Zentralisierung der erweiterten BIG-IP WAF-Bedrohungsvisualisierung, -Warnung und -Berichterstattung mit Azure Sentinel
Die Nachfrage nach Unternehmens- und Verbraucheranwendungen zeigt keine Anzeichen einer Verlangsamung und hat zu einer rasanten Zunahme der Workloads in verteilten Multi-Cloud-Architekturen geführt. Gleichzeitig sind Cyberbedrohungen immer häufiger und ausgefeilter geworden, sodass den Sicherheitsteams kaum eine andere Wahl bleibt, als massiv in die neuesten und besten Technologien zu investieren, um ihre Anwendungsportfolios und Daten zu schützen. Dies führt bei vielen dazu, dass sie eine Vielzahl unterschiedlicher Lösungen einsetzen – in der Regel von einer Vielzahl von Anbietern – um eine robuste Sicherheitslage gegen ein breites Spektrum an Bedrohungen zu erreichen. Daraus folgt, dass jede Lösung wahrscheinlich einzigartige Funktionen zur Ereigniswarnung und Dashboards bietet, die voneinander isoliert sind. Dadurch gestaltet sich die Aufgabe, eine umfassende Bedrohungsansicht aller Lösungen zusammenzustellen, mühsam, zeitaufwändig und höchst ineffektiv. Dieses Szenario kann im Großen und Ganzen in der folgenden Abbildung 1 dargestellt werden.
Angesichts der Tatsache, dass die Sicherheitsteams der meisten Organisationen für den Schutz komplexer Architekturen verantwortlich sind, die aus weitaus mehr Sicherheitsgeräten und -umgebungen bestehen, als in Abbildung 1 dargestellt, ist dieses Betriebsmodell eindeutig nicht skalierbar und könnte Apps und Daten einem erhöhten Risiko aussetzen. Aus diesem Grund wandten sich viele an Sicherheitsinformations- und Ereignismanagement (SIEM) Angebote zur Unterstützung der Aggregierung, Analyse und Visualisierung von Daten über mehrere Sicherheitssysteme hinweg. Wenig überraschend ergab eine SIEM-Umfrage von Cybersecurity Insiders aus dem Jahr 2022, dass 80 % der Unternehmen entweder bereits eine SIEM-Lösung implementiert haben oder dies in naher Zukunft planen. Die Hauptmotive sind dabei eine schnellere Ereigniserkennung und effizientere Sicherheitsabläufe. Im selben Bericht wurde festgestellt, dass sich auf dem SIEM-Markt von 2021 bis 2022 die Verlagerung des breiteren Marktes hin zu Cloud- und SaaS-basierten Angeboten widerspiegelte, wobei sich weniger Unternehmen für die Bereitstellung hardware- oder softwarebasierter SIEM-Lösungen vor Ort entschieden und mehr zu Cloud-basierten SaaS-Lösungen wie Azure Sentinel und Sumo Logic migrierten. Sofern Sicherheitsanbieter Integrationen mit SIEM-Lösungen anbieten, kann unsere Beispielarchitektur aus Abbildung 1 stark vereinfacht werden, indem alle Bedrohungsereignisse in einem zentralen SIEM-Tool zusammengestellt werden, wie in Abbildung 2 dargestellt.
Nachdem F5 in den letzten Jahren diesen Anstieg der SIEM-Nutzung durch Kunden beobachtet hat, hat das Unternehmen die Validierung der SIEM-Integration in seine Produktsuite zu einem Schwerpunkt gemacht. Ob BIG-IP, NGINX oder F5 Distributed Cloud Services, jede Lösung ist mit einer breiten Palette führender SIEM-Plattformen kompatibel, darunter Splunk, Exabeam und Microsoft Azure Sentinel.
Um Letzteres zu erreichen, bietet F5s BIG-IP Advanced WAF bereits seit mehreren Jahren eine Integration mit Azure Sentinel und wird von einer beträchtlichen Anzahl von Azure-Kunden genutzt. Unabhängig davon, wo BIG-IP Advanced WAF-Instanzen bereitgestellt werden – vor Ort, in einer Colocation-Einrichtung, auf Azure oder in einer anderen Cloud-Umgebung – ermöglicht diese Integration Sentinel, von jeder Instanz Echtzeitdaten zu erfassen und eine konsolidierte Bedrohungsansicht für das gesamte Anwendungsportfolio eines Unternehmens bereitzustellen. Dieses Szenario wird unten in unserem dritten und letzten Diagramm widergespiegelt.
Derzeit gibt es zwei Methoden zum Verbinden von BIG-IP Advanced WAF-Instanzen mit Azure Sentinel – beide werden empfohlen und sind völlig kostenlos. Die erste nutzt F5 Telemetry Streaming , das, wie der Name schon sagt, eine Erweiterung für BIG-IP ist, die das Streamen von Daten an Analyselösungen von Drittanbietern ermöglicht. Die einzige Voraussetzung für diesen Ansatz ist, dass auf jeder Instanz mindestens die Softwareversion v13.1 ausgeführt werden muss. Wenn Sie mit den eher standardmäßigen Branchentechniken vertraut sind, die entweder Syslog oder CEF (Common Event Format) verwenden, werden beide ebenfalls unterstützt.
Wenn Sie mehr darüber erfahren möchten, wie Sie Ihre BIG-IP Advanced WAF-Instanzen mit Azure Sentinel verbinden, finden Sie in den folgenden Azure Marketplace-Einträgen weitere Informationen zu den einzelnen Integrationsmethoden: