Sicherheitsdiensts | Integrieren Sie Netzwerkfirewall-Dienste von Drittanbietern wie BIG-IP und Palo Alto Networks über mehrere Cloud-Netzwerke hinweg. | Ja | Ja |
| Netzwerksegmentierung | Granulare Netzwerkisolierung und Mikrosegmentierung zur Sicherung von Netzwerksegmenten vor Ort und in Public-Cloud-Netzwerken | Ja | Ja |
| Ende-zu-Ende-Verschlüsselung | Native TLS-Verschlüsselung für die gesamte Datenübertragung zwischen Netzwerken | Ja | Ja |
| Automatisierte Bereitstellung | Automatisierte Bereitstellung und Orchestrierung von Public-Cloud-Netzwerkkonstrukten | Ja | Ja |
| App Connect | Standard |
Advanced |
|
| App- und Dienstnetzwerke | Verteilte Lastausgleichsdienste für TCP-, UDP- und HTTPS-Anfragen zwischen App-Clustern über Clouds hinweg | Nein | Ja |
| App-Segmentierung | Granulare Sicherheitsrichtlinien zur Kontrolle des Zugriffs auf API-Endpunkte und Cluster in verteilten Cloud-Umgebungen | Nein | Ja |
| Diensterkennung | Ermittlung der Verfügbarkeit von Diensten über verteilte App-Cluster hinweg | Nein | Ja |
| Ein- und Ausgang | Routenbasierte Richtliniendurchsetzung für HTTP- und HTTPS-Datenverkehr | Nein | Ja |
| Ende-zu-Ende-Verschlüsselung | Native TLS-Verschlüsselung für die gesamte Datenübertragung zwischen Netzwerken | Ja | Ja |
| Beobachtbarkeit | Standard |
Advanced |
|
| Berichte, Rich Analytics und Telemetrie | Einheitliche Transparenz von der Anwendung bis zur Infrastruktur über heterogene Edge- und Cloud-Bereitstellungen hinweg, einschließlich des granularen Status von Anwendungsbereitstellungen, des Zustands der Infrastruktur, der Sicherheit, der Verfügbarkeit und der Leistung | Ja | Ja |
| Sicherheitsvorfälle | Ereignisübersicht, in der Tausende von Einzelvorfällen anhand des Kontextes und gemeinsamer Merkmale zu verwandten Sicherheitsvorfällen zusammengefasst werden. Zielt darauf ab, die Untersuchung von App-Sicherheitsvorfällen zu erleichtern. | Ja | Ja |
| Sicherheitsvorfälle | Einzelne Dashboard-Ansicht mit sämtlichen Sicherheitsvorfällen über die gesamte Bandbreite der Web-App- und API-Sicherheitsfunktionen mit individueller Anpassung und detaillierter Anzeige aller WAF-, Bot-, API- und sonstigen Sicherheitsvorfällen auf Ebene 7 | Ja | Ja |
| Globaler Protokollempfänger – Protokollexport-Integration (z. B. Splunk) | Protokollverteilung an externe Protokollerfassungssysteme wie Amazon S3, Datadog, Splunk, SumoLogic u. a. | Ja | Ja |
| Sonstige | Standard |
Advanced |
|
| Erkennung und Abwehr böswilliger Nutzer | Die KI/ML-gestützte Erkennung böswilliger Nutzer beruht auf einer Analyse des Nutzerverhaltens und Zuweisung einer Verdachtsbewertung und Bedrohungsstufe basierend auf der Aktivität des jeweiligen Nutzers. Die Interaktionen eines Kunden werden mit jenen anderer Kunden verglichen und analysiert – die Anzahl der betroffenen WAF-Regeln, unerlaubte Zugriffsversuche, Anmeldefehler, Fehlerraten und vieles mehr. Bei der Abwehr böswilliger Nutzer handelt es sich um eine adaptive Reaktionsfunktion und eine risikobasierte Herausforderungsfunktion, die je nach Bedrohungsstufe des Nutzers verschiedene Herausforderungen wie Javascript- oder Captcha-Aufgaben oder eine vorübergehende Blockierung bietet. | Nein | Ja |
| Service-Richtlinien | Mikrosegmentierung und Unterstützung von erweiterten Sicherheitsfunktionen auf Anwendungsebene durch Entwicklung von Zulassungs-/Verweigerungslisten, Geo-IP-Filterung und Erstellung benutzerdefinierter Regeln, um auf eingehende Anfragen zu reagieren, einschließlich Kriterien zur Übereinstimmung und Anfrageeinschränkung auf der Grundlage verschiedener Attribute/Parameter wie TLS-Fingerabdruck, Region/Land, IP-Präfix, HTTP-Methode, Pfad, Header und mehr. | Ja | Ja |
| CORS-Richtlinie | Cross-Origin Resource Sharing (CORS) ist in Situationen nützlich, in der der Browser eine Cross-Origin-Anfrage standardmäßig nicht zulässt und Sie diese aus einem bestimmten Grund aktivieren möchten. Die CORS-Richtlinie ist ein Mechanismus, der zusätzliche HTTP-Header-Informationen verwendet, um einen Browser darüber zu informieren, dass eine Webanwendung, die in einem Ursprung (einer Domäne) ausgeführt wird, die Berechtigung zum Zugriff auf bestimmte Ressourcen eines Servers mit einem anderen Ursprung haben soll. | Ja | Ja |
| Vertrauenswürdige Client-IP-Header | Identifizierung von echten Client-IP-Adressen zum Zweck der Überwachung, Protokollierung, Definition von Zulassungs-/Verweigerungsrichtlinien usw. Sicherheitsereignisse und Anforderungsprotokolle zeigen diese echte Client-IP-Adresse als Quell-IP an, wenn diese Funktion aktiviert ist. | Ja | Ja |
| Mutual TLS | Die Unterstützung von TLS und Mutual TLS zum Zweck der Authentifizierung mit richtlinienbasierter Autorisierung auf dem Load-Balancer/Proxy bietet die Möglichkeit, die lückenlose Sicherheit des Anwendungsdatenverkehrs durchzusetzen. Mutual TLS ermöglicht es, Clientzertifikatsdetails an Ursprungsserver in x-forwarded-client-cert (XFCC)-Anforderungsheadern zu senden. | Ja | Ja |
| Support | Standard |
Advanced |
|
| Premiumsupport rund um die Uhr | Unterstützung mit unterschiedlichen Mitteln, darunter ein Konsolen-Ticketsystem, E-Mail- und Telefonsupport. | Ja | Ja |
| Verfügbarkeit von SLAs (99,99 %) | Ja | Ja | |
| Audit Logs (30 Tage) | Ja | Ja | |
| Metriken (< 30 Tage) | Ja | Ja | |
| Anforderungsprotokolle (< 30 Tage) | Ja | Ja | |
Minimierung von Anwendungs- und API-Schwachstellen mit der zentralen WAF-Technologie von F5, die von unserer fortschrittlichen Signatur-Engine mit fast 8000 Signaturen für CVEs unterstützt wird, sowie von anderen bekannten Schwachstellen und Techniken wie etwa Bot-Signaturen, die von F5 Labs und Experten für Bedrohungen identifiziert wurden.
Eine Kombination von Prüfungen, die der Aufdeckung von Verstößen und Umgehungen sowie der Einhaltung von HTTP-Protokollen dienen.
Selbstlernendes, probabilistisches Modell, das falsch-positive Auslöser unterdrückt
Nutzer können sensible Daten in Anforderungsprotokollen maskieren, indem sie den Namen des HTTP-Headers, den Namen des Cookies oder den Namen des Abfrageparameters angeben. Nur Werte werden maskiert. Standardmäßig werden die Werte der Abfrageparameter Karte, Pass, pwd und Kennwort maskiert.
Wenn eine Anfrage oder Antwort von der WAF blockiert wird, haben Nutzer die Möglichkeit, die Seite mit der Blockierungsantwort, die dem Kunden angezeigt wird, anzupassen.
Der Nutzer kann angeben, welche HTTP-Antwortstatuscodes zulässig sind.
Analyse von IP-Bedrohungen und Veröffentlichung eines dynamischen Datensatzes aus Millionen von IP-Adressen mit hohem Risiko, der von F5 verwaltet wird, um App-Endpunkte vor eingehendem Datenverkehr von bösartigen IPs zu schützen. Zu den IP-Bedrohungskategorien gehören Spam-Quellen, Windows-Exploits, Webangriffe, Botnets, Denial-of-Service-Angriffe durch Scanner, Phishing usw.
Data Guard verhindert durch das Maskieren von Daten, dass durch HTTP/HTTPS-Antworten vertrauliche Informationen wie Kreditkartennummern und Sozialversicherungsnummern preisgegeben werden.
Regeln, in denen die Signatur-IDs und Verstöße/Angriffstypen definiert werden, die anhand von bestimmten Übereinstimmungskriterien von der WAF-Verarbeitung ausgeschlossen werden sollen. Zu den spezifischen Übereinstimmungskriterien gehören Domäne, Pfad und Methode. Wenn die Client-Anforderung mit all diesen Kriterien übereinstimmt, schließt die WAF die Verarbeitung für die in der Erkennungssteuerung konfigurierten Elemente aus.
Ermöglicht es Nutzern, geeignete, zulässige Quelldomänen auf einfache Weise zu konfigurieren bzw. anzugeben.
Der Cookie-Schutz bietet die Möglichkeit, Antwort-Cookies durch Hinzufügen von SameSite-, Secure- und HTTP-Only-Attributen zu modifizieren.
Die WAF-Engine überprüft GraphQL-Anfragen auf Schwachstellen und blockiert den Datenverkehr auf der Grundlage der F5-Signaturdatenbank.
Netzwerkfirewall-Steuerelemente, die es Nutzern ermöglichen, eingehenden Datenverkehr von bestimmten Quellen zu blockieren oder Ratenbegrenzungen auf den von einer bestimmten Quelle stammenden Netzwerkdatenverkehr anzuwenden. Verbesserte Schutzfunktionen ermöglichen die Filterung des Datenverkehrs nach Quelladresse, Quellport, Zieladresse, Zielport und Protokoll.
Erkennung von Anomalien und Alarmierung bei ungewöhnlichen Datenverkehrsmustern und -trends über Apps und API-Endpunkte hinweg durch Nutzung von fortschrittlichem maschinellem Lernen (ML) zur Erkennung von Spikes, Drops und anderen Änderungen im App- und API-Verhalten im Laufe der Zeit durch Analyse von Anforderungsraten, Fehlerraten, Latenzzeiten und Durchsatz mit der Möglichkeit, Endpunkte zurückzuweisen oder zu bewerten.
„Slow and Low“-Angriffe binden Serverressourcen, die dann für die Bearbeitung von Anfragen tatsächlicher Nutzer nicht mehr zur Verfügung stehen. Diese Funktion ermöglicht die Konfiguration und Durchsetzung von Anforderungs-Timeout- und Anforderungs-Header-Timeout-Werten.
Die Distributed Cloud App Firewall von F5 unterstützt die Inspektion der beiden beliebtesten API-Protokolle – GraphQL und REST.
Die WAF-Signatur-Engine beinhaltet einzigartige Signaturen für automatisierte Bedrohungen und Bot-Techniken wie Crawler, DDoS/DoS und mehr.
Bietet mehrphasigen Schutz für Webanwendungen vor Formjacking, Magecart, digitalem Skimming und anderen bösartigen JavaScript-Angriffen. Dieses mehrphasige Schutzsystem beruht auf Erkennung, Alarmierung und Entschärfung.
Netzwerkübertragung auf Ebene 3 zwischen öffentlichen Clouds, lokalen Rechenzentren und verteilten Edge-Standorten
Integrieren Sie Netzwerkfirewall-Dienste von Drittanbietern wie BIG-IP und Palo Alto Networks über mehrere Cloud-Netzwerke hinweg.
Granulare Netzwerkisolierung und Mikrosegmentierung zur Sicherung von Netzwerksegmenten vor Ort und in Public-Cloud-Netzwerken
Native TLS-Verschlüsselung für die gesamte Datenübertragung zwischen Netzwerken
Automatisierte Bereitstellung und Orchestrierung von Public-Cloud-Netzwerkkonstrukten
Native TLS-Verschlüsselung für die gesamte Datenübertragung zwischen Netzwerken
Mikrosegmentierung und Unterstützung von erweiterten Sicherheitsfunktionen auf Anwendungsebene durch Entwicklung von Zulassungs-/Verweigerungslisten, Geo-IP-Filterung und Erstellung benutzerdefinierter Regeln, um auf eingehende Anfragen zu reagieren, einschließlich Übereinstimmungs- und Anfrageeinschränkungskriterien auf der Grundlage verschiedener Attribute/Parameter wie TLS-Fingerabdruck, Region/Land, IP-Präfix, HTTP-Methode, Pfad, Header und mehr.
Cross-Origin Resource Sharing (CORS) ist in Situationen nützlich, in der der Browser eine Cross-Origin-Anfrage standardmäßig nicht zulässt und Sie diese aus einem bestimmten Grund aktivieren möchten. Die CORS-Richtlinie ist ein Mechanismus, der zusätzliche HTTP-Header-Informationen verwendet, um einen Browser darüber zu informieren, dass eine Webanwendung, die in einem Ursprung (einer Domäne) ausgeführt wird, die Berechtigung zum Zugriff auf bestimmte Ressourcen eines Servers mit einem anderen Ursprung haben soll.
Identifizierung von echten Client-IP-Adressen zum Zweck der Überwachung, Protokollierung, Definition von Zulassungs-/Verweigerungsrichtlinien usw. Sicherheitsereignisse und Anforderungsprotokolle zeigen diese echte Client-IP-Adresse als Quell-IP an, wenn diese Funktion aktiviert ist.
Die Unterstützung von TLS und Mutual TLS zum Zweck der Authentifizierung mit richtlinienbasierter Autorisierung auf dem Load-Balancer/Proxy bietet die Möglichkeit, die lückenlose Sicherheit des Anwendungsdatenverkehrs durchzusetzen. Mutual TLS ermöglicht es, Clientzertifikatsdetails an Ursprungsserver in x-forwarded-client-cert (XFCC)-Anforderungsheadern zu senden.
Unterstützung mit unterschiedlichen Mitteln, darunter ein Konsolen-Ticketsystem, E-Mail- und Telefonsupport.
Verfügbarkeit von SLAs (99,99 %)
Audit Logs (30 Tage)
Metriken (< 30 Tage)
Anforderungsprotokolle (< 30 Tage)
Minimierung von Anwendungs- und API-Schwachstellen mit der zentralen WAF-Technologie von F5, die von unserer fortschrittlichen Signatur-Engine mit fast 8000 Signaturen für CVEs unterstützt wird, sowie von anderen bekannten Schwachstellen und Techniken wie etwa Bot-Signaturen, die von F5 Labs und Experten für Bedrohungen identifiziert wurden.
Eine Kombination von Prüfungen, die der Aufdeckung von Verstößen und Umgehungen sowie der Einhaltung von HTTP-Protokollen dienen.
Selbstlernendes, probabilistisches Modell, das falsch-positive Auslöser unterdrückt
Nutzer können sensible Daten in Anforderungsprotokollen maskieren, indem sie den Namen des HTTP-Headers, den Namen des Cookies oder den Namen des Abfrageparameters angeben. Nur Werte werden maskiert. Standardmäßig werden die Werte der Abfrageparameter Karte, Pass, pwd und Kennwort maskiert.
Wenn eine Anfrage oder Antwort von der WAF blockiert wird, haben Nutzer die Möglichkeit, die Seite mit der Blockierungsantwort, die dem Kunden angezeigt wird, anzupassen.
Der Nutzer kann angeben, welche HTTP-Antwortstatuscodes zulässig sind.
Die Ratenbegrenzung steuert die Menge der Anfragen, die in einen Anwendungsursprung eingehen oder diesen verlassen. Die Ratenbegrenzung kann für Apps mithilfe der Schlüsselkennungen IP-Adresse, Cookie-Name und/oder HTTP-Header-Name gesteuert werden.
Analyse von IP-Bedrohungen und Veröffentlichung eines dynamischen Datensatzes aus Millionen von IP-Adressen mit hohem Risiko, der von F5 verwaltet wird, um App-Endpunkte vor eingehendem Datenverkehr von bösartigen IPs zu schützen. Zu den IP-Bedrohungskategorien gehören Spam-Quellen, Windows-Exploits, Webangriffe, Botnets, Denial-of-Service-Angriffe durch Scanner, Phishing usw.
Data Guard verhindert durch das Maskieren von Daten, dass durch HTTP/HTTPS-Antworten vertrauliche Informationen wie Kreditkartennummern und Sozialversicherungsnummern preisgegeben werden.
Regeln, in denen die Signatur-IDs und Verstöße/Angriffstypen definiert werden, die anhand von bestimmten Übereinstimmungskriterien von der WAF-Verarbeitung ausgeschlossen werden sollen. Zu den spezifischen Übereinstimmungskriterien gehören Domäne, Pfad und Methode. Wenn die Client-Anforderung mit all diesen Kriterien übereinstimmt, schließt die WAF die Verarbeitung für die in der Erkennungssteuerung konfigurierten Elemente aus.
Ermöglicht es Nutzern, geeignete, zulässige Quelldomänen auf einfache Weise zu konfigurieren bzw. anzugeben.
Der Cookie-Schutz bietet die Möglichkeit, Antwort-Cookies durch Hinzufügen von SameSite-, Secure- und HTTP-Only-Attributen zu modifizieren.
Die WAF-Engine überprüft GraphQL-Anfragen auf Schwachstellen und blockiert den Datenverkehr auf der Grundlage der F5-Signaturdatenbank.
Netzwerkfirewall-Steuerelemente, die es Nutzern ermöglichen, eingehenden Datenverkehr von bestimmten Quellen zu blockieren oder Ratenbegrenzungen auf den von einer bestimmten Quelle stammenden Netzwerkdatenverkehr anzuwenden. Verbesserte Schutzfunktionen ermöglichen die Filterung des Datenverkehrs nach Quelladresse, Quellport, Zieladresse, Zielport und Protokoll.
Mehrschichtige Abwehr von volumetrischen Angriffen durch eine Kombination aus voreingestellten Entschärfungsregeln mit automatischer Entschärfung und fortschrittlichem, geroutetem DDoS-Abwehr-Scrubbing samt vollständiger Paketanalyse über BGP-Routenwerbung oder autoritative DNS-Auflösung.
Erkennung von Anomalien und Alarmierung bei ungewöhnlichen Datenverkehrsmustern und -trends über Apps und API-Endpunkte hinweg durch Nutzung von fortschrittlichem maschinellem Lernen (ML) zur Erkennung von Spikes, Drops und anderen Änderungen im App- und API-Verhalten im Laufe der Zeit durch Analyse von Anforderungsraten, Fehlerraten, Latenzzeiten und Durchsatz mit der Möglichkeit, Endpunkte zurückzuweisen oder zu bewerten.
Auf maschinellem Lernen (ML) beruhende Funktionalität, die es ermöglicht, eine automatische Entschärfung von anormalem Datenverkehr auf Ebene 7 zu konfigurieren, wobei hierfür die Analyse des individuellen Client-Verhaltens und der App-Leistung im Laufe der Zeit, einschließlich Anforderungsraten, Fehlerraten, Latenzzeiten usw. als Grundlage dienen.
„Slow and Low“-Angriffe binden Serverressourcen, die dann für die Bearbeitung von Anfragen tatsächlicher Nutzer nicht mehr zur Verfügung stehen. Diese Funktion ermöglicht die Konfiguration und Durchsetzung von Anforderungs-Timeout- und Anforderungs-Header-Timeout-Werten.
Die Distributed Cloud App Firewall von F5 unterstützt die Inspektion der beiden beliebtesten API-Protokolle – GraphQL und REST.
Fortschrittliches maschinelles Lernen ermöglicht die Auszeichnung und Analyse von API-Endpunkten für Anwendungen, um API-Endpunkte zu erkennen und Verhaltensanalysen durchzuführen. Dazu gehören Anforderungs- und Antwortschemata sowie die Erkennung sensibler Daten und der Authentifizierungsstatus. Bereitstellung von Inventar- und Schatten-API-Sets mit OAS-(OpenAPI Specification-)Generierung.
Importieren Sie OpenAPI-Spezifikationsdateien, um API-Gruppen zu definieren und Regeln festzulegen, mit denen der Zugriff auf APIs gesteuert und deren Verhalten durchgesetzt wird.
Die Funktionalität zur Durchsetzung von API-Spezifikationen ermöglicht ein positives API-Sicherheitsmodell, mit dem Unternehmen das gewünschte API-Verhalten anhand von Merkmalen für gültige API-Anfragen problemlos durchsetzen können. Diese Merkmale werden verwendet, um Eingabe- und Ausgabedaten zu Eigenschaften wie dem Datentyp, der minimalen oder maximalen Länge, zulässigen Zeichen oder gültigen Wertebereichen zu validieren.
Umfasst die Fähigkeit zur Erkennung des Authentifizierungstyps und -status von API-Endpunkten sowie zur Bewertung des API-Risikos. Die Funktion zur Bewertung von API-Endpunkt-Risiken dient zur umfassenden Einschätzung des mit bestimmten API-Endpunkten verbundenen Risikos. Das Risiko wird anhand von unterschiedlichen Methoden und Kriterien bewertet. Dazu zählen etwa die Erkennung von Schwachstellen, die Auswirkungen von Angriffen, der Geschäftswert, die Angriffswahrscheinlichkeit sowie Entschärfungskontrollen. Dies hilft Unternehmen, API-Schwachstellen zu evaluieren und zu priorisieren, um APIs, die zusätzliche Sicherheitsmaßnahmen erfordern, rasch zu identifizieren.
Unternehmen können die Konnektivität der API-Endpunkte und die Anfragetypen granular kontrollieren. Sie können bestimmte Clients und Verbindungen identifizieren, überwachen und insgesamt blockieren oder bestimmte Schwellenwerte festlegen. Dazu gehören Verweigerungslisten (Blockierung) auf der Grundlage von IP-Adresse, Region/Land, ASN oder TLS-Fingerabdruck, sowie komplexere Regeln, die bestimmte Übereinstimmungskriterien zur Steuerung der App- und API-Interaktionen mit Clients definieren, einschließlich HTTP-Methode, Pfad, Abfrageparameter, Header, Cookies und mehr. Diese granulare Kontrolle der API-Verbindungen und -Anfragen kann für einzelne APIs oder eine gesamte Domain erfolgen.
Die Ratenbegrenzung steuert die Menge der Anfragen, die in API-Endpunkte ein- oder davon ausgehen.
Erkennung von generischen (Kreditkarte, Sozialversicherungsnummer) oder weniger verbreiteten und benutzerdefinierten PII-Datenmustern (Adressen, Namen, Telefonnummern) in API-Antworten und anschließende Maskierung sensibler Daten oder Blockierung von API-Endpunkten, die sensible Informationen übertragen.
Die WAF-Signatur-Engine beinhaltet einzigartige Signaturen für automatisierte Bedrohungen und Bot-Techniken wie Crawler, DDoS/DoS und mehr.
Schützt Apps vor automatisierten Angriffen, indem JavaScript- und API-Aufrufe genutzt werden, um telemetrische Daten zu sammeln und ausgeklügelte Angriffe abzuwehren. Dies gelingt durch eine kontinuierliche, ML-gestützte Analyse von Signaldaten, um schnell auf Bot-Umrüstungen zu reagieren, und durch eine dynamische Aktualisierung von Echtzeit-Erkennungsmodellen, die für sämtliche Bot-Anwendungsfälle wie Credential Stuffing, Account Takeover, gefälschte Benutzerkonten usw. entwickelt wurden.
Bietet mehrphasigen Schutz für Webanwendungen vor Formjacking, Magecart, digitalem Skimming und anderen bösartigen JavaScript-Angriffen. Dieses mehrphasige Schutzsystem beruht auf Erkennung, Alarmierung und Entschärfung.
Netzwerkübertragung auf Ebene 3 zwischen öffentlichen Clouds, lokalen Rechenzentren und verteilten Edge-Standorten
Integrieren Sie Netzwerkfirewall-Dienste von Drittanbietern wie BIG-IP und Palo Alto Networks über mehrere Cloud-Netzwerke hinweg.
Granulare Netzwerkisolierung und Mikrosegmentierung zur Sicherung von Netzwerksegmenten vor Ort und in Public-Cloud-Netzwerken
Native TLS-Verschlüsselung für die gesamte Datenübertragung zwischen Netzwerken
Automatisierte Bereitstellung und Orchestrierung von Public-Cloud-Netzwerkkonstrukten
Verteilte Lastausgleichsdienste für TCP-, UDP- und HTTPS-Anfragen zwischen App-Clustern über Clouds hinweg
Granulare Sicherheitsrichtlinien zur Kontrolle des Zugriffs auf API-Endpunkte und Cluster in verteilten Cloud-Umgebungen
Ermittlung der Verfügbarkeit von Diensten über verteilte App-Cluster hinweg
Routenbasierte Richtliniendurchsetzung für HTTP- und HTTPS-Datenverkehr
Native TLS-Verschlüsselung für die gesamte Datenübertragung zwischen Netzwerken
Die KI/ML-gestützte Erkennung böswilliger Nutzer beruht auf einer Analyse des Nutzerverhaltens und Zuweisung einer Verdachtsbewertung und Bedrohungsstufe basierend auf der Aktivität des jeweiligen Nutzers. Die Interaktionen eines Kunden werden mit jenen anderer Kunden verglichen und analysiert – die Anzahl der betroffenen WAF-Regeln, unerlaubte Zugriffsversuche, Anmeldefehler, Fehlerraten und vieles mehr. Bei der Abwehr böswilliger Nutzer handelt es sich um eine adaptive Reaktionsfunktion und eine risikobasierte Herausforderungsfunktion, die je nach Bedrohungsstufe des Nutzers verschiedene Herausforderungen wie Javascript- oder Captcha-Aufgaben oder eine vorübergehende Blockierung bietet.
Mikrosegmentierung und Unterstützung von erweiterten Sicherheitsfunktionen auf Anwendungsebene durch Entwicklung von Zulassungs-/Verweigerungslisten, Geo-IP-Filterung und Erstellung benutzerdefinierter Regeln, um auf eingehende Anfragen zu reagieren, einschließlich Übereinstimmungs- und Anfrageeinschränkungskriterien auf der Grundlage verschiedener Attribute/Parameter wie TLS-Fingerabdruck, Region/Land, IP-Präfix, HTTP-Methode, Pfad, Header und mehr.
Cross-Origin Resource Sharing (CORS) ist in Situationen nützlich, in der der Browser eine Cross-Origin-Anfrage standardmäßig nicht zulässt und Sie diese aus einem bestimmten Grund aktivieren möchten. Die CORS-Richtlinie ist ein Mechanismus, der zusätzliche HTTP-Header-Informationen verwendet, um einen Browser darüber zu informieren, dass eine Webanwendung, die in einem Ursprung (einer Domäne) ausgeführt wird, die Berechtigung zum Zugriff auf bestimmte Ressourcen eines Servers mit einem anderen Ursprung haben soll.
Identifizierung von echten Client-IP-Adressen zum Zweck der Überwachung, Protokollierung, Definition von Zulassungs-/Verweigerungsrichtlinien usw. Sicherheitsereignisse und Anforderungsprotokolle zeigen diese echte Client-IP-Adresse als Quell-IP an, wenn diese Funktion aktiviert ist.
Die Unterstützung von TLS und Mutual TLS zum Zweck der Authentifizierung mit richtlinienbasierter Autorisierung auf dem Load-Balancer/Proxy bietet die Möglichkeit, die lückenlose Sicherheit des Anwendungsdatenverkehrs durchzusetzen. Mutual TLS ermöglicht es, Client-Zertifikatsdetails an Ursprungsserver in x-forwarded-client-cert (XFCC)-Anforderungsheadern zu senden.
Unterstützung mit unterschiedlichen Mitteln, darunter ein Konsolen-Ticketsystem, E-Mail- und Telefonsupport.
Verfügbarkeit von SLAs (99,99 %)
Audit Logs (30 Tage)
Metriken (< 30 Tage)
Anforderungsprotokolle (< 30 Tage)