F5 Distributed Cloud Services est disponible exclusivement sur souscription d’un abonnement annuel d’entreprise, qui répond aux exigences poussées en matière de mise en réseau et de sécurité des applications.
Nous vous remercions de l’intérêt que vous portez à F5 Distributed Cloud Services. Un représentant de F5 vous contactera bientôt pour répondre à votre requête.
Un abonnement annuel prend en charge divers cas d’utilisation, notamment la sécurité des applications et la mise en réseau multicloud. Les offres standard incluent des fonctionnalités de base, tandis que les offres avancées sont spécifiquement conçues pour répondre aux exigences strictes en matière de sécurité avancée des API et de mise en réseau des services sur les sites Distributed Cloud et périphériques distribués.
La sécurité applicative avancée comprend la découverte et la protection des API, l’atténuation des robots comportementaux et l’atténuation des attaques DDoS de la couche 7.
Étendez la mise en réseau multicloud pour prendre en charge des cas d’utilisation avancés pour la mise en réseau de services sécurisés entre plusieurs clusters d’applications distribués sur plusieurs sites cloud et périphériques.
Améliorez les performances et la fiabilité globale des applications avec CDN, DNS et App Stack.
| WAF | Standard |
Avancé |
|
|---|---|---|---|
| Protection basée sur la signature | Atténuez les vulnérabilités des applications et des API avec la technologie WAF clé de F5, soutenue par notre moteur de signature avancé contenant près de 8 000 signatures pour les CVE, ainsi que d’autres vulnérabilités et techniques connues, y compris les signatures de bot identifiées par les F5 Labs et les chercheurs travaillant sur les menaces | Oui | Oui |
| Obligation de conformité | Combinaison de contrôles des violations, des évasions et de la conformité au protocole http. | Oui | Oui |
| Ajustement automatique des signatures d’attaque | Autoapprentissage, modèle probabiliste qui supprime le déclenchement de faux positifs. | Oui | Oui |
| Masquage des paramètres/données sensibles dans les journaux | Les utilisateurs peuvent masquer les données sensibles dans les journaux de requêtes en spécifiant le nom de l’en-tête http, le nom du cookie ou le nom du paramètre de requête. Seules les valeurs sont masquées. Par défaut, les valeurs des paramètres de requête card, pass, pwd et password sont masquées. | Oui | Oui |
| Pages de blocage/codes de réponse personnalisés | Lorsqu’une requête ou une réponse est bloquée par le WAF, les utilisateurs ont la possibilité de personnaliser la page de réponse de blocage que voit le client. | Oui | Oui |
| Codes de réponses autorisés à partir de l’origine | L’utilisateur peut spécifier quels codes d’état de réponse HTTP sont autorisés. | Oui | Oui |
| Limitation du débit applicatif | La limitation de débit contrôle le taux de requêtes entrant ou sortant d’une origine applicative. La limitation de débit peut être contrôlée pour les applications au moyen d’identifiants clés tels que l’adresse IP, le nom du cookie et/ou le nom de l’en-tête HTTP. | Non | Oui |
| Réputation IP | Analyse les menaces IP et publie un ensemble de données dynamiques de millions d’adresses IP à haut risque gérées par F5, afin de protéger les points de terminaison des applications contre le trafic entrant provenant d’adresses IP malveillantes. Parmi les catégories de traitement IP, on peut citer les sources de spam, les exploitations de Windows, les attaques Web, les botnets, les scanners, le déni de services, l’hameçonnage et plus encore. | Oui | Oui |
| Protection des données sensibles pour les applications | Data Guard empêche les réponses HTTP/HTTPS d’exposer des informations sensibles, comme les numéros de carte de crédit et de sécurité sociale, en masquant les données. | Oui | Oui |
| Règles d’exclusion | Règles qui définissent les identifiants de signature et les types de violations/d’attaques qui doivent être exclus du traitement par le WAF en fonction de critères de correspondance spécifiques. Les critères de correspondance spécifiques comprennent le domaine, le chemin et la méthode. Si la requête du client correspond à tous ces critères, le WAF exclura le traitement des éléments configurés dans le contrôle de détection. | Oui | Oui |
| Protection CSRF | Permet aux utilisateurs de configurer/spécifier facilement les domaines sources appropriés et autorisés | Oui | Oui |
| Protection par cookies | La protection par cookies permet de modifier les cookies de réponse en ajoutant des attributs SameSite, Secure et HTTP Only. | Oui | Oui |
| Protection GraphQL | Le moteur WAF inspecte les requêtes GraphQL pour détecter les vulnérabilités et bloque le trafic en fonction de la base de données de signatures F5. | Oui | Oui |
| DDoS | Standard |
Avancé |
|
| ACL rapides | Contrôles du pare-feu réseau permettant aux utilisateurs de bloquer le trafic entrant provenant de sources spécifiques ou d’appliquer des limites de débit au trafic réseau provenant d’une source spécifique. Les protections améliorées permettent de filtrer le trafic en fonction de l’adresse source, du port source, de l’adresse de destination, du port de destination et du protocole. | Oui | Oui |
| Atténuation des attaques DDoS de couche 3-4 | Atténuation des attaques volumétriques multicouches, y compris une combinaison de règles d’atténuation prédéfinies avec une automatisation et un nettoyage avancé de l’atténuation des attaques DDoS routées avec une analyse complète des paquets via une publicité sur les routes BGP ou une résolution DNS faisant autorité. | Non | Oui |
| DoS de couche 7 — Détection et atténuation | Détection des anomalies et alerte sur les tendances et les modèles de trafic anormaux entre les applications et les points de terminaison des API, en tirant parti de l’apprentissage automatique (ML) avancé pour détecter les pics, les chutes et les autres changements dans le comportement des applications et des API au fil du temps en analysant les taux de requête, les taux d’erreur, la latence et le débit avec la possibilité de refuser ou de limiter les points de terminaison | Oui | Oui |
| DoS de couche 7 — Atténuation automatique | Fonctionnalité basée sur l’apprentissage automatique (ML) qui permet de configurer l’atténuation automatique pour le trafic anormal de la couche 7 en fonction de l’analyse du comportement individuel des clients et des performances des applications au fil du temps, y compris les taux de requêtes, les taux d’erreur, la latence et plus encore. | Non | Oui |
| Atténuation des attaques DDoS lentes | Les attaques « lentes et faibles » bloquent les ressources du serveur, ne laissant aucune ressource disponible pour répondre aux requêtes des utilisateurs réels. Cette fonctionnalité permet de configurer et de faire appliquer des valeurs de délai d’expiration des requêtes et de délai d’expiration des en-têtes de requête. | Oui | Oui |
| API | Standard |
Avancé |
|
| Protection basée sur la signature | F5 Distributed Cloud App Firewall prend en charge l’inspection des deux protocoles API les plus populaires : GraphQL et REST. | Oui | Oui |
| Découverte des API et apprentissage des schémas | Apprentissage automatique avancé qui permet le balisage et l’analyse des points de terminaison d’API pour les applications afin de découvrir les points de terminaison d’API et d’effectuer une analyse comportementale. Sont concernés les schémas de requête et de réponse, la détection des données sensibles et l’état d’authentification. Fourniture de jeux d’API d’inventaire et fantômes avec génération de spécifications OpenAPI (OAS). | Non | Oui |
| Importation des schémas d’API | Importez de fichiers de spécification OpenAPI pour définir des groupes d’API et définir des règles pour contrôler l’accès et faire appliquer le comportement des API. | Non | Oui |
| Validation des spécifications OpenAPI | La fonctionnalité d’application des spécifications d’API offre un modèle de sécurité positif pour les API, permettant à l’organisation de faire appliquer facilement le comportement d’API souhaité en fonction des caractéristiques des requêtes d’API valides. Ces caractéristiques sont utilisées pour valider les données d’entrée et de sortie pour des éléments tels que le type de données, la longueur minimum ou maximum, les caractères autorisés ou les plages de valeurs valides. | Non | Oui |
| Gestion de la posture | Comprend la capacité d’apprendre et de détecter le type d’authentification et le statut des points de terminaison d’API, ainsi que la cote de risque de l’API. La fonctionnalité API Endpoints Risk Score fournit aux utilisateurs une mesure complète du risque associé à leurs points de terminaison API. La cote de risque est calculée à l’aide de diverses techniques, telles que la découverte des vulnérabilités, l’impact des attaques, la valeur commerciale, la probabilité d’attaque et les contrôles d’atténuation. Ceci aide les organisations à évaluer et à hiérarchiser les vulnérabilités des API afin d’identifier rapidement les API qui nécessitent des mesures de sécurité supplémentaires. | Non | Oui |
| Règles de protection des API | Les entreprises peuvent contrôler de manière granulaire la connectivité des points de terminaison d’API et les types de requêtes. Elles peuvent identifier, surveiller et bloquer des clients et des connexions spécifiques ou définir des seuils particuliers. Il s’agit notamment de refuser (bloquer) l’inscription en fonction de l’adresse IP, de la région/du pays, de l’empreinte ASN ou TLS, ainsi que de règles plus avancées définissant des critères de correspondance spécifiques guidant les interactions de l’application et de l’API avec les clients, notamment la méthode HTTP, le chemin, les paramètres de requête, les en-têtes, les cookies, etc. Ce contrôle granulaire des connexions et des requêtes d’API peut être effectué pour des API individuelles ou pour un domaine entier. | Non | Oui |
| Limitation du débit des API | La limitation du débit contrôle le taux de requêtes entrant ou sortant des points de terminaison de l’API. | Non | Oui |
| Protection des données sensibles pour les API | Détectez des modèles de données personnelles identifiables génériques (carte de crédit, numéro de sécurité sociale) ou moins courants et personnalisés (adresses, noms, numéros de téléphone) dans les réponses de l’API, puis masquez les données sensibles ou bloquez les points de terminaison de l’API qui transmettent des informations sensibles. | Non | Oui |
| Bot Defense | Standard |
Avancé |
|
| Protection basée sur la signature | Le moteur de signature WAF comprend des signatures uniques pour les menaces automatisées et les techniques de bot, y compris les robots d’exploration, les attaques DDoS/DoS et plus encore. | Oui | Oui |
| Bot Defense | Protège les applications contre les attaques automatisées en tirant parti des appels JavaScript et API pour collecter des données de télémesure et atténuer les attaques sophistiquées avec une analyse constante par apprentissage automatique des données de signal pour répondre rapidement au réoutillage des robots, aux mises à jour dynamiques des modèles de détection en temps réel conçus pour se protéger contre tous les cas d’utilisation des robots, par exemple le credential stuffing, la prise de contrôle des comptes, les faux comptes, etc. | Non | Oui |
| Client-side Defense | Fournit une protection multiphase pour les applications Web contre le détournement de formulaires, Magecart, l’écrémage numérique et d’autres attaques JavaScript malveillantes. Ce système de protection multiphase comprend la détection, l’alerte et l’atténuation. | Oui | Oui |
| Network Connect | Standard |
Avancé |
|
| Transit multicloud | Transit réseau de couche 3 entre les clouds publics, les centres de données sur site et les sites périphériques distribués | Oui | Oui |
| Security Service Insertion | Intégrez des services de pare-feu réseau tiers tels que BIG-IP et Palo Alto Networks sur plusieurs réseaux cloud. | Oui | Oui |
| Segmentation du réseau | Isolation granulaire du réseau et micro-segmentation pour sécuriser les segments de réseau dans les locaux et sur les réseaux de cloud public. | Oui | Oui |
| Chiffrement de bout en bout | Chiffrement TLS natif pour tous les transits de données sur les réseaux. | Oui | Oui |
| Provisionnement automatisé | Provisionnement et orchestration automatisés des concepts de réseaux de cloud public. | Oui | Oui |
| App Connect | Standard |
Avancé |
|
| Mise en réseau des applications et des services | Services d’équilibrage de charge distribués pour les requêtes TCP, UDP et HTTPS entre les clusters d’applications sur plusieurs clouds. | Non | Oui |
| Segmentation des applications | Politiques de sécurité granulaires pour contrôler l’accès aux points de terminaison et aux clusters d’API dans les environnements de Distributed Cloud. | Non | Oui |
| Découverte de services | Identifier la disponibilité des services sur les clusters d’applications distribués. | Non | Oui |
| Entrée et sortie | Application des politiques basées sur le routage pour le trafic HTTP et HTTPS. | Non | Oui |
| Chiffrement de bout en bout | Chiffrement TLS natif pour tous les transits de données sur les réseaux. | Oui | Oui |
| Observabilité | Standard |
Avancé |
|
| Rapports, analyses riches et télémesure | Visibilité unifiée de l’application à l’infrastructure sur des déploiements hétérogènes en périphérie et dans le cloud, y compris l’état granulaire des déploiements d’applications, la santé de l’infrastructure, la sécurité, la disponibilité et les performances. | Oui | Oui |
| Incidents de sécurité | Vue des événements qui regroupe des milliers d’événements individuels en incidents de sécurité liés en fonction du contexte et de caractéristiques communes. Vise à faciliter les enquêtes sur les événements de sécurité des applications. | Oui | Oui |
| Événements de sécurité | Vue sous forme de tableau de bord unique sur tous les événements de sécurité dans toute la gamme des fonctionnalités de sécurité des applications Web et des API, avec personnalisation et analyse approfondie de tous les événements de sécurité WAF, Bot, API et autres événements de sécurité de couche 7. | Oui | Oui |
| Récepteur de journaux mondial — Intégration de l’exportation de journaux (Splunk) | Distribution des journaux vers des systèmes de collecte de journaux externes, comme Amazon S3, Datadog, Splunk, SumoLogic et plus encore. | Oui | Oui |
| Autre | Standard |
Avancé |
|
| Détection des utilisateurs malveillants + Atténuation | La détection des utilisateurs malveillants par IA/apprentissage automatique effectue une analyse du comportement des utilisateurs et attribue un score de suspicion et un niveau de menace en fonction de l’activité de chaque utilisateur. Les interactions avec les clients sont analysées en s’intéressant à la façon dont un client donné peut être comparé aux autres clients : le nombre de règles WAF touchées, les tentatives d’accès interdites, les échecs de connexion, les taux d’erreur, etc. L’atténuation des utilisateurs malveillants est une capacité de réponse adaptative et de défi basée sur les risques, proposant différents défis tels que le défi Javascript ou Captcha ou bloquant temporairement en fonction du niveau de menace de l’utilisateur. | Non | Oui |
| Politiques de service | Permet la micro-segmentation et la prise en charge de la sécurité avancée au niveau de la couche applicative avec le développement de listes d’autorisation/refus, le filtrage IP géographique et la création de règles personnalisées pour agir sur les requêtes entrantes : critères de correspondance et de contrainte de requête basés sur une variété d’attributs/paramètres TLS empreinte digitale, zone géographique/pays, préfixe IP, méthode HTTP, chemin, en-têtes et plus encore. | Oui | Oui |
| Politique CORS | Le partage de ressources inter-origines (Cross-Origin Resource Sharing, CORS) est utile dans toute situation où le navigateur, par défaut, refusera une requête inter-origine et où vous avez un besoin spécifique de les activer. La politique CORS est un mécanisme qui utilise des informations d’en-tête HTTP supplémentaires pour informer un navigateur afin de permettre à une application Web exécutée au niveau d’une origine (d’un domaine) d’accéder à une sélection de ressources à partir d’un serveur au niveau d’une origine différente. | Oui | Oui |
| En-têtes IP des clients de confiance | Identification des adresses IP réelles des clients pour la surveillance, la journalisation, la définition des politiques d’autorisation/refus, etc. Lorsque cette fonctionnalité est activée, les événements de sécurité et les journaux de requêtes afficheront cette adresse IP réelle du client comme adresse IP source. | Oui | Oui |
| Mutual TLS | La prise en charge du TLS et du Mutual TLS pour l’authentification avec une autorisation basée sur l’équilibreur de charge/le proxy permet d’appliquer la sécurité de bout en bout du trafic des applications. Mutual TLS prend en charge la possibilité d’envoyer des détails de certificat client aux serveurs d’origine dans les en-têtes de requête x-forwarded-client-cert (XFCC). | Oui | Oui |
| Support | Standard |
Avancé |
|
| Support Premium 24 h/24, 7 jours/7 et 365 jours/365 | Support fourni par diverses méthodes : émission de ticket sur console, assistance par e-mail et par téléphone. | Oui | Oui |
| Accords de niveau de service (SLA) de disponibilité (99,99 %) | Oui | Oui | |
| Audit Logs (30 jours) | Oui | Oui | |
| Indicateurs (< 30 jours) | Oui | Oui | |
| Journaux de requêtes (< 30 jours) | Oui | Oui | |
Atténuez les vulnérabilités des applications et des API avec la technologie WAF clé de F5, soutenue par notre moteur de signature avancé contenant près de 8 000 signatures pour les CVE, ainsi que d’autres vulnérabilités et techniques connues, y compris les signatures de bot identifiées par les F5 Labs et les chercheurs travaillant sur les menaces.
Combinaison de contrôles des violations, des évasions et de la conformité au protocole http.
Autoapprentissage, modèle probabiliste qui supprime le déclenchement de faux positifs.
Les utilisateurs peuvent masquer les données sensibles dans les journaux de requêtes en spécifiant le nom de l’en-tête http, le nom du cookie ou le nom du paramètre de requête. Seules les valeurs sont masquées. Par défaut, les valeurs des paramètres de requête card, pass, pwd et password sont masquées.
Lorsqu’une requête ou une réponse est bloquée par le WAF, les utilisateurs ont la possibilité de personnaliser la page de réponse de blocage que voit le client.
L’utilisateur peut spécifier quels codes d’état de réponse HTTP sont autorisés.
Analyse les menaces IP et publie un ensemble de données dynamiques de millions d’adresses IP à haut risque gérées par F5, afin de protéger les points de terminaison des applications contre le trafic entrant provenant d’adresses IP malveillantes. Parmi les catégories de traitement IP, on peut citer les sources de spam, les exploitations de Windows, les attaques Web, les botnets, les scanners, le déni de services, l’hameçonnage et plus encore.
Data Guard empêche les réponses HTTP/HTTPS d’exposer des informations sensibles, comme les numéros de carte de crédit et de sécurité sociale, en masquant les données.
Règles qui définissent les identifiants de signature et les types de violations/d’attaques qui doivent être exclus du traitement par le WAF en fonction de critères de correspondance spécifiques. Les critères de correspondance spécifiques comprennent le domaine, le chemin et la méthode. Si la requête du client correspond à tous ces critères, le WAF exclura le traitement des éléments configurés dans le contrôle de détection.
Permet aux utilisateurs de configurer/spécifier facilement les domaines sources appropriés et autorisés.
La protection par cookies permet de modifier les cookies de réponse en ajoutant des attributs SameSite, Secure et HTTP Only.
Le moteur WAF inspecte les requêtes GraphQL pour détecter les vulnérabilités et bloque le trafic en fonction de la base de données de signatures F5.
Contrôles du pare-feu réseau permettant aux utilisateurs de bloquer le trafic entrant provenant de sources spécifiques ou d’appliquer des limites de débit au trafic réseau provenant d’une source spécifique. Les protections améliorées permettent de filtrer le trafic en fonction de l’adresse source, du port source, de l’adresse de destination, du port de destination et du protocole.
Détection des anomalies et alerte sur les tendances et les modèles de trafic anormaux entre les applications et les points de terminaison des API, en tirant parti de l’apprentissage automatique (ML) avancé pour détecter les pics, les chutes et les autres changements dans le comportement des applications et des API au fil du temps en analysant les taux de requête, les taux d’erreur, la latence et le débit avec la possibilité de refuser ou de limiter les points de terminaison.
Les attaques « lentes et faibles » bloquent les ressources du serveur, ne laissant aucune ressource disponible pour répondre aux requêtes des utilisateurs réels. Cette fonctionnalité permet de configurer et de faire appliquer des valeurs de délai d’expiration des requêtes et de délai d’expiration des en-têtes de requête.
F5 Distributed Cloud App Firewall prend en charge l’inspection des deux protocoles API les plus populaires : GraphQL et REST.
Le moteur de signature WAF comprend des signatures uniques pour les menaces automatisées et les techniques de bot, y compris les robots d’exploration, les attaques DDoS/DoS et plus encore.
Fournit une protection multiphase pour les applications Web contre le détournement de formulaires, Magecart, l’écrémage numérique et d’autres attaques JavaScript malveillantes. Ce système de protection multiphase comprend la détection, l’alerte et l’atténuation.
Transit réseau de couche 3 entre les clouds publics, les centres de données sur site et les sites périphériques distribués.
Intégrez des services de pare-feu réseau tiers tels que BIG-IP et Palo Alto Networks sur plusieurs réseaux cloud.
Isolation granulaire du réseau et microsegmentation pour sécuriser les segments de réseau dans les locaux et sur les réseaux de cloud public.
Chiffrement TLS natif pour tous les transits de données sur les réseaux.
Provisionnement et orchestration automatisés des concepts de réseaux de cloud public.
Chiffrement TLS natif pour tous les transits de données sur les réseaux.
Permet la micro-segmentation et la prise en charge de la sécurité avancée au niveau de la couche applicative avec le développement de listes d’autorisation/refus, le filtrage IP géographique et la création de règles personnalisées pour agir sur les requêtes entrantes : critères de correspondance et de contrainte de requête basés sur une variété d’attributs/paramètres TLS empreinte digitale, zone géographique/pays, préfixe IP, méthode HTTP, chemin, en-têtes et plus encore.
Le partage de ressources inter-origines (Cross-Origin Resource Sharing, CORS) est utile dans toute situation où le navigateur, par défaut, refusera une requête inter-origine et où vous avez un besoin spécifique de les activer. La politique CORS est un mécanisme qui utilise des informations d’en-tête HTTP supplémentaires pour informer un navigateur afin de permettre à une application Web exécutée au niveau d’une origine (d’un domaine) d’accéder à une sélection de ressources à partir d’un serveur au niveau d’une origine différente.
Identification des adresses IP réelles des clients pour la surveillance, la journalisation, la définition des politiques d’autorisation/refus, etc. Lorsque cette fonctionnalité est activée, les événements de sécurité et les journaux de requêtes afficheront cette adresse IP réelle du client comme adresse IP source.
La prise en charge du TLS et du Mutual TLS pour l’authentification avec une autorisation basée sur l’équilibreur de charge/le proxy permet d’appliquer la sécurité de bout en bout du trafic des applications. Mutual TLS prend en charge la possibilité d’envoyer des détails de certificat client aux serveurs d’origine dans les en-têtes de requête x-forwarded-client-cert (XFCC).
Support fourni par diverses méthodes : émission de ticket sur console, assistance par e-mail et par téléphone.
Accords de niveau de service (SLA) de disponibilité (99,99 %)
Audit Logs (30 jours)
Indicateurs (< 30 jours)
Journaux de requêtes (< 30 jours)
Atténuez les vulnérabilités des applications et des API avec la technologie WAF clé de F5, soutenue par notre moteur de signature avancé contenant près de 8 000 signatures pour les CVE, ainsi que d’autres vulnérabilités et techniques connues, y compris les signatures de bot identifiées par les F5 Labs et les chercheurs travaillant sur les menaces.
Combinaison de contrôles des violations, des évasions et de la conformité au protocole http.
Autoapprentissage, modèle probabiliste qui supprime le déclenchement de faux positifs.
Les utilisateurs peuvent masquer les données sensibles dans les journaux de requêtes en spécifiant le nom de l’en-tête http, le nom du cookie ou le nom du paramètre de requête. Seules les valeurs sont masquées. Par défaut, les valeurs des paramètres de requête card, pass, pwd et password sont masquées.
Lorsqu’une requête ou une réponse est bloquée par le WAF, les utilisateurs ont la possibilité de personnaliser la page de réponse de blocage que voit le client.
L’utilisateur peut spécifier quels codes d’état de réponse HTTP sont autorisés.
La limitation de débit contrôle le taux de requêtes entrant ou sortant d’une origine applicative. La limitation de débit peut être contrôlée pour les applications au moyen d’identifiants clés tels que l’adresse IP, le nom du cookie et/ou le nom de l’en-tête HTTP.
Analyse les menaces IP et publie un ensemble de données dynamiques de millions d’adresses IP à haut risque gérées par F5, afin de protéger les points de terminaison des applications contre le trafic entrant provenant d’adresses IP malveillantes. Parmi les catégories de traitement IP, on peut citer les sources de spam, les exploitations de Windows, les attaques Web, les botnets, les scanners, le déni de services, l’hameçonnage et plus encore.
Data Guard empêche les réponses HTTP/HTTPS d’exposer des informations sensibles, comme les numéros de carte de crédit et de sécurité sociale, en masquant les données.
Règles qui définissent les identifiants de signature et les types de violations/d’attaques qui doivent être exclus du traitement par le WAF en fonction de critères de correspondance spécifiques. Les critères de correspondance spécifiques comprennent le domaine, le chemin et la méthode. Si la requête du client correspond à tous ces critères, le WAF exclura le traitement des éléments configurés dans le contrôle de détection.
Permet aux utilisateurs de configurer/spécifier facilement les domaines sources appropriés et autorisés.
La protection par cookies permet de modifier les cookies de réponse en ajoutant des attributs SameSite, Secure et HTTP Only.
Le moteur WAF inspecte les requêtes GraphQL pour détecter les vulnérabilités et bloque le trafic en fonction de la base de données de signatures F5.
Contrôles du pare-feu réseau permettant aux utilisateurs de bloquer le trafic entrant provenant de sources spécifiques ou d’appliquer des limites de débit au trafic réseau provenant d’une source spécifique. Les protections améliorées permettent de filtrer le trafic en fonction de l’adresse source, du port source, de l’adresse de destination, du port de destination et du protocole.
Atténuation des attaques volumétriques multicouches, y compris une combinaison de règles d’atténuation prédéfinies avec une automatisation et un nettoyage avancé de l’atténuation des attaques DDoS routées avec une analyse complète des paquets via une publicité sur les routes BGP ou une résolution DNS faisant autorité.
Détection des anomalies et alerte sur les tendances et les modèles de trafic anormaux entre les applications et les points de terminaison des API, en tirant parti de l’apprentissage automatique (ML) avancé pour détecter les pics, les chutes et les autres changements dans le comportement des applications et des API au fil du temps en analysant les taux de requête, les taux d’erreur, la latence et le débit avec la possibilité de refuser ou de limiter les points de terminaison.
Fonctionnalité basée sur l’apprentissage automatique (ML) qui permet de configurer l’atténuation automatique pour le trafic anormal de la couche 7 en fonction de l’analyse du comportement individuel des clients et des performances des applications au fil du temps, y compris les taux de requêtes, les taux d’erreur, la latence et plus encore.
Les attaques « lentes et faibles » bloquent les ressources du serveur, ne laissant aucune ressource disponible pour répondre aux requêtes des utilisateurs réels. Cette fonctionnalité permet de configurer et de faire appliquer des valeurs de délai d’expiration des requêtes et de délai d’expiration des en-têtes de requête.
F5 Distributed Cloud App Firewall prend en charge l’inspection des deux protocoles API les plus populaires : GraphQL et REST.
Apprentissage automatique avancé qui permet le balisage et l’analyse des points de terminaison d’API pour les applications afin de découvrir les points de terminaison d’API et d’effectuer une analyse comportementale. Sont concernés les schémas de requête et de réponse, la détection des données sensibles et l’état d’authentification. Fourniture de jeux d’API d’inventaire et fantômes avec génération de spécifications OpenAPI (OAS).
Importez de fichiers de spécification OpenAPI pour définir des groupes d’API et définir des règles pour contrôler l’accès et faire appliquer le comportement des API.
La fonctionnalité d’application des spécifications d’API offre un modèle de sécurité positif pour les API, permettant à l’organisation de faire appliquer facilement le comportement d’API souhaité en fonction des caractéristiques des requêtes d’API valides. Ces caractéristiques sont utilisées pour valider les données d’entrée et de sortie pour des éléments tels que le type de données, la longueur minimum ou maximum, les caractères autorisés ou les plages de valeurs valides.
Comprend la capacité d’apprendre et de détecter le type d’authentification et le statut des points de terminaison d’API, ainsi que la cote de risque de l’API. La fonctionnalité API Endpoints Risk Score fournit aux utilisateurs une mesure complète du risque associé à leurs points de terminaison API. La cote de risque est calculée à l’aide de diverses techniques, telles que la découverte des vulnérabilités, l’impact des attaques, la valeur commerciale, la probabilité d’attaque et les contrôles d’atténuation. Cela aide les organisations à évaluer et à hiérarchiser les vulnérabilités des API afin d’identifier rapidement les API qui nécessitent des mesures de sécurité supplémentaires.
Les entreprises peuvent contrôler de manière granulaire la connectivité des points de terminaison d’API et les types de requêtes. Elles peuvent identifier, surveiller et bloquer des clients et des connexions spécifiques ou définir des seuils particuliers. Il s’agit notamment de refuser (bloquer) l’inscription en fonction de l’adresse IP, de la région/du pays, de l’empreinte ASN ou TLS, ainsi que de règles plus avancées définissant des critères de correspondance spécifiques guidant les interactions de l’application et de l’API avec les clients, notamment la méthode HTTP, le chemin, les paramètres de requête, les en-têtes, les cookies, etc. Ce contrôle granulaire des connexions et des requêtes d’API peut être effectué pour des API individuelles ou pour un domaine entier.
La limitation du débit contrôle le taux de requêtes entrant ou sortant des points de terminaison de l’API.
Détectez des modèles de données personnelles identifiables génériques (carte de crédit, numéro de sécurité sociale) ou moins courants et personnalisés (adresses, noms, numéros de téléphone) dans les réponses de l’API, puis masquez les données sensibles ou bloquez les points de terminaison de l’API qui transmettent des informations sensibles.
Le moteur de signature WAF comprend des signatures uniques pour les menaces automatisées et les techniques de bot, y compris les robots d’exploration, les attaques DDoS/DoS et plus encore.
Protège les applications contre les attaques automatisées en tirant parti des appels JavaScript et API pour collecter des données de télémesure et atténuer les attaques sophistiquées avec une analyse constante par apprentissage automatique des données de signal pour répondre rapidement au réoutillage des robots, aux mises à jour dynamiques des modèles de détection en temps réel conçus pour se protéger contre tous les cas d’utilisation des robots, par exemple le credential stuffing, la prise de contrôle des comptes, les faux comptes, etc.
Fournit une protection multiphase pour les applications Web contre le détournement de formulaires, Magecart, l’écrémage numérique et d’autres attaques JavaScript malveillantes. Ce système de protection multiphase comprend la détection, l’alerte et l’atténuation.
Transit réseau de couche 3 entre les clouds publics, les centres de données sur site et les sites périphériques distribués.
Intégrez des services de pare-feu réseau tiers tels que BIG-IP et Palo Alto Networks sur plusieurs réseaux cloud.
Isolement granulaire du réseau et microsegmentation pour sécuriser les segments de réseau dans les locaux et sur les réseaux de cloud public.
Chiffrement TLS natif pour tous les transits de données sur les réseaux.
Provisionnement et orchestration automatisés des concepts de réseaux de cloud public.
Services d’équilibrage de charge distribués pour les requêtes TCP, UDP et HTTPS entre les clusters d’applications sur plusieurs clouds.
Politiques de sécurité granulaires pour contrôler l’accès aux points de terminaison et aux clusters d’API dans les environnements de Distributed Cloud.
Identifier la disponibilité des services sur les clusters d’applications distribués.
Application des politiques basées sur le routage pour le trafic HTTP et HTTPS.
Chiffrement TLS natif pour tous les transits de données sur les réseaux.
La détection des utilisateurs malveillants par IA/apprentissage automatique effectue une analyse du comportement des utilisateurs et attribue un score de suspicion et un niveau de menace en fonction de l’activité de chaque utilisateur. Les interactions avec les clients sont analysées en s’intéressant à la façon dont un client donné peut être comparé aux autres clients : le nombre de règles WAF touchées, les tentatives d’accès interdites, les échecs de connexion, les taux d’erreur, etc. L’atténuation des utilisateurs malveillants est une capacité de réponse adaptative et de défi basée sur les risques, proposant différents défis tels que le défi Javascript ou Captcha ou bloquant temporairement en fonction du niveau de menace de l’utilisateur.
Permet la micro-segmentation et la prise en charge de la sécurité avancée au niveau de la couche applicative avec le développement de listes d’autorisation/refus, le filtrage IP géographique et la création de règles personnalisées pour agir sur les requêtes entrantes : critères de correspondance et de contrainte de requête basés sur une variété d’attributs/paramètres TLS empreinte digitale, zone géographique/pays, préfixe IP, méthode HTTP, chemin, en-têtes et plus encore.
Le partage de ressources inter-origines (Cross-Origin Resource Sharing, CORS) est utile dans toute situation où le navigateur, par défaut, refusera une requête inter-origine et où vous avez un besoin spécifique de les activer. La politique CORS est un mécanisme qui utilise des informations d’en-tête HTTP supplémentaires pour informer un navigateur afin de permettre à une application Web exécutée au niveau d’une origine (d’un domaine) d’accéder à une sélection de ressources à partir d’un serveur au niveau d’une origine différente.
Identification des adresses IP réelles des clients pour la surveillance, la journalisation, la définition des politiques d’autorisation/refus, etc. Lorsque cette fonctionnalité est activée, les événements de sécurité et les journaux de requêtes afficheront cette adresse IP réelle du client comme adresse IP source.
La prise en charge du TLS et du Mutual TLS pour l’authentification avec une autorisation basée sur l’équilibreur de charge/le proxy permet d’appliquer la sécurité de bout en bout du trafic des applications. Mutual TLS prend en charge la possibilité d’envoyer des détails de certificat client aux serveurs d’origine dans les en-têtes de requête x-forwarded-client-cert (XFCC).
Support fourni par diverses méthodes : émission de ticket sur console, assistance par e-mail et par téléphone.
Accords de niveau de service (SLA) de disponibilité (99,99 %)
Audit Logs (30 jours)
Indicateurs (< 30 jours)
Journaux de requêtes (< 30 jours)