Verbessern Sie Ihre API-Sicherheit auf AWS mit neuen verwalteten Regeln für AWS WAF
Es ist kein großes Geheimnis, dass die Zahl der Anwendungen weltweit exponentiell wächst. Schauen Sie sich einfach jedes beliebige Unternehmen an, und Sie werden feststellen, dass die breite Palette der genutzten Workloads von nach außen gerichteten Marketing- und E-Commerce-Workloads bis hin zu intern ausgerichteten Produktivitäts- und HRM-Apps reicht. Und sehr oft sind diese Horden von Apps eng miteinander verflochten und voneinander abhängig, sodass durch den Hin- und Herversand von API-Anfragen zwischen ihnen ein komplexes Netz aus „Geplapper“ entsteht. Diese APIs ermöglichen es Ihren Mitarbeitern, Kunden und Partnern, von anspruchsvollen Anwendungen zu profitieren, erweitern jedoch auch Ihren Bedrohungsperimeter und bieten eine weitere Angriffsfläche für Cyberangriffe. Tatsächlich zielten die jüngsten Sicherheitsverletzungen bei Amazon, Facebook und sogar der Sicherheitskonferenz Black Hat allesamt auf anfällige APIs ab – was zu massivem Datenverlust führte.
Unser Ziel bei F5 ist es, die Sicherheit jeder App überall zu gewährleisten.
Da nicht alle Apps gleich sind und unternehmenskritische Anwendungen Vorrang vor weniger sensiblen Workloads haben, wissen wir auch, dass es unglaublich schwierig und kostspielig sein kann, alle Anwendungsschnittstellen Ihres gesamten Portfolios zu sichern. Aus diesem Grund greifen viele Unternehmen auf Cloud-native Sicherheitslösungen zurück, um ihre weniger sensiblen Apps zu schützen, während sie sich zum Schutz ihrer kritischeren Workloads auf ein F5 Advanced WAF verlassen. Doch wie viele Unternehmen (auf die harte Tour) erfahren mussten, kann jede Anwendungsschnittstelle einen Einstiegspunkt in Ihr Netzwerk und Ihre Daten darstellen, was bedeutet, dass eine „ ausreichende “ Sicherheit in Wirklichkeit nicht gegeben ist.
Wie Sie sich vielleicht erinnern, ist F5 im letzten Jahr eine Partnerschaft mit AWS eingegangen, um drei Sätze verwalteter Regeln bereitzustellen, die auf die native WAF von AWS aufgesetzt werden können, um die Sicherheitsfunktionen um Bot-, OWASP- und CVE-Schutz (Common Vulnerabilities and Exposures) zu erweitern. Aufbauend auf dieser Integration freuen wir uns, einen weiteren Regelsatz zu veröffentlichen, der sich ausschließlich auf den Schutz Ihrer APIs vor bestehenden und neuen Bedrohungen konzentriert, darunter XML External Entity (XXE)-Angriffe und Server-Side Request Forgery (SSRF).
Da AWS API Gateway vor Kurzem Unterstützung für AWS WAF hinzugefügt hat, ist das Hinzufügen der verwalteten Regeln für den API-Schutz von F5 eine schnelle und einfache Möglichkeit, Ihre API-Sicherheitslage hier zu verbessern, ohne dass Sie über Sicherheitskenntnisse verfügen oder eine erweiterte WAF-Lösung einführen müssen. Neben der Unterstützung von APIs innerhalb von API Gateway schützen die Regeln auch verschiedene andere gängige Web-API-Frameworks.
Alle Regeln werden von F5-Sicherheitsexperten geschrieben, verwaltet und regelmäßig aktualisiert, sodass Sie sich nie darum kümmern müssen, Versionen zum Schutz vor neu auftretenden Schwachstellen manuell zu aktualisieren. Die Regeln können mit wenigen Klicks auf bestimmte Anwendungen angewendet und nach einem Pay-as-you-go-Nutzungsmodell ohne Verträge oder andere Verpflichtungen lizenziert werden.
Weitere Informationen zu den verwalteten Regeln von F5 für AWS WAF finden Sie im AWS Marketplace:
- API-Sicherheitsregeln
- Bot-Schutzregeln
- Web Exploits – OWASP-Regeln
- Häufige Schwachstellen und Risiken
Oder sehen Sie sich das Advanced WAF von F5 an, das alles bietet, was in den Regeln abgedeckt ist, und noch viel, viel mehr: