Sécuriser les applications avec les solutions F5

Cet atelier sur la sécurité donne aux participants l’occasion d’expérimenter de nombreux composants des solutions de sécurité de F5 dans un environnement de laboratoire pratique en utilisant un scénario de déploiement d’applications réelles. L’objectif du cours est de mettre en pratique les capacités étendues du système BIG-IP pour protéger la livraison des applications dans le contexte actuel de menaces croissantes, et d’aider le public à penser différemment la sécurité des applications.

Les laboratoires de cet atelier sont conçus pour démontrer comment vous pourriez déployer certaines des solutions de sécurité de F5 pour protéger les applications à différentes couches du modèle de référence OSI. Le cours se concentre sur certaines des caractéristiques et fonctionnalités disponibles dans plusieurs modules BIG-IP, notamment :

• BIG-IP Local Traffic Manager (LTM)
• BIG-IP Advanced Firewall Manager (AFM)
• BIG-IP Application Security Manager (ASM)
• BIG-IP Access Policy Manager (APM)
• Service de protection contre la fraude BIG-IP (FPS), également connu sous le nom de F5 WebSafe

Objectifs de l’atelier

À l’issue de ce laboratoire, vous pourrez utiliser une gamme de solutions de sécurité F5 sur le système BIG-IP et sur le client pour détecter, atténuer et protéger contre de nombreuses attaques et « exploits » couramment employés contre les applications web.

Sujets des ateliers

• Utilisation des politiques de trafic local L7 pour diriger le trafic attendu d’un serveur virtuel public vers des serveurs virtuels privés pour traitement supplémentaire
• Configuration et utilisation de l’enregistrement des événements de sécurité pour surveiller les modèles de trafic légitimes et détecter les aberrations
• Utiliser des règles de pare-feu réseau pour protéger les ressources du périmètre à L3/4
• Utiliser un pare-feu d’application web pour détecter et protéger les ressources du périmètre contre les signatures d’attaques connues
• Utilisation d’un pare-feu d’application web sur les ressources internes pour appliquer un modèle de sécurité positif et protéger des fuites de données
• Utilisation d’iRules pour aider à conserver les informations d’identité des clients se connectant à partir de CDN et d’autres réseaux proxy
• Autoriser la résolution DNS par le système BIG-IP et mettre en place une protection contre les types de requêtes non autorisées et les demandes de résolution récursives
• Atténuer les attaques par déni de service en utilisant les politiques de protection et d’expulsion DoS
• Atténuer les vecteurs d’attaque L3/4 connus dans le périmètre
• Utilisation d’une passerelle web sécurisée pour catégoriser et filtrer les pages web en vue de leur utilisation dans les contrôles d’accès
• Mise en œuvre des contrôles d’accès pour empêcher l’accès non autorisé à des applications sensibles
• Consolidation de la fonctionnalité de connexion pour tous les domaines sur un seul domaine
• Mise en œuvre de l’accès par signature unique (SSO) à des applications multiples
• Utiliser les services de protection contre la fraude (WebSafe) pour protéger l’intégrité des données partagées entre les clients et les applications auxquelles ils se connectent
• Utilisation de la page de connexion au FPS pour fournir des alertes en cas de connexion réussie ou non à une application
• Utilisation de la fonction de transactions automatiques du FPS pour aider à différencier le trafic « humain » du trafic des robots
• Utilisation de la fonction de détection des logiciels malveillants du FPS pour reconnaître les logiciels malveillants sur les clients et empêcher leur introduction dans les applications auxquelles les clients se connectent
• Utilisation de la fonction de cryptage de la couche application du SFP pour crypter automatiquement les données du formulaire sur le client au fur et à mesure qu’elles sont saisies dans un champ du formulaire

Public cible

Cet atelier est destiné aux administrateurs de sécurité et de réseau qui sont responsables de la protection des applications fournies par un système BIG-IP, et qui souhaitent avoir une vision plus globale de l’utilisation des solutions F5 pour obtenir une plus grande sécurité des applications.

Connaissances requises

Les certificats F5 suivants sont requis :

• Administrateur BIG-IP certifié F5

Une connaissance pratique et une expérience du déploiement de configurations utilisant un ou plusieurs des modules BIG-IP suivants sont requises :

• BIG-IP Local Traffic Manager (LTM)
• BIG-IP Application Security Manager (ASM)
• BIG-IP Advanced Firewall Manager (AFM)
• BIG-IP Access Policy Manager (APM)
• Service de protection contre la fraude (FPS) – également connu sous le nom de WebSafe

Il s’agit d’un atelier avancé qui n’est pas conçu pour enseigner aux étudiants comment configurer ces produits de manière isolée. Pour une expérience pratique d’apprentissage de la configuration de chacun de ces produits, nous recommandons de suivre d’abord l’un de nos cours Configurer .

Changements majeurs apportés au cours depuis la version v12

Le cours Sécuriser les applications avec les solutions BIG-IP v13.1 présente le même contenu que la v12, avec des modifications mineures pour améliorer la fluidité, et les mises à jour nécessaires aux améliorations de la v13.1.