À medida que a tecnologia de aplicação evolui, o cenário de ameaças também evolui. Medidas de segurança robustas devem seguir o exemplo. Infelizmente, ataques a aplicativos web são uma realidade e acontecem a cada minuto no mundo todo. Além disso, novos vetores de ataque que têm como alvo aplicativos móveis e APIs estão surgindo. Agora, mais do que nunca, são necessárias ferramentas abrangentes de segurança de API e web.
A F5 continua investindo em segurança de APIs e aplicativos web, com um amplo portfólio de soluções para proteger aplicativos onde quer que sejam implantados. Como resultado da evolução do portfólio WAF, a F5 colocou oficialmente o BIG-IP Application Security Manager (ASM) no status de Fim de Venda (EoS) a partir de 1º de abril ., 2021 ( Anúncio de suporte F5 – K72212499 ).
A F5 inicialmente ofereceu ASM a partir de 2004. Nosso portfólio WAF se expandiu significativamente desde então para incluir F5 Advanced WAF , F5 Silverline Managed WAF e NGINX App Protect (NAP). Queremos garantir que você obtenha a melhor solução da F5 que atenda às suas necessidades específicas e, ao mesmo tempo, otimize nossas ofertas. O Advanced WAF tem sido a principal oferta de WAF desde seu lançamento, pois inclui todos os recursos e funcionalidades do BIG-IP ASM, além de vários recursos expandidos.
Como cliente do BIG-IP ASM, você pode continuar a consumir o ASM até o final do seu contrato ou assinatura (se desejar) sem qualquer impacto. Você poderá renovar seu contrato de serviço com base na licença adquirida inicialmente. Mas você não poderá mais comprar ou trocar por uma nova licença BIG-IP ASM a partir da data do EoS.
Outra alternativa — e talvez melhor pelos muitos motivos listados abaixo — é que os clientes existentes atualizem para o Advanced WAF versão 14.1 ou superior (ou troquem de licença se estiverem executando o ASM 14.1) sem custo a partir da data do fim do serviço. Como o Advanced WAF é baseado na mesma tecnologia comprovada do BIG-IP ASM, a migração é simples. Para aproveitar essa migração sem custos, basta reativar sua chave de licença e, após a migração, você começará a ver os sinalizadores de recursos do Advanced WAF listados aqui:
O Advanced WAF da F5 oferece melhor usabilidade e aprimoramentos na proteção de aplicativos, incluindo novas configurações guiadas que simplificam a implantação, painéis que fornecem maior visibilidade, recursos expandidos de proteção L7 DoS, recurso DataSafe que protege campos de dados confidenciais contra comprometimento em tempo real e proteção para APIs. Alguns aprimoramentos, como Campanhas de Ameaças, também estão disponíveis como complementos para compra depois que uma licença for reativada e atualizada para a versão 14.1 ou superior do BIG-IP. Outro benefício dessa migração sem custos é que você continuará pagando apenas pelas taxas de suporte associadas à sua compra original . Os termos de suporte do ASM continuarão a ser aplicados após a migração para o Advanced WAF — ótimas notícias! Observe que a migração gratuita só se aplica à versão 14.1 ou superior do Advanced WAF. Para saber mais sobre como ativar sua chave de licença e detalhes adicionais sobre como a licença Advanced WAF difere do ASM, visite o DevCentral .
Outro motivo para você migrar do BIG-IP ASM de fim de venda para o F5 Advanced WAF são as proteções de API aprimoradas e a integração com estruturas modernas de desenvolvimento de aplicativos.
Com modelos de desenvolvimento Agile em vigor, ficou difícil para o SecOps acompanhar os desenvolvedores de aplicativos e as equipes de DevOps para implementar controles de segurança adequadamente. Os aplicativos modernos são compostos de microsserviços e APIs e usam software de código aberto, aumentando o risco e a área de superfície de ameaça. Um e-book recente da Gartner aponta a malha de segurança cibernética como a segurança e o risco número 1 deste ano (2021). Por que a segurança continua sendo um desafio?
Os processos de desenvolvimento contemporâneos são baseados em princípios de integração contínua/desenvolvimento contínuo (CI/CD), onde os controles de segurança — especialmente WAF — são frequentemente colocados no final ou fora do Ciclo de Vida de Desenvolvimento de Software (SDLC). Portanto, se o DevOps encontrar um teste com falha no estágio “Operar”, ele será tratado como uma configuração incorreta de segurança. Isso pode criar tensão entre DevOps e SecOps (mais uma vez) e forçar o DevOps a retornar ao código, repará-lo e, então, prosseguir para implantar, operar e monitorar, perdendo tempo de lançamento no mercado e reduzindo a vantagem competitiva.
No entanto, quando transferimos os controles de segurança deixados no pipeline de CI/CD, DevOps e SecOps compartilham a responsabilidade da segurança durante todo o processo e tratam qualquer "configuração incorreta de segurança" como casos de uso de teste ausentes na fase de desenvolvimento.
Para lidar melhor com essa situação, o F5 pode alinhar a construção e a definição da linha de base da política do WAF ao processo de desenvolvimento. O F5 alavanca uma abordagem que permite que controles de política de infraestrutura e segurança sejam fornecidos como código na forma de uma API declarativa. Isso permite que os clientes do F5 Advanced WAF automatizem tanto a implantação de aplicativos quanto as políticas do WAF, conforme ilustrado no diagrama abaixo:
E assim como o código-fonte do aplicativo, as políticas do F5 WAF podem residir em um repositório, permitindo que o SecOps possua e mantenha controles de segurança comuns que podem ser integrados ao pipeline de desenvolvimento como qualquer outro pedaço de código. Essa abordagem ajuda DevOps e SecOps a preencher lacunas operacionais e levar aplicativos ao mercado mais rapidamente, com menor custo e maior eficiência de segurança. Confira este Guia de Soluções para saber mais sobre automação de segurança para DevOps com o F5 Advanced WAF.
Outra opção para clientes do BIG-IP ASM que desejam migrar é o NGINX App Protect (NAP), que fornece tecnologia F5 WAF na plataforma NGINX . O NGINX App Protect é simples, leve e fácil de operar, oferecendo segurança comprovada do Advanced WAF, já que o mecanismo Advanced WAF serve como base do NGINX App Protect.
O mecanismo Advanced WAF da F5 também é a base para os serviços de segurança de aplicativos da web da F5, incluindo o Silverline Managed WAF, que fornece os controles robustos de segurança de aplicativos do Advanced WAF como um serviço totalmente gerenciado. Ao incorporar o mecanismo Advanced WAF ao Silverline, os clientes podem facilmente aplicar as políticas de segurança ASM atuais ao Silverline Managed WAF.
O mecanismo F5 Advanced WAF permite que políticas consistentes de proteção WAF sejam portáteis para qualquer ambiente, incluindo nuvens públicas/privadas, locais e até mesmo ambientes híbridos. A familiaridade da interface do usuário, políticas semelhantes e criação de políticas em todas as ofertas da F5 aproveitando o mecanismo F5 Advanced WAF (F5 Advanced WAF, Silverline Managed WAF e NGINX App Protect) oferece aos clientes uma experiência simples, unificada e consistente em todo o portfólio WAF da F5.
Para saber mais sobre a migração do BIG-IP ASM, entre em contato com a F5 ou seu parceiro de canal aplicável. Além disso, participe do próximo webinar ao vivo às 10h PT na terça-feira, 15 de junho: Atualize sua proteção WAF avançada F5 e interrompa o tráfego de bots indesejados .