F5 Distributed Cloud Services est disponible exclusivement sur souscription d’un abonnement annuel d’entreprise, qui répond aux exigences poussées en matière de mise en réseau et de sécurité des applications.
Nous vous remercions de l’intérêt que vous portez à F5 Distributed Cloud Services. Un représentant de F5 vous contactera bientôt pour répondre à votre requête.
Un abonnement annuel prend en charge divers cas d’utilisation, notamment la sécurité des applications et la mise en réseau multicloud. Les offres standard incluent des fonctionnalités de base, tandis que les offres avancées sont spécifiquement conçues pour répondre aux exigences strictes en matière de sécurité avancée des API et de mise en réseau des services sur les sites Distributed Cloud et périphériques distribués.
La sécurité applicative avancée comprend la découverte et la protection des API, l’atténuation des robots comportementaux et l’atténuation des attaques DDoS de la couche 7.
Étendez la mise en réseau multicloud pour prendre en charge des cas d’utilisation avancés pour la mise en réseau de services sécurisés entre plusieurs clusters d’applications distribués sur plusieurs sites cloud et périphériques.
Améliorez les performances et la fiabilité globale des applications avec CDN, DNS et App Stack.
| WAF | Standard |
Advanced |
|
|---|---|---|---|
| Signature based protection | Mitigate application and API vulnerabilities with F5's core WAF technology, backed by our advanced signature engine containng nearly 8,000 signatures for CVEs, plus other known vulnerabilities and techniques including Bot Signatures identified by F5 Labs and threat researchers | Yes | Yes |
| Compliance enforcement | Combination of violations, evasions and http protocol compliance checks. | Yes | Yes |
| Automatic attack signature tuning | Self-learning, probabilistic model that suppresses false positive triggers | Yes | Yes |
| Masking Sensitive Parameters/Data in Logs | Users can mask sensitive data in request logs by specifying http header name, cookie name, or query parameter name. Only values are masked. By default, values of query parameters card, pass, pwd, and password are masked. | Yes | Yes |
| Custom blocking pages/response codes | When a request or repsonse is blocked by the WAF, users have the ability to customize the blocking response page served to the client. | Yes | Yes |
| Allowed responses codes from origin | User can specify which HTTP response status codes are allowed. | Yes | Yes |
| IP Reputation | Analyzes IP threats and publishes a dynamic data set of millions of high-risk IP addresses maintained by F5, to protect app endpoints from inbound traffic from malicious IPs. IP treat categories include Spam Sources, Windows Exploits, Web Attacks, Botnets, Scanners Denial of Services, Phishing and more. | Yes | Yes |
| Sensitive Data Protection for Apps | Data Guard prevents HTTP/HTTPS responses from exposing sensitive information, like credit card numbers and social security numbers, by masking the data. | Yes | Yes |
| Exclusion rules | Rules that define the signature IDs and violations/attack types that should be excluded from WAF processing based on specific match criteria. The specific match criteria include domain, path, and method. If the client request matches on all these criteria, then the WAF will exclude processing for the items configured in the detection control. | Yes | Yes |
| CSRF protection | Allows users to easily configure/specify the appropriate, allowed source domains | Yes | Yes |
| Cookie protection | Cookie Protection provides the ability to modify response cookies by adding SameSite, Secure, and Http Only attributes. | Yes | Yes |
| GraphQL protection | The WAF engine inspects GraphQL requests for vulnerabilities and will block traffic based on the F5 signature database | Yes | Yes |
| DDoS Mitigation | Standard |
Advanced |
|
| Fast ACLs | Network Firewall controls allowing users to block ingress traffic from specific sources, or apply rate limits to network traffic from a specific source. Enhanced protections allow for filtering traffic based on source address, source port, destination address, destination port, and protocol. | Yes | Yes |
| Layer 3-4 DDoS Mitigation | Multi-layered, volumetric attack mitigation including a combination of pre-set mitigation rules with automitigation and advanced routed DDoS mitigation scrubbing with full packet analysis via BGP route advertisement or authoritative DNS resolution for customers needing DDoS protection for on premises or public cloud applications and associated networks. | No | Yes |
| Layer 3-4 DDoS Mitigation | Multi-layered, volumetric attack mitigation including a combination of pre-set mitigation rules with auto mitigation and advanced DDoS mitigation scrubbing for customers consuming Distributed Cloud services only – the platform protects customer provisioned services on the F5 network from DDoS attacks. | Yes | No |
| Layer 7 DoS - Detection and mitigation | Anomaly detection and alerting on abnormal traffic patterns and trends across apps and API endpoints, leveraging advanced machine learning (ML) to detect spikes, drops and other changes in app and API behavior over time by analyzing request rates, error rates, latency and throughput with the ability to deny or rate limit endpoints including auto-mitigation. | Yes | Yes |
| Layer 7 DoS - Policy based challenges | Custom policy-based challenges can be set up to execute a Javascript or Captcha challenge. Define match criteria and rules when to trigger challenges based on source IP and reputation, ASNs or Labels (cities, countries) helping to filter out attackers from legitimate clients trying to execute an attack. | Yes | Yes |
| Slow DDoS Mitigation | "Slow and low" attacks tie up server resources, leaving none available for servicing requests from actual users. This feature allows for the configuration and enforcement of request timeout and request header timeout values. | Yes | Yes |
| Application Rate Limiting | Rate limiting controls the rate of requests coming into or going out of an application origin. Rate limiting can be controlled for apps using key identifiers IP address, Cookie name, and/or HTTP header name. | No | Yes |
| API | Standard |
Advanced |
|
| Signature based protection | F5 Distributed Cloud App Firewall supports inspection of the two most popular API protocols - GraphQL, and REST | Yes | Yes |
| API Discovery and Schema Learning | Advanced machine learning, Enables markup and analysis of API endpoints for applications in order to discover API endpoints and perform behavioral analysis. This includes request and response schemas, sensitive data detection and authentication status. Providing inventory and shadow API sets with OpenAPI spec (OAS) generation. | No | Yes |
| API Schema Import | Import OpenAPI spec files to define API groups and set rules to control access to and enforce behavior of APIs. | No | Yes |
| OpenAPI Spec Validation | API spec enforcement functionality enables a positive security model for APIs, allowing organization to easily enforce desired API behavior based on characteristics for valid, API requests. These characteristics are used to validate input and output data for things like data type, min or max length, permitted characters, or valid values ranges. | No | Yes |
| Posture Management | Includes the capability to learn and detect the authentication type and status of API Endpoints plus API risk scoring. API Endpoints Risk Score feature provides users with a comprehensive measure of the risk associated with their API endpoints. The risk score is calculated using a variety of techniques, such as vulnerability discovery, attack impact, business value, attack likelihood, and mitigating controls. This helps organizations evaluate and prioritize API vulnerabilities in order to quickly identify APIs that require additional security measures. | No | Yes |
| API Protection Rules | Organizations can granularly control API endpoint connectivity and request types. They can identify, monitor, and block specific clients and connections all together or set particular thresholds. These includes deny listing (blocking) based on IP address, region/country, ASN or TLS fingerprint, plus more advanced rules defining specific match criteria guiding app and API interactions with clients, including HTTP method, path, query parameters, headers, cookies, and more. This granular control of API connections and requests can be done for individual APIs or an entire domain. | No | Yes |
| API Rate Limiting | Rate limiting controls the rate of requests coming into or going out of API endpoints. | No | Yes |
| Sensitive Data Protection for APIs | Detect generic (credit card, social security number) or less common and custom PII data patterns (addresses, names, phone numbers) within API responses, then mask the sensitive data or block API endpoints that are transmitting sensitive information. | No | Yes |
| Bot Defense | Standard |
Advanced |
|
| Signature based protection | The WAF signature engine includes unique signatures for automated threats and bot techniques including crawlers, DDoS/DoS and more. | Yes | Yes |
| Bot Defense | Protects apps from automated attacks by leveraging JavaScript and API calls to collect telemetry and mitigate sophisticated attacks with constant ML analysis of signal data to rapidly respond to bot retooling, dynamic updates of real-time detection models designed to protect against all bot use cases e.g. credential stuffing, account takeover, fake accounts etc. | No | Yes |
| Client-side Defense | Provides multi-phase protection for web applications against Formjacking, Magecart, digital skimming and other malicious JavaScript attacks. This multi-phase protection system includes detection, alerting, and mitigation. | Yes | Yes |
| Network Connect | Standard |
Advanced |
|
| Multi-cloud transit | Layer 3 network transit between public clouds, on-premises datacenters and distributed edge sites | Yes | Yes |
| Security service insertion | Integrate third-party network firewall services such as BIG-IP and Palo Alto Networks across multiple cloud networks. | Yes | Yes |
| Network segmentation | Granular network isolation and microsegmentation to secure network segments on premises and across public cloud networks | Yes | Yes |
| End-to-end-encryption | Native TLS encryption for all data transit across networks | Yes | Yes |
| Automated provisioning | Automated provisioning and orchestration of public cloud network constructs | Yes | Yes |
| App Connect | Standard |
Advanced |
|
| App and service networking | Distributed load balancing services for TCP, UDP and HTTPS requests between app clusters across clouds | No | Yes |
| App segmentation | Granular security policies to control access to API endpoints and clusters in distributed cloud environments | No | Yes |
| Service discovery | Identify service availability across distributed app clusters | No | Yes |
| Ingress and egress | Route based policy enforcement fo HTTP and HTTPS traffic | No | Yes |
| End-to-end-encryption | Native TLS encryption for all data transit across networks | Yes | Yes |
| DNS | Standard |
Advanced |
|
| Automatic Failover | Ensure high availability of DNS environments with seamless failover to F5 Distributed Cloud DNS. | Yes | Yes |
| Auto-scaling | Automatically scale to keep up with demand as the number of applications increases, traffic patterns change, and request volumes grow. | Yes | Yes |
| DDoS Protection | Prevent distributed denial-of-service (DDoS) attacks or manipulation of domain responses with built-in protection. | Yes | Yes |
| DNSSEC | DNS extension that guarantees authenticity of DNS responses, including zone transfers, and to return Denial of Existence responses that protect your network against DNS protocol and DNS server attacks | Yes | Yes |
| TSIG Authentication | Automate services with declarative APIs & an intuitive GUI | Yes | Yes |
| API Support | Transaction signature keys that authenticate communications about zone transfers between client and server | Yes | Yes |
| DNS Load Balancer (DNSLB) | Standard |
Advanced |
|
| Global Location-Based Routing | Direct clients to the nearest application instance with geolocation-based load balancing for the best user experience. | Yes | Yes |
| Intelligent Load Balancing | Directs application traffic across environments, performs health checks, and automates responses. Includes fully-automated disaster recovery | Yes | Yes |
| API support | Automate services with declarative APIs & an intuitive GUI | Yes | Yes |
| ADC Telemetry | Track performance, app health, and usage with basic visualization | Yes | Yes |
| Multi-Faceted Security | Dynamic security includes automatic failover, built-in DDoS protection, DNSSEC, and TSIG authentication | Yes | Yes |
| Observability | Standard |
Advanced |
|
| Reporting, Rich Analytics and Telemetry | Unified visibility from application to infrastructure across heterogeneous edge and cloud deployments, including granular status of application deployments, infrastructure health, security, availability, and performance | Yes | Yes |
| Security Incidents | Events view that groups thousands of individual events into related security incidents based on context and common characteristics. Aimed at making investigation of app security events easier. | Yes | Yes |
| Security Events | Single dashboard view into all security events across full breadth of web app and API security functionality with customization and drill down into all WAF, Bot, API and other layer 7 security events | Yes | Yes |
| Global Log Receiver - Log Export Integration (i.e Splunk) | Log distribution to external log collection systems including Amazon S3, Datadog, Splunk, SumoLogic and more. | Yes | Yes |
| Other | Standard |
Advanced |
|
| Malicious User Detection + Mitigation | AI/ML powered malicious user detection performs user behavior analysis and assigns a suspicion score and threat level based on the acitivity of each user. Client interactions are analyzed on how a client compares to others—the number of WAF rules hit, forbidden access attempts, login failures, error rates, and more. Malicious user mitigation is an adaptive response and risk-based challenge capability - serving different challenges such as Javascript or Captcha challenge or block temporarily based on user threat level. | No | Yes |
| Service Policies | Enables micro segmentation and support for advanced security at the application layer with development of allow/deny lists, Geo IP filtering and custom rule creation to act on incoming requests including match and request constraint criteria based on a variety of attributes/parameters TLS fingerprint, geo/country, IP prefix, HTTP method, path, headers and more. | Yes | Yes |
| CORS policy | Cross-Origin Resource Sharing (CORS) is useful in any situation where the browser, by default, will disallow a cross-origin request and you have a specific need to enable them. CORS policy is a mechanism that uses additional HTTP header information to inform a browser to allow a web application running at one origin (domain) have permission to access selected resources from a server at a different origin. | Yes | Yes |
| Trusted Client IP Headers | Identification of real client IP addresses for monitoring, logging, defining allow/deny policies etc. Security events and request logs will show this real client IP address as the source IP, when this feature is enabled. | Yes | Yes |
| Mutual TLS | Support for both TLS and mutual-TLS for authentication with policy-based authorization on the load balancer/proxy provides the capability to enforce end-to-end security of application traffic. Mutual TLS supports the ability to send client certificate details to origin servers in x-forwarded-client-cert (XFCC) request headers. | Yes | Yes |
| Support | Standard |
Advanced |
|
| 24/7/365 Support | Support provided in a variety of methods including in console ticketing, email and phone support. | Yes | Yes |
| Uptime SLAs (99.99%) | Yes | Yes | |
| Audit Logs (30 days) | Yes | Yes | |
| Security Logs (30 days) | Yes | Yes | |
| Request Logs (7 days) | Yes | Yes | |
Atténuez les vulnérabilités des applications et des API avec la technologie WAF clé de F5, soutenue par notre moteur de signature avancé contenant près de 8 000 signatures pour les CVE, ainsi que d’autres vulnérabilités et techniques connues, y compris les signatures de bot identifiées par les F5 Labs et les chercheurs travaillant sur les menaces.
Combinaison de contrôles des violations, des évasions et de la conformité au protocole http.
Autoapprentissage, modèle probabiliste qui supprime le déclenchement de faux positifs.
Les utilisateurs peuvent masquer les données sensibles dans les journaux de requêtes en spécifiant le nom de l’en-tête http, le nom du cookie ou le nom du paramètre de requête. Seules les valeurs sont masquées. Par défaut, les valeurs des paramètres de requête card, pass, pwd et password sont masquées.
Lorsqu’une requête ou une réponse est bloquée par le WAF, les utilisateurs ont la possibilité de personnaliser la page de réponse de blocage que voit le client.
L’utilisateur peut spécifier quels codes d’état de réponse HTTP sont autorisés.
Analyse les menaces IP et publie un ensemble de données dynamiques de millions d’adresses IP à haut risque gérées par F5, afin de protéger les points de terminaison des applications contre le trafic entrant provenant d’adresses IP malveillantes. Parmi les catégories de traitement IP, on peut citer les sources de spam, les exploitations de Windows, les attaques Web, les botnets, les scanners, le déni de services, l’hameçonnage et plus encore.
Data Guard empêche les réponses HTTP/HTTPS d’exposer des informations sensibles, comme les numéros de carte de crédit et de sécurité sociale, en masquant les données.
Règles qui définissent les identifiants de signature et les types de violations/d’attaques qui doivent être exclus du traitement par le WAF en fonction de critères de correspondance spécifiques. Les critères de correspondance spécifiques comprennent le domaine, le chemin et la méthode. Si la requête du client correspond à tous ces critères, le WAF exclura le traitement des éléments configurés dans le contrôle de détection.
Permet aux utilisateurs de configurer/spécifier facilement les domaines sources appropriés et autorisés.
La protection par cookies permet de modifier les cookies de réponse en ajoutant des attributs SameSite, Secure et HTTP Only.
Le moteur WAF inspecte les requêtes GraphQL pour détecter les vulnérabilités et bloque le trafic en fonction de la base de données de signatures F5.
Contrôles du pare-feu réseau permettant aux utilisateurs de bloquer le trafic entrant provenant de sources spécifiques ou d’appliquer des limites de débit au trafic réseau provenant d’une source spécifique. Les protections améliorées permettent de filtrer le trafic en fonction de l’adresse source, du port source, de l’adresse de destination, du port de destination et du protocole.
Détection des anomalies et alerte sur les tendances et les modèles de trafic anormaux entre les applications et les points de terminaison des API, en tirant parti de l’apprentissage automatique (ML) avancé pour détecter les pics, les chutes et les autres changements dans le comportement des applications et des API au fil du temps en analysant les taux de requête, les taux d’erreur, la latence et le débit avec la possibilité de refuser ou de limiter les points de terminaison.
Les attaques « lentes et faibles » bloquent les ressources du serveur, ne laissant aucune ressource disponible pour répondre aux requêtes des utilisateurs réels. Cette fonctionnalité permet de configurer et de faire appliquer des valeurs de délai d’expiration des requêtes et de délai d’expiration des en-têtes de requête.
F5 Distributed Cloud App Firewall prend en charge l’inspection des deux protocoles API les plus populaires : GraphQL et REST.
Le moteur de signature WAF comprend des signatures uniques pour les menaces automatisées et les techniques de bot, y compris les robots d’exploration, les attaques DDoS/DoS et plus encore.
Fournit une protection multiphase pour les applications Web contre le détournement de formulaires, Magecart, l’écrémage numérique et d’autres attaques JavaScript malveillantes. Ce système de protection multiphase comprend la détection, l’alerte et l’atténuation.
Transit réseau de couche 3 entre les clouds publics, les centres de données sur site et les sites périphériques distribués.
Intégrez des services de pare-feu réseau tiers tels que BIG-IP et Palo Alto Networks sur plusieurs réseaux cloud.
Isolation granulaire du réseau et microsegmentation pour sécuriser les segments de réseau dans les locaux et sur les réseaux de cloud public.
Chiffrement TLS natif pour tous les transits de données sur les réseaux.
Provisionnement et orchestration automatisés des concepts de réseaux de cloud public.
Chiffrement TLS natif pour tous les transits de données sur les réseaux.
Permet la micro-segmentation et la prise en charge de la sécurité avancée au niveau de la couche applicative avec le développement de listes d’autorisation/refus, le filtrage IP géographique et la création de règles personnalisées pour agir sur les requêtes entrantes : critères de correspondance et de contrainte de requête basés sur une variété d’attributs/paramètres TLS empreinte digitale, zone géographique/pays, préfixe IP, méthode HTTP, chemin, en-têtes et plus encore.
Le partage de ressources inter-origines (Cross-Origin Resource Sharing, CORS) est utile dans toute situation où le navigateur, par défaut, refusera une requête inter-origine et où vous avez un besoin spécifique de les activer. La politique CORS est un mécanisme qui utilise des informations d’en-tête HTTP supplémentaires pour informer un navigateur afin de permettre à une application Web exécutée au niveau d’une origine (d’un domaine) d’accéder à une sélection de ressources à partir d’un serveur au niveau d’une origine différente.
Identification des adresses IP réelles des clients pour la surveillance, la journalisation, la définition des politiques d’autorisation/refus, etc. Lorsque cette fonctionnalité est activée, les événements de sécurité et les journaux de requêtes afficheront cette adresse IP réelle du client comme adresse IP source.
La prise en charge du TLS et du Mutual TLS pour l’authentification avec une autorisation basée sur l’équilibreur de charge/le proxy permet d’appliquer la sécurité de bout en bout du trafic des applications. Mutual TLS prend en charge la possibilité d’envoyer des détails de certificat client aux serveurs d’origine dans les en-têtes de requête x-forwarded-client-cert (XFCC).
Support fourni par diverses méthodes : émission de ticket sur console, assistance par e-mail et par téléphone.
Accords de niveau de service (SLA) de disponibilité (99,99 %)
Audit Logs (30 jours)
Indicateurs (< 30 jours)
Journaux de requêtes (< 30 jours)
Atténuez les vulnérabilités des applications et des API avec la technologie WAF clé de F5, soutenue par notre moteur de signature avancé contenant près de 8 000 signatures pour les CVE, ainsi que d’autres vulnérabilités et techniques connues, y compris les signatures de bot identifiées par les F5 Labs et les chercheurs travaillant sur les menaces.
Combinaison de contrôles des violations, des évasions et de la conformité au protocole http.
Autoapprentissage, modèle probabiliste qui supprime le déclenchement de faux positifs.
Les utilisateurs peuvent masquer les données sensibles dans les journaux de requêtes en spécifiant le nom de l’en-tête http, le nom du cookie ou le nom du paramètre de requête. Seules les valeurs sont masquées. Par défaut, les valeurs des paramètres de requête card, pass, pwd et password sont masquées.
Lorsqu’une requête ou une réponse est bloquée par le WAF, les utilisateurs ont la possibilité de personnaliser la page de réponse de blocage que voit le client.
L’utilisateur peut spécifier quels codes d’état de réponse HTTP sont autorisés.
La limitation de débit contrôle le taux de requêtes entrant ou sortant d’une origine applicative. La limitation de débit peut être contrôlée pour les applications au moyen d’identifiants clés tels que l’adresse IP, le nom du cookie et/ou le nom de l’en-tête HTTP.
Analyse les menaces IP et publie un ensemble de données dynamiques de millions d’adresses IP à haut risque gérées par F5, afin de protéger les points de terminaison des applications contre le trafic entrant provenant d’adresses IP malveillantes. Parmi les catégories de traitement IP, on peut citer les sources de spam, les exploitations de Windows, les attaques Web, les botnets, les scanners, le déni de services, l’hameçonnage et plus encore.
Data Guard empêche les réponses HTTP/HTTPS d’exposer des informations sensibles, comme les numéros de carte de crédit et de sécurité sociale, en masquant les données.
Règles qui définissent les identifiants de signature et les types de violations/d’attaques qui doivent être exclus du traitement par le WAF en fonction de critères de correspondance spécifiques. Les critères de correspondance spécifiques comprennent le domaine, le chemin et la méthode. Si la requête du client correspond à tous ces critères, le WAF exclura le traitement des éléments configurés dans le contrôle de détection.
Permet aux utilisateurs de configurer/spécifier facilement les domaines sources appropriés et autorisés.
La protection par cookies permet de modifier les cookies de réponse en ajoutant des attributs SameSite, Secure et HTTP Only.
Le moteur WAF inspecte les requêtes GraphQL pour détecter les vulnérabilités et bloque le trafic en fonction de la base de données de signatures F5.
Contrôles du pare-feu réseau permettant aux utilisateurs de bloquer le trafic entrant provenant de sources spécifiques ou d’appliquer des limites de débit au trafic réseau provenant d’une source spécifique. Les protections améliorées permettent de filtrer le trafic en fonction de l’adresse source, du port source, de l’adresse de destination, du port de destination et du protocole.
Atténuation des attaques volumétriques multicouches, y compris une combinaison de règles d’atténuation prédéfinies avec une automatisation et un nettoyage avancé de l’atténuation des attaques DDoS routées avec une analyse complète des paquets via une publicité sur les routes BGP ou une résolution DNS faisant autorité.
Détection des anomalies et alerte sur les tendances et les modèles de trafic anormaux entre les applications et les points de terminaison des API, en tirant parti de l’apprentissage automatique (ML) avancé pour détecter les pics, les chutes et les autres changements dans le comportement des applications et des API au fil du temps en analysant les taux de requête, les taux d’erreur, la latence et le débit avec la possibilité de refuser ou de limiter les points de terminaison.
Fonctionnalité basée sur l’apprentissage automatique (ML) qui permet de configurer l’atténuation automatique pour le trafic anormal de la couche 7 en fonction de l’analyse du comportement individuel des clients et des performances des applications au fil du temps, y compris les taux de requêtes, les taux d’erreur, la latence et plus encore.
Les attaques « lentes et faibles » bloquent les ressources du serveur, ne laissant aucune ressource disponible pour répondre aux requêtes des utilisateurs réels. Cette fonctionnalité permet de configurer et de faire appliquer des valeurs de délai d’expiration des requêtes et de délai d’expiration des en-têtes de requête.
F5 Distributed Cloud App Firewall prend en charge l’inspection des deux protocoles API les plus populaires : GraphQL et REST.
Apprentissage automatique avancé qui permet le balisage et l’analyse des points de terminaison d’API pour les applications afin de découvrir les points de terminaison d’API et d’effectuer une analyse comportementale. Sont concernés les schémas de requête et de réponse, la détection des données sensibles et l’état d’authentification. Fourniture de jeux d’API d’inventaire et fantômes avec génération de spécifications OpenAPI (OAS).
Importez de fichiers de spécification OpenAPI pour définir des groupes d’API et définir des règles pour contrôler l’accès et faire appliquer le comportement des API.
La fonctionnalité d’application des spécifications d’API offre un modèle de sécurité positif pour les API, permettant à l’organisation de faire appliquer facilement le comportement d’API souhaité en fonction des caractéristiques des requêtes d’API valides. Ces caractéristiques sont utilisées pour valider les données d’entrée et de sortie pour des éléments tels que le type de données, la longueur minimum ou maximum, les caractères autorisés ou les plages de valeurs valides.
Comprend la capacité d’apprendre et de détecter le type d’authentification et le statut des points de terminaison d’API, ainsi que la cote de risque de l’API. La fonctionnalité API Endpoints Risk Score fournit aux utilisateurs une mesure complète du risque associé à leurs points de terminaison API. La cote de risque est calculée à l’aide de diverses techniques, telles que la découverte des vulnérabilités, l’impact des attaques, la valeur commerciale, la probabilité d’attaque et les contrôles d’atténuation. Cela aide les organisations à évaluer et à hiérarchiser les vulnérabilités des API afin d’identifier rapidement les API qui nécessitent des mesures de sécurité supplémentaires.
Les entreprises peuvent contrôler de manière granulaire la connectivité des points de terminaison d’API et les types de requêtes. Elles peuvent identifier, surveiller et bloquer des clients et des connexions spécifiques ou définir des seuils particuliers. Il s’agit notamment de refuser (bloquer) l’inscription en fonction de l’adresse IP, de la région/du pays, de l’empreinte ASN ou TLS, ainsi que de règles plus avancées définissant des critères de correspondance spécifiques guidant les interactions de l’application et de l’API avec les clients, notamment la méthode HTTP, le chemin, les paramètres de requête, les en-têtes, les cookies, etc. Ce contrôle granulaire des connexions et des requêtes d’API peut être effectué pour des API individuelles ou pour un domaine entier.
La limitation du débit contrôle le taux de requêtes entrant ou sortant des points de terminaison de l’API.
Détectez des modèles de données personnelles identifiables génériques (carte de crédit, numéro de sécurité sociale) ou moins courants et personnalisés (adresses, noms, numéros de téléphone) dans les réponses de l’API, puis masquez les données sensibles ou bloquez les points de terminaison de l’API qui transmettent des informations sensibles.
Le moteur de signature WAF comprend des signatures uniques pour les menaces automatisées et les techniques de bot, y compris les robots d’exploration, les attaques DDoS/DoS et plus encore.
Protège les applications contre les attaques automatisées en tirant parti des appels JavaScript et API pour collecter des données de télémesure et atténuer les attaques sophistiquées avec une analyse constante par apprentissage automatique des données de signal pour répondre rapidement au réoutillage des robots, aux mises à jour dynamiques des modèles de détection en temps réel conçus pour se protéger contre tous les cas d’utilisation des robots, par exemple le credential stuffing, la prise de contrôle des comptes, les faux comptes, etc.
Fournit une protection multiphase pour les applications Web contre le détournement de formulaires, Magecart, l’écrémage numérique et d’autres attaques JavaScript malveillantes. Ce système de protection multiphase comprend la détection, l’alerte et l’atténuation.
Transit réseau de couche 3 entre les clouds publics, les centres de données sur site et les sites périphériques distribués.
Intégrez des services de pare-feu réseau tiers tels que BIG-IP et Palo Alto Networks sur plusieurs réseaux cloud.
Isolement granulaire du réseau et microsegmentation pour sécuriser les segments de réseau dans les locaux et sur les réseaux de cloud public.
Chiffrement TLS natif pour tous les transits de données sur les réseaux.
Provisionnement et orchestration automatisés des concepts de réseaux de cloud public.
Services d’équilibrage de charge distribués pour les requêtes TCP, UDP et HTTPS entre les clusters d’applications sur plusieurs clouds.
Politiques de sécurité granulaires pour contrôler l’accès aux points de terminaison et aux clusters d’API dans les environnements de Distributed Cloud.
Identifier la disponibilité des services sur les clusters d’applications distribués.
Application des politiques basées sur le routage pour le trafic HTTP et HTTPS.
Chiffrement TLS natif pour tous les transits de données sur les réseaux.
La détection des utilisateurs malveillants par IA/apprentissage automatique effectue une analyse du comportement des utilisateurs et attribue un score de suspicion et un niveau de menace en fonction de l’activité de chaque utilisateur. Les interactions avec les clients sont analysées en s’intéressant à la façon dont un client donné peut être comparé aux autres clients : le nombre de règles WAF touchées, les tentatives d’accès interdites, les échecs de connexion, les taux d’erreur, etc. L’atténuation des utilisateurs malveillants est une capacité de réponse adaptative et de défi basée sur les risques, proposant différents défis tels que le défi Javascript ou Captcha ou bloquant temporairement en fonction du niveau de menace de l’utilisateur.
Permet la micro-segmentation et la prise en charge de la sécurité avancée au niveau de la couche applicative avec le développement de listes d’autorisation/refus, le filtrage IP géographique et la création de règles personnalisées pour agir sur les requêtes entrantes : critères de correspondance et de contrainte de requête basés sur une variété d’attributs/paramètres TLS empreinte digitale, zone géographique/pays, préfixe IP, méthode HTTP, chemin, en-têtes et plus encore.
Le partage de ressources inter-origines (Cross-Origin Resource Sharing, CORS) est utile dans toute situation où le navigateur, par défaut, refusera une requête inter-origine et où vous avez un besoin spécifique de les activer. La politique CORS est un mécanisme qui utilise des informations d’en-tête HTTP supplémentaires pour informer un navigateur afin de permettre à une application Web exécutée au niveau d’une origine (d’un domaine) d’accéder à une sélection de ressources à partir d’un serveur au niveau d’une origine différente.
Identification des adresses IP réelles des clients pour la surveillance, la journalisation, la définition des politiques d’autorisation/refus, etc. Lorsque cette fonctionnalité est activée, les événements de sécurité et les journaux de requêtes afficheront cette adresse IP réelle du client comme adresse IP source.
La prise en charge du TLS et du Mutual TLS pour l’authentification avec une autorisation basée sur l’équilibreur de charge/le proxy permet d’appliquer la sécurité de bout en bout du trafic des applications. Mutual TLS prend en charge la possibilité d’envoyer des détails de certificat client aux serveurs d’origine dans les en-têtes de requête x-forwarded-client-cert (XFCC).
Support fourni par diverses méthodes : émission de ticket sur console, assistance par e-mail et par téléphone.
Accords de niveau de service (SLA) de disponibilité (99,99 %)
Audit Logs (30 jours)
Indicateurs (< 30 jours)
Journaux de requêtes (< 30 jours)