Annonce des ensembles de règles gérées F5 pour AWS WAF

En novembre dernier, au stand F5 lors d’AWS re:Invent, nous avons demandé aux professionnels IT si leur principal défi applicatif venait de la sécurité, d’un manque de compétences ou de la complexité de la migration cloud. Sans surprise, la sécurité restait de loin la plus grande préoccupation – les attaques contre les applications web étant la première cause de fuites de données en 2017, d’après Verizon.

Cependant, toutes les applications ne sont pas identiques et les exigences de sécurité diffèrent donc en fonction d’un certain nombre de facteurs, notamment l’objectif commercial, le lieu de déploiement, la sensibilité ou l’importance des données utilisateur et les exigences réglementaires. Et pour certaines applications, les fonctionnalités avancées et la protection offertes par les pare-feu d'applications Web de niveau entreprise (tels que BIG-IP ASM de F5) peuvent ne pas être nécessaires, du moins pas au début, et un pare-feu plus basique comme le WAF natif d'un fournisseur de cloud suffira.

Pour les constructeurs qui ont, ou envisagent d'implémenter, un AWS WAF pour mettre en avant leurs applications, nous avons des nouvelles passionnantes. AWS vient d' annoncer la disponibilité de nouveaux produits de règles de sécurité gérées F5 sur AWS WAF. Ces produits peuvent être utilisés conjointement avec le WAF AWS natif pour renforcer la posture de sécurité globale de vos applications. F5 a développé 3 ensembles de règles distincts, chacun offrant une protection unique contre différents types de menaces. Ce sont :

• Protection contre les robots – Empêche les activités de robots malveillants tels que les scanners de vulnérabilité, les scrapers Web, les outils DDoS et les outils de spam de forum.
• Vulnérabilités CVE – Protège contre les vulnérabilités et expositions courantes (CVE) ciblant les systèmes tels qu'Apache, Bash, Java, MySQL, Ruby On Rails et WordPress.
• Exploits Web – Vous protège contre les attaques figurant dans le Top 10 OWASP, notamment le script intersite, l'injection SQL, la traversée de répertoires et les ressources prévisibles.

Toutes les règles sont écrites, gérées et mises à jour régulièrement par les experts en sécurité de F5, vous n'avez donc jamais à vous soucier de la mise à jour manuelle des versions pour vous protéger contre les vulnérabilités émergentes. De plus, vous pouvez ajouter ces fonctionnalités WAF avancées à votre AWS WAF natif en quelques clics, les appliquer à des applications spécifiques et payer uniquement ce que vous utilisez sur un modèle d'utilité à la carte sans contrats ni autres engagements.

Cette solution intégrée offre aux constructeurs un moyen simple de profiter du WAF leader du secteur de F5 pour leurs applications AWS.

Ressources additionnelles

• Considérations clés lors du choix d'un WAF
• Page produit du gestionnaire de sécurité des applications (ASM) F5 BIG-IP
• Étude de cas client – F5 WAF sur AWS