BLOG

Comment le WAF de F5 a acquis sa compétence en matière de sécurité AWS

Miniature de Tom Atkins
Tom Atkins
Publié le 13 octobre 2017

La sécurité des application est un élément fondamental de la plate-forme ADC de F5, le BIG-IP offrant une protection de pare-feu application Web de pointe, ainsi qu'un accès sécurisé et unifié pour les applications situées n'importe où dans une architecture multi-cloud. Et même si nous prétendons fournir la solution de sécurité la plus complète disponible, nous ne prétendons pas être le seul acteur du marché, ce qui compliquerait la décision de l’acheteur en raison de la myriade d’alternatives envisagées. Cependant, pour ceux qui cherchent à atténuer les attaques sur les applications déployées dans le cloud public, AWS a pris une mesure pour simplifier la phase de réflexion du parcours de l'acheteur avec la sortie de son programme AWS Security Competency, au sein duquel F5 a récemment annoncé l'inclusion de son pare-feu application Web, BIG-IP Application Security Manager (ASM). Dans cet article, nous allons approfondir la manière dont la solution WAF de F5, qui offre une protection avancée des application L7 et des attaques DDoS, est devenue membre de ce club exclusif…

Figure 1 – Modèle de responsabilité partagée AWS

AWS continue de souligner l'importance de son modèle de responsabilité partagée (Figure 1, ci-dessus), selon lequel les propriétaires application sont responsables de la sécurité dans le cloud (machines virtuelles, système d'exploitation, applications et données), tandis qu'AWS est responsable de la sécurité du cloud (matériel, logiciel, réseau et installations). C'est là qu'intervient le programme Security Competency, en présentant aux utilisateurs d'AWS une liste concise de fournisseurs tiers qui ont démontré leur succès et leur compétence technique dans la fourniture de solutions de sécurité pour les applications hébergées par AWS dans le cloud, éliminant ainsi essentiellement un certain nombre de fournisseurs inadéquats de la liste de considération .

Les 3 catégories d'exigences pour obtenir la compétence en sécurité AWS

L'obtention des compétences en matière de sécurité AWS n'a pas été une promenade de santé, les partenaires devant se conformer à une multitude d'exigences dans trois domaines distincts :

Le premier d’entre eux s’articule autour des références clients et vise essentiellement à prouver la valeur de la solution. Pour cocher cette case, F5 a fourni à AWS un certain nombre de rapports de projets de sécurité terminés, décrivant de manière complexe les énoncés des problèmes des clients et la manière dont le WAF de F5 a fourni la solution. Parmi ces témoignages clients, deux ont été approuvés publiquement pour illustrer davantage une sélection de cas d’utilisation et d’avantages dans les environnements de production.

La deuxième catégorie se concentre sur les fonctionnalités du produit et du déploiement, ainsi que sur toute fonctionnalité générale spécifique à l’infrastructure AWS. Pour réussir ici, F5 devait présenter une documentation complète sur la configuration, l'utilisation et les compétences de BIG-IP ASM Virtual Edition, ainsi que des directives dédiées au déploiement du WAF dans une topologie hautement disponible (HA). Dans le cadre de la documentation, AWS exige explicitement que F5 fournisse une liste de toutes les réglementations de conformité que la solution prend en charge, ce qui permet aux clients d'ignorer plus facilement les autres fournisseurs qui pourraient ne pas répondre aux attentes. Enfin, la capacité de la solution WAF à crypter les données a été vérifiée, avant de présenter son intégration profonde avec le service de gestion basé sur les rôles IAM d'AWS, garantissant que les utilisateurs sont en mesure de réguler en toute sécurité l'accès à l'appareil.

Figure 2 – Solution de mise à l'échelle automatique F5 WAF pour AWS

Le troisième et dernier ensemble d’exigences se concentre sur l’ intégration du WAF avec les services AWS pour améliorer la sécurité et la disponibilité de la solution. Étant donné que la solution WAF de F5 prend en charge la mise à l'échelle automatique via un modèle CloudFormation (comme décrit dans ce post précédent et illustré dans la Figure 2), elle a satisfait aux exigences de « sécurité de l'infrastructure » en s'intégrant à AWS Auto Scale et AWS ELB, tout en démontrant également sa capacité à fonctionner sur plusieurs zones de disponibilité. Ensuite, « journalisation et surveillance » — une autre coche facile ici avec la solution de mise à l'échelle automatique s'appuyant fortement sur AWS CloudWatch pour surveiller les instances en temps réel afin de fournir des alarmes et de déclencher des événements de mise à l'échelle. Pour la dernière étape, l’équipe de sécurité AWS a effectué une évaluation de la vulnérabilité du WAF, avant de s’assurer qu’il répondait à toutes les exigences de protection des données et prenait en charge les obligations nécessaires en matière d’identité et d’accès.

Après avoir satisfait à toutes les exigences avec brio, AWS a ensuite publié la solution WAF de F5 sur sa page Security Partner Solutions pour que tout le monde puisse la voir, tout en décernant à F5 cette nouvelle distinction brillante en reconnaissance de cette réussite :

Pour obtenir des informations sur la solution WAF de F5, vous pouvez consulter la fiche technique de BIG-IP ASM ou la consulter sur AWS Marketplace ici .