BLOG

Rückblick auf ein weiteres Jahr voller Innovationen für F5 auf AWS

Tom Atkins Miniaturbild
Tom Atkins
Veröffentlicht am 07. Dezember 2018

Letzte Woche war Las Vegas Gastgeber der bislang größten AWS re:Invent-Konferenz – mit über 50.000 Teilnehmern, die gespannt darauf waren, mehr über die neuesten und besten Plattformentwicklungen des Cloud-Giganten zu erfahren. Und jetzt, da sich der Staub gelegt hat und die Nevada-Kater nachlassen, gibt es keinen besseren Zeitpunkt, um auf ein weiteres dynamisches und produktives Jahr für F5 bei AWS zurückzublicken. Lehnen Sie sich also zurück, legen Sie die Füße hoch und schauen Sie sich gemeinsam einige der bemerkenswertesten Fortschritte von F5 im vergangenen Jahr bei AWS genauer an, darunter:

  1. Verfügbarkeit der BIG-IP Cloud Edition im AWS Marketplace
  2. Verfügbarkeit von F5 Advanced WAF im AWS Marketplace
  3. Früher Zugriff auf F5-Cloud-Dienste
  4. Integration mit Security Hub
  5. AWS Transit Gateway-Unterstützung
  6. Fortschritt der CloudFormation-Vorlage und ein AWS QuickStart
  7. Verfügbarkeit im AWS Intelligence Community (IC) Marketplace
  8. Von F5 verwaltete Regeln für AWS WAF

 

1) Verfügbarkeit der BIG-IP Cloud Edition im AWS Marketplace

Kurz gesagt: BIG-IP Cloud Edition auf AWS vereint die branchenführenden virtuellen Anwendungsdienste pro App von F5 mit den massiv erweiterten zentralisierten Verwaltungsfunktionen von BIG-IQ. Angesichts des stetigen Wachstums der Anwendungsportfolios und des zunehmenden Bedarfs an Automatisierung und Agilität gibt es nichts Besseres, als dedizierte und optimal dimensionierte Anwendungsdienste mit tiefgehenden und aufschlussreichen Analysen, Self-Service für App-Teams und automatischer Skalierung zu kombinieren … oder nicht?

Im Grunde formuliert BIG-IP Cloud Edition die mittlerweile falsche Vorstellung neu, dass Sie sich zwischen branchenführenden App-Diensten und Entwicklungsflexibilität entscheiden müssen. Mit der BIG-IP Cloud Edition können Sie beides wählen und dem wachsenden Druck auf die IT durch die digitale Transformation begegnen. F5-Kunden können BIG-IP Cloud Edition jetzt in ihrer AWS-Umgebung testen und bereitstellen.

Sehen Sie sich den Lösungsleitfaden für BIG-IP Cloud Edition an oder besuchen Sie die Produktseite im AWS Marketplace.

2) Verfügbarkeit von F5 Advanced WAF auf AWS Marketplace

An diesem Punkt der anhaltenden Public-Cloud-Saga sind die meisten von uns mit dem Konzept des gemeinsamen Sicherheitsmodells vertraut. Dabei ist der Cloud-Anbieter für die Sicherheit der zugrunde liegenden Cloud-Infrastruktur verantwortlich, während die Verantwortung für die Sicherung der Apps und Daten beim Benutzer liegt.

Gleichzeitig entwickeln Cyberkriminelle ihre Angriffsmethoden ständig weiter und nutzen Schwachstellen aus, um neue Wege zu finden, auf Apps zuzugreifen und diese zu beeinflussen. Über die typischeren Angriffsmethoden hinaus, die Sicherheitsexperten schon seit Jahren vor Probleme stellen (XSS, Injection usw.), werden heutzutage innovativere und ausgefeiltere Mechanismen eingesetzt, um Apps zu bedrohen – von Malware- und Bot-bezogenen Angriffen bis hin zu ressourcenbelastenden DoS-Angriffen. Aufgrund dieser fortgeschrittenen Bedrohungen ist die Implementierung der fortschrittlichsten Anwendungssicherheitslösung auf dem Markt beim Schutz öffentlicher Cloud-Apps kein Luxus, sondern eine Notwendigkeit.

Anschließend veröffentlichte F5 die umfassendste WAF-Lösung der Branche – Advanced WAF – verfügbar auf AWS, um den Workload-Schutz vor den komplexesten Angriffen zu gewährleisten. Zu den erweiterten WAF-Funktionen gehören verhaltensbasierte DoS-Erkennung und -Minderung auf Layer 7, Schutz der Anmeldeinformationen und proaktive Bot-Abwehr.

Weitere Einzelheiten finden Sie auf unserer Advanced WAF-Webseite oder im AWS Marketplace .

3) Frühzeitiger Zugriff auf F5-Clouddienste

Bei re:Invent haben wir uns unglaublich gefreut, die Funktionen unserer innovativen neuen Servicebereitstellungsplattform bekannt zu geben, die auf der AWS SaaS Factory basiert. Bei F5 Cloud Services handelt es sich zunächst um eine Early-Access-Vorschau . Interessenten können kostenlosen und sofortigen Testzugriff auf die Vorschau der folgenden F5 Cloud Services erhalten:

  • DNS – Ein weltweit verteilter, autoritativer DNS-Dienst mit integriertem, auf DNS ausgerichtetem DDoS-Schutz.
  • GSLB – Der F5 Global Server Load Balancing (GSLB)-Dienst bietet intelligenten Lastausgleich für Cloud- und Hybrid-basierte Anwendungsbereitstellungen.

Sehen Sie sich die Ankündigung zu den F5 Cloud Services an und melden Sie sich hier für die Early-Access-Vorschau an.

4) Integration mit AWS Security Hub

Als AWS während Andy Jassys re:Invent-Keynote seinen neuen Security Hub-Dienst vorstellte, ist den aufmerksamen Zuschauern unter Ihnen vielleicht der vertraute große rote Ball auf dem Bildschirm aufgefallen. Spannend ist, dass F5 tatsächlich Startpartner dieses neuen Tools war und Kunden die Möglichkeit bietet, Advanced WAF und BIG-IP ASM Virtual Edition in diese zentrale Berichtskonsole zu integrieren. Auf diese Weise können Sicherheitsteams vordefinierte Warninformationen (wie Angriffstyp, Quelle usw.) aus blockiertem Datenverkehr zur weiteren Überprüfung an den AWS Security Hub weiterleiten. Darüber hinaus kann AWS Security Hub mithilfe automatisierter Konformitätsprüfungen F5 WAF-Konfigurationen bewerten, um die Konformität mit Branchenanforderungen sicherzustellen.

Weitere Informationen zur Integration von F5 mit Security Hub finden Sie in diesem Artikel .

5) AWS Transit Gateway-Unterstützung

AWS Transit Gateway (TGW) war ein weiterer Dienst, der bei re vorgestellt wurde: Invent, und F5 war erneut Startpartner. Im Wesentlichen handelt es sich bei TGW um eine neue zentralisierte Routing-Konstruktion, die die Art und Weise verbessern soll, wie verschiedene Netzwerke das Routing untereinander durchführen. Frühere AWS-Routing-Konstrukte wie VPC-Peering lieferten ähnliche Ergebnisse, waren jedoch dezentralisiert und eingeschränkt.

Angesichts der Fülle an Möglichkeiten, wie die Funktionalität zum Vorteil der F5-Kunden eingesetzt werden kann, sind wir hiervon möglicherweise noch begeisterter als von AWS. Ein Beispiel hierfür könnte die Verwendung von TGW sein, um eine vollständige Bereinigung des Datenverkehrs in einer AWS-Umgebung zu erzwingen. Dies könnte erreicht werden, indem ein dediziertes Sicherheits-VPC erstellt wird, das mit F5 Advanced WAF-Instanzen gefüllt ist, und dann TGW-Regeln konfiguriert werden, um den gesamten eingehenden Datenverkehr über dieses VPC zu leiten. Der gesamte Datenverkehr, der dieses VPC verlässt, wird daher von bösartigem Datenverkehr bereinigt, wodurch sichergestellt wird, dass nur legitimer Datenverkehr von TGW an andere AWS-Regionen und VPCs weitergeleitet wird.

Erfahren Sie in diesem DevCentral- Artikel mehr über diesen und andere Anwendungsfälle von TGW.

6) Fortschritt bei CloudFormation-Vorlagen und ein AWS QuickStart

In den letzten Jahren hat ein Spitzenteam unserer F5-Ingenieure fieberhaft das F5-Portfolio an CloudFormation Templates (CFT) ausgebaut. Für diejenigen, die mit CFTs nicht vertraut sind: Dabei handelt es sich um eine Form von Infrastructure-as-Code, die eine einfache und automatisierte Möglichkeit zur Bereitstellung von Ressourcen auf AWS bietet. Durch die Nutzung dieser Vorlagen können Benutzer Virtual Editions innerhalb weniger Minuten in unterschiedlichen und komplexen Architekturen bereitstellen.

Zu den wichtigsten Entwicklungen des CloudFormation- Repository von F5 auf GitHub in den letzten 12 Monaten zählen:

  • Hybrid Auto Scale BIG-IP VE-Vorlagen – Stellen Sie BYOL VE-Instanzen bereit und lassen Sie bei zunehmendem Datenverkehr durch Auto-Scaling-Ereignisse die Bereitstellung zusätzlicher PAYG VE-Instanzen auslösen.
  • Automatische Skalierung über BIG-IP DNS – Verwenden Sie BIG-IP DNS, um den Datenverkehr auf einer Ebene automatisch skalierender BIG-IP VEs zu verteilen, als Alternative zur Verwendung eines AWS ELB als Load Balancer der ersten Ebene.
  • BIG-IQ License Manager VE-Vorlagen – Ermöglichen die Bereitstellung eigenständiger oder Cluster von BIG-IQ LM-Instanzen.

Neben der Entwicklung neuer CFTs war F5 auch damit beschäftigt, sein vorhandenes Auto Scale LTM CFT in einen AWS QuickStart zu verpacken, wodurch es noch einfacher wurde, eine Produktions- oder Sandbox-Umgebung einzurichten.

Informationen zu diesem neuen QuickStart finden Sie hier , während weitere Einzelheiten zu den CFTs von F5 hier verfügbar sind.

7) Verfügbarkeit auf dem AWS Intelligence Community (IC) Marketplace 

AWS C2S oder Commercial Cloud Services, wie es auch genannt wird, ist das Regierungsprogramm und Vertragsinstrument, das eine abgeschirmte, streng geheime Region der AWS-Cloud in die USA brachte. Geheimdienstgemeinschaft (IC). Dadurch konnten streng geheime Regierungs-Workloads sicher auf der AWS-Infrastruktur ausgeführt werden und AWS-Dienste nutzen, während gleichzeitig alle notwendigen IC-Compliance-Anforderungen erfüllt wurden. Um die Effizienz zu verbessern und die Beschaffungszyklen für C2S-Kunden zu verkürzen, hat AWS eine Version seines Marktplatzes veröffentlicht, in der alle Lösungen vorab geprüft und für die Verwendung durch IC-Kunden autorisiert sind.

Nach Monaten der Zusammenarbeit mit AWS wurde die BIG-IP Virtual Edition von F5 zu diesem Marktplatz hinzugefügt . Damit können unsere IC-Kunden nahtlos dieselben Verkehrsmanagement- und Sicherheitsdienste in der AWS-Cloud implementieren, die sie möglicherweise zuvor vor Ort konfiguriert haben.

8) Von F5 verwaltete Regeln für AWS WAF

Es ist kein Geheimnis, dass nicht alle Anwendungen gleich sind. Jede Anwendung unterscheidet sich erheblich und hängt von zahlreichen Faktoren ab, darunter Geschäftszweck, Bereitstellungsort, Sensibilität oder Wichtigkeit der Benutzerdaten und gesetzliche Anforderungen. Dies bedeutet letztendlich, dass die Sicherheitsanforderungen je nach Arbeitslast unterschiedlich sind. Beispielsweise ist bei unternehmenskritischen Apps mit vertraulichen Daten wahrscheinlicher, dass sie einen erweiterten Schutz vor Cyberbedrohungen benötigen, während einfache, nicht kritische Anwendungen wahrscheinlich nicht alle erweiterten Funktionen einer WAF der Unternehmensklasse benötigen. In diesen Fällen reicht möglicherweise eine einfachere Firewall wie die WAF von AWS aus.

Für diese weniger kritischen Workloads hat F5 eine Reihe von Regelsätzen entwickelt, die auf der nativen WAF von AWS implementiert werden können, um ein zusätzliches Schutzelement bereitzustellen. Es stehen drei verschiedene Regeln zur Verfügung, die jeweils vor bestimmten Bedrohungstypen schützen:

  • Bot-Schutz – Verhindert bösartige Bot-Aktivitäten wie Schwachstellenscanner, Web Scraper und DDoS-Tools.
  • CVE-Schwachstellen – Schützt vor gängigen Schwachstellen und Gefährdungen (CVE), die auf Systeme wie Apache, Bash, Java, MySQL, Ruby On Rails und WordPress abzielen.
  • Web-Exploits – Schützt vor den Top-10-Bedrohungen von OWASP, einschließlich XSS, SQL-Injection und Path Traversal.

Weitere Informationen finden Sie in diesem Artikel oder im AWS Marketplace .

Und das ist alles … Wenn Sie Fragen zu hier behandelten Themen oder zu F5 auf AWS haben, können Sie sich gerne an uns wenden . F5 hat im nächsten Jahr zahlreiche Produktentwicklungen für AWS geplant, die unseren Kunden auf ihrer Reise in die Cloud weiterhin helfen werden – bleiben Sie also dran!