Renforcez la sécurité de vos API sur AWS avec de nouvelles règles gérées pour AWS WAF
Ce n’est un secret pour personne : le nombre d’applications dans le monde entier connaît une croissance exponentielle. Il suffit de regarder n’importe quelle entreprise, et la large gamme de charges de travail utilisées s’étend des charges de travail de marketing et de commerce électronique orientées vers l’extérieur aux applications de productivité et de GRH axées sur l’interne. Et le plus souvent, ces hordes d’applications sont étroitement liées et dépendantes les unes des autres, créant un réseau complexe de « bavardages » alors que les requêtes API sont envoyées dans les deux sens entre elles. Bien que ces API permettent à vos employés, clients et partenaires de bénéficier d’applications sophistiquées, elles élargissent également votre périmètre de menace, offrant une autre surface à exploiter pour les cyberattaques. En fait, les récentes violations chez Amazon, Facebook et même lors de la conférence sur la sécurité Black Hat ont toutes ciblé des API vulnérables, entraînant une perte massive de données.
Chez F5, notre objectif est de garantir la sécurité de chaque application, où qu'elle soit.
Sachant que toutes les applications ne sont pas créées de la même manière (les applications critiques ayant la priorité sur les charges de travail moins sensibles), nous comprenons qu’il peut être extrêmement difficile et coûteux de sécuriser chaque interface d’application sur l’ensemble de votre portefeuille. Pour cette raison, de nombreuses entreprises se tournent vers des solutions de sécurité cloud natives pour protéger leurs applications moins sensibles, tout en s'appuyant sur un WAF avancé F5 pour sécuriser leurs charges de travail plus critiques. Mais comme de nombreuses organisations l'ont découvert (à leurs dépens), n'importe quelle interface d'application peut être un point d'entrée vers votre réseau et vos données, ce qui signifie qu'une sécurité « suffisamment bonne » ne l'est pas vraiment.
Comme vous vous en souvenez peut-être, l'année dernière, F5 s'est associé à AWS pour fournir trois ensembles de règles gérées qui peuvent être superposées au WAF natif d'AWS, afin d'étendre ses capacités de sécurité pour inclure la protection contre les robots, l'OWASP et les CVE (vulnérabilités et expositions courantes). En nous appuyant sur cette intégration, nous sommes heureux de publier un autre ensemble de règles qui se concentre uniquement sur la protection de vos API contre les menaces existantes et émergentes, notamment les attaques d'entités externes XML (XXE) et la falsification de requêtes côté serveur (SSRF).
Avec AWS API Gateway ajoutant récemment la prise en charge d'AWS WAF, l'ajout des règles gérées de F5 pour la protection des API est un moyen rapide et facile d'améliorer votre posture de sécurité API ici sans aucune expertise en sécurité ni adoption d'une solution WAF avancée. En plus de prendre en charge les API au sein d'API Gateway, les règles protègent également divers autres frameworks d'API Web courants.
Toutes les règles sont écrites, gérées et mises à jour régulièrement par les experts en sécurité de F5, vous n'avez donc jamais à vous soucier de la mise à jour manuelle des versions pour vous protéger contre les vulnérabilités émergentes. Les règles peuvent être appliquées en quelques clics, à des applications spécifiques, et concédées sous licence selon un modèle d'utilité à la carte sans contrats ni autres engagements.
Pour plus d'informations sur les règles gérées par F5 pour AWS WAF, rendez-vous sur AWS Marketplace pour les consulter :
- Règles de sécurité des API
- Règles de protection des robots
- Exploits Web – Règles OWASP
- Vulnérabilités et expositions courantes
Ou consultez le WAF avancé de F5 qui fournit tout ce qui est couvert par les règles et bien plus encore :