Annonce des ensembles de règles gérées F5 pour AWS WAF

En novembre dernier, sur le stand de F5 à AWS re:Invent, nous avons interrogé des professionnels de l'informatique pour savoir si leur plus grand défi en matière d'applications résultait de la sécurité, d'un manque de compétences ou de la complexité de la migration vers le cloud. Sans surprise, la principale préoccupation était de loin la sécurité – après tout, les attaques d’applications Web ont été la première source de violations de données en 2017, selon Verizon .

Cependant, toutes les applications ne sont pas identiques et les exigences de sécurité diffèrent donc en fonction d’un certain nombre de facteurs, notamment l’objectif commercial, le lieu de déploiement, la sensibilité ou l’importance des données utilisateur et les exigences réglementaires. Et pour certaines applications, les fonctionnalités avancées et la protection offertes par les pare-feu d'applications Web de niveau entreprise (tels que BIG-IP ASM de F5) peuvent ne pas être nécessaires, du moins pas au début, et un pare-feu plus basique comme le WAF natif d'un fournisseur de cloud suffira.

Pour les constructeurs qui ont, ou envisagent d'implémenter, un AWS WAF pour mettre en avant leurs applications, nous avons des nouvelles passionnantes. AWS vient d' annoncer la disponibilité de nouveaux produits de règles de sécurité gérées F5 sur AWS WAF. Ces produits peuvent être utilisés conjointement avec le WAF AWS natif pour renforcer la posture de sécurité globale de vos applications. F5 a développé 3 ensembles de règles distincts, chacun offrant une protection unique contre différents types de menaces. Ce sont :

• Protection contre les robots – Empêche les activités de robots malveillants tels que les scanners de vulnérabilité, les scrapers Web, les outils DDoS et les outils de spam de forum.
• Vulnérabilités CVE – Protège contre les vulnérabilités et expositions courantes (CVE) ciblant les systèmes tels qu'Apache, Bash, Java, MySQL, Ruby On Rails et WordPress.
• Exploits Web – Protège contre les attaques qui font partie des 10 principales menaces de l'OWASP, notamment les scripts intersites, les injections SQL, les traversées de chemin et les ressources prévisibles.

Toutes les règles sont écrites, gérées et mises à jour régulièrement par les experts en sécurité de F5, vous n'avez donc jamais à vous soucier de la mise à jour manuelle des versions pour vous protéger contre les vulnérabilités émergentes. De plus, vous pouvez ajouter ces fonctionnalités WAF avancées à votre AWS WAF natif en quelques clics, les appliquer à des applications spécifiques et payer uniquement ce que vous utilisez sur un modèle d'utilité à la carte sans contrats ni autres engagements.

Cette solution intégrée offre aux constructeurs un moyen simple de profiter du WAF leader du secteur de F5 pour leurs applications AWS.

Ressources supplémentaires

• Considérations clés lors du choix d'un WAF
• Page produit du gestionnaire de sécurité des applications (ASM) F5 BIG-IP
• Étude de cas client – F5 WAF sur AWS