Selon le rapport 2021 de Forrester sur l'état de la sécurité des applications, pas moins de 39 % de toutes les cyberattaques de l'année dernière ont ciblé des applications Web, et pour une bonne raison. La nature publique des applications Web, leur surface tentaculaire et le risque omniprésent de vulnérabilités du code les rendent notoirement difficiles à protéger, augmentant ainsi les chances de réussite des attaquants. Une étude menée par Positive Technologies a révélé que, lors de tests de pénétration, les charges de travail contenaient en moyenne 22 vulnérabilités de sécurité potentielles, dont une sur cinq était considérée comme étant de gravité élevée. Sans surprise, les vulnérabilités découvertes au cours de cette étude étaient dominées par celles constituant le Top 10 de l’OWASP , comme le montre la figure 1.
Lorsque vous exécutez des applications sur le cloud AWS, vous privilégiez parfois la mise en service rapide de vos charges de travail, au détriment de la mise en place immédiate d’une sécurité applicative essentielle. Conscients de cette tendance à négliger la sécurité applicative et du manque fréquent d’expertise sécurité interne, nous avons conçu un pare-feu natif pour applications web (WAF) facile à utiliser et à déployer rapidement. Rapide et simple à déployer, le WAF AWS repose toutefois sur des listes de contrôle d’accès web (ACL) que vous devez configurer vous-même pour protéger vos ressources, avec une personnalisation importante selon vos charges de travail variées. Cette personnalisation peut s’avérer complexe, car elle demande des connaissances spécifiques en applications et domaines ainsi qu’une bonne compréhension du paysage actuel des menaces.
C'est pourquoi AWS s'est associé à divers fournisseurs de sécurité, dont F5, pour proposer une variété d'ensembles de règles gérées qui peuvent être attachés aux instances AWS WAF, en les mettant à niveau pour atténuer une gamme de types d'attaques d'applications Web et d'API. Lorsque les clients AWS WAF attachent des ensembles de règles WAF F5 personnalisés à leurs instances WAF, les utilisateurs AWS peuvent maintenir la simplicité et la facilité d'utilisation tout en atténuant les menaces plus sophistiquées.
F5 propose actuellement quatre ensembles de règles uniques, chacun offrant une protection contre différents types de menaces :
Chacun de ces ensembles de règles est écrit, géré et régulièrement mis à jour par des spécialistes de la sécurité F5, permettant ainsi aux clients de protéger leurs applications contre les menaces en constante évolution, sans aucune intervention de l'utilisateur AWS WAF. Que les règles soient appliquées à des instances AWS WAF nouvelles ou existantes, à des équilibreurs de charge d'application AWS ou à AWS CloudFront, n'importe lequel des ensembles de règles F5 peut être attaché en quelques minutes à partir de la console AWS WAF en quelques clics
Vous pouvez trouver plus d'informations sur chacun de nos ensembles de règles sur leurs listes AWS Marketplace respectives :
Si vous souhaitez tester l'une de nos règles avec votre AWS WAF et avez des questions ou besoin d'aide, connectez-vous et posez votre question sur le site communautaire F5 DevCentral. Un de nos experts techniques ou un membre de notre remarquable communauté vous accompagnera pour bien démarrer. Découvrez également plus d’informations dans les ressources ci-dessous ou contactez le service commercial F5 pour un soutien supplémentaire.