年間エンタープライズ サブスクリプション、主要なクラウド マーケットプレイスのプライベート オファー、AWS Marketplace の従量課金制でご利用いただけます。
F5 分散クラウド サービスにご興味をお持ちいただきありがとうございます。 F5 の担当者がすぐにご連絡し、このリクエストに対応させていただきます。
年間サブスクリプションは、アプリケーション セキュリティやマルチクラウド ネットワーキングなど、さまざまなユース ケースをサポートします。 標準オファリングは基本的な機能とサービス ネットワーキングを提供し、高度オファリングは分散クラウドとエッジ サイト全体にわたる高度な API セキュリティの厳しい要件を満たすように特別に設計されています。
高度なアプリケーション セキュリティには、API の検出と保護、動作ボットの軽減、レイヤー 7 DDoS 軽減が含まれます。
ハイブリッドおよびマルチクラウド ネットワークを拡張して、複数のクラウド、オンプレミス、エッジ サイトにまたがる分散アプリケーション クラスター間の安全なサービス ネットワークの高度なユース ケースをサポートします。
CDN、DNS、App Stack を使用して、グローバル アプリケーションのパフォーマンスと信頼性を向上します。
| ワフ | 標準 |
高度な |
|
|---|---|---|---|
| 署名ベースの保護 | F5 のコア WAF テクノロジーは、CVE の 8,500 を超えるシグネチャを含む高度なシグネチャ エンジンと、F5 Labs と脅威研究者によって特定されたボット シグネチャなどの既知の脆弱性や手法によって支えられており、アプリケーションと API の脆弱性を軽減します。 | はい | はい |
| コンプライアンスの実施 | 違反、回避、および HTTP プロトコル コンプライアンス チェックの組み合わせ。 | はい | はい |
| 自動攻撃シグネチャ調整 | 誤検知を抑制する自己学習型確率モデル | はい | はい |
| ログ内の機密パラメータ/データをマスキングする | ユーザーは、http ヘッダー名、Cookie 名、またはクエリ パラメータ名を指定して、リクエスト ログ内の機密データをマスクできます。 値のみがマスクされます。 デフォルトでは、クエリ パラメータ card、pass、pwd、password の値はマスクされます。 | はい | はい |
| カスタムブロックページ/応答コード | リクエストまたは応答が WAF によってブロックされた場合、ユーザーはクライアントに提供されるブロック応答ページをカスタマイズできます。 | はい | はい |
| 発信元からの許可された応答コード | ユーザーは、許可される HTTP 応答ステータス コードを指定できます。 | はい | はい |
| IP レピュテーション | IP の脅威を分析し、F5 が管理する数百万の高リスク IP アドレスの動的なデータセットを公開して、悪意のある IP からの受信トラフィックからアプリのエンドポイントを保護します。 IP 処理カテゴリには、スパムソース、Windows エクスプロイト、Web 攻撃、ボットネット、スキャナーによるサービス拒否、フィッシングなどが含まれます。 | はい | はい |
| アプリの機密データ保護 | Data Guard は、データをマスクすることで、HTTP/HTTPS 応答によってクレジットカード番号や社会保障番号などの機密情報が公開されるのを防ぎます。 | はい | はい |
| 除外ルール | 特定の一致基準に基づいて WAF 処理から除外する必要があるシグネチャ ID と違反/攻撃タイプを定義するルール。 具体的な一致基準には、ドメイン、パス、メソッドが含まれます。 クライアント要求がこれらすべての基準に一致する場合、WAF は検出制御で構成された項目の処理を除外します。 | はい | はい |
| CSRF 保護 | ユーザーが適切な許可されたソースドメインを簡単に設定/指定できるようにします。 | はい | はい |
| クッキー保護 | Cookie 保護は、SameSite、Secure、および Http Only 属性を追加することで応答 Cookie を変更する機能を提供します。 | はい | はい |
| GraphQL 保護 | WAFエンジンはGraphQLリクエストの脆弱性を検査し、F5シグネチャデータベースに基づいてトラフィックをブロックします。 | はい | はい |
| DDoS 緩和 | 標準 |
高度な |
|
| 高速 ACL | ネットワーク ファイアウォール コントロールにより、ユーザーは特定のソースからの入力トラフィックをブロックしたり、特定のソースからのネットワーク トラフィックにレート制限を適用したりできます。 強化された保護により、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、およびプロトコルに基づいてトラフィックをフィルタリングできます。 | はい | はい |
| レイヤー3-4 DDoS緩和 | オンプレミスまたはパブリック クラウド アプリケーションと関連ネットワークの DDoS 保護を必要とする顧客向けに、事前設定された緩和ルールと自動緩和、および BGP ルート アドバタイズメントまたは権威 DNS 解決による完全なパケット分析による高度なルーティング DDoS 緩和スクラビングを組み合わせた、多層型のボリューム攻撃緩和を提供します。 | いいえ | はい |
| レイヤー3-4 DDoS緩和 | 分散クラウド サービスのみを利用する顧客向けに、事前設定された緩和ルールと自動緩和および高度な DDoS 緩和スクラビングを組み合わせた多層型のボリューム攻撃緩和機能により、このプラットフォームは F5 ネットワーク上で顧客がプロビジョニングしたサービスを DDoS 攻撃から保護します。 | はい | いいえ |
| レイヤー 7 DoS - 検出と軽減 | アプリと API エンドポイント全体の異常なトラフィック パターンと傾向に関する異常検出とアラート。高度な機械学習 (ML) を活用して、自動緩和を含むエンドポイントを拒否またはレート制限する機能を使用して、リクエスト レート、エラー レート、レイテンシ、スループットを分析し、時間の経過に伴うアプリと API の動作の急増、低下、その他の変化を検出します。 | はい | はい |
| レイヤー 7 DoS - ポリシーベースの課題 | カスタム ポリシー ベースのチャレンジを設定して、Javascript または Captcha チャレンジを実行できます。 ソース IP とレピュテーション、ASN またはラベル (都市、国) に基づいてチャレンジをトリガーするタイミングの一致基準とルールを定義し、攻撃を実行しようとする正当なクライアントから攻撃者を除外するのに役立ちます。 | はい | はい |
| 遅いDDoS緩和 | 「Slow and low」攻撃はサーバーのリソースを占有し、実際のユーザーからのリクエストを処理するために使用できるリソースがなくなる。 この機能により、リクエスト タイムアウトとリクエスト ヘッダー タイムアウト値を構成および適用できるようになります。 | はい | はい |
| アプリケーションレート制限 | レート制限は、アプリケーション オリジンに出入りするリクエストのレートを制御します。 アプリのレート制限は、キー識別子 IP アドレス、Cookie 名、HTTP ヘッダー名を使用して制御できます。 | いいえ | はい |
| 翻訳 | 標準 |
高度な |
|
| 署名ベースの保護 | F5 分散クラウド アプリケーション ファイアウォールは、2 つの最も人気のある API プロトコルである GraphQL と REST の検査をサポートしています。 | はい | はい |
| トラフィックベースの API 検出とスキーマ学習 | 高度な機械学習により、アプリケーションの API エンドポイント トラフィック (リクエストと応答) のマークアップと分析が可能になり、API エンドポイントを検出して動作分析を実行できます。 これには、リクエストとレスポンスのスキーマ、機密データの検出、認証ステータスが含まれます。 OpenAPI 仕様 (OAS) 生成によるインベントリおよびシャドウ API セットの提供。 | いいえ | はい |
| コードベースの API 検出とスキーマ学習 | コード リポジトリに統合します。 高度な機械学習により、アプリケーション コードを自動的に分析し、API エンドポイントを検出して文書化できます。 これには、自動 OpenAPI 仕様 (OAS) 生成が含まれます。 | いいえ | はい |
| API スキーマのインポート | OpenAPI 仕様ファイルをインポートして API グループを定義し、API へのアクセスを制御して API の動作を強制するためのルールを設定します。 | いいえ | はい |
| OpenAPI 仕様の検証 | API 仕様の強制機能により、API のポジティブ セキュリティ モデルが有効になり、組織は有効な API リクエストの特性に基づいて必要な API 動作を簡単に強制できるようになります。 これらの特性は、データ型、最小または最大の長さ、許可される文字、有効な値の範囲など、入力データと出力データを検証するために使用されます。 | いいえ | はい |
| 姿勢管理 | API エンドポイントの認証タイプとステータスを学習および検出する機能と、API リスク スコアリング機能が含まれています。 API エンドポイント リスク スコア機能は、API エンドポイントに関連するリスクの包括的な測定値をユーザーに提供します。 リスク スコアは、脆弱性の検出、攻撃の影響、ビジネス価値、攻撃の可能性、緩和制御などのさまざまな手法を使用して計算されます。 これにより、組織は API の脆弱性を評価して優先順位を付け、追加のセキュリティ対策が必要な API を迅速に特定できるようになります。 | いいえ | はい |
| API保護ルール | 組織は、API エンドポイントの接続とリクエスト タイプを細かく制御できます。 特定のクライアントと接続をまとめて識別、監視、ブロックしたり、特定のしきい値を設定したりできます。 これには、IP アドレス、地域/国、ASN、または TLS フィンガープリントに基づく拒否リスト (ブロック) に加えて、HTTP メソッド、パス、クエリ パラメーター、ヘッダー、Cookie など、アプリと API のクライアントとのやり取りをガイドする特定の一致基準を定義するより高度なルールが含まれます。 API 接続とリクエストのこのきめ細かい制御は、個々の API またはドメイン全体に対して実行できます。 | いいえ | はい |
| API レート制限 | レート制限は、API エンドポイントに出入りするリクエストのレートを制御します。 | いいえ | はい |
| API の機密データの検出と保護 | API 応答内の一般的な (クレジットカード番号、社会保障番号) またはあまり一般的でないカスタムの PII データ パターン (住所、名前、電話番号) を検出し、機密データをマスクするか、機密情報を送信している API エンドポイントをブロックします。 | いいえ | はい |
| 機密データの検出 - コンプライアンスレポート | 特定の規制およびコンプライアンス体制の影響を受ける API エンドポイントを識別し、特定の機密データを検出、タグ付け、レポートします。 API コード内やトラフィックを通じて観察された場合、20 を超えるさまざまなフレームワーク (PCI-DSS、HIPPA、GDPR など) に関連付けられた 400 を超えるデータ タイプが含まれます。 | いいえ | はい |
| ボット防御 | 標準 |
高度な |
|
| 署名ベースの保護 | WAF シグネチャ エンジンには、クローラー、DDoS/DoS などの自動化された脅威やボット技術に対する固有のシグネチャが含まれています。 | はい | はい |
| ボット防御 | JavaScript と API 呼び出しを活用してテレメトリを収集し、ボットの再構築に迅速に対応するためのシグナル データの継続的な ML 分析、資格情報の詰め込み、アカウントの乗っ取り、偽アカウントなど、あらゆるボットの使用事例から保護するように設計されたリアルタイム検出モデルの動的な更新により、高度な攻撃を軽減することで、自動化された攻撃からアプリを保護します。 | いいえ | はい |
| クライアント側の防御 | フォームジャッキング、Magecart、デジタルスキミング、その他の悪意のある JavaScript 攻撃に対する Web アプリケーションの多段階保護を提供します。 この多段階の保護システムには、検出、警告、および軽減が含まれます。 | はい | はい |
| ネットワーク接続 | 標準 |
高度な |
|
| マルチクラウドトランジット | パブリッククラウド、オンプレミスデータセンター、分散エッジサイト間のレイヤー3ネットワークトランジット | はい | はい |
| セキュリティサービスの挿入 | BIG-IP や Palo Alto Networks などのサードパーティのネットワーク ファイアウォール サービスを複数のクラウド ネットワークに統合します。 | はい | はい |
| ネットワークのセグメンテーション | きめ細かなネットワーク分離とマイクロセグメンテーションにより、オンプレミスおよびパブリック クラウド ネットワーク全体のネットワーク セグメントを保護 | はい | はい |
| エンドツーエンドの暗号化 | ネットワーク上のすべてのデータ転送にネイティブ TLS 暗号化を採用 | はい | はい |
| 自動プロビジョニング | パブリッククラウドネットワーク構造の自動プロビジョニングとオーケストレーション | はい | はい |
| アプリコネクト | 標準 |
高度な |
|
| アプリとサービスのネットワーク | クラウド全体のアプリ クラスター間の TCP、UDP、HTTPS リクエストに対する分散型負荷分散サービス | はい | はい |
| アプリのセグメンテーション | 分散クラウド環境における API エンドポイントとクラスターへのアクセスを制御するためのきめ細かなセキュリティ ポリシー | はい | はい |
| サービス検出 | 分散アプリケーション クラスター全体のサービス可用性を特定する | はい | はい |
| 入口と出口 | HTTPおよびHTTPSトラフィックに対するルートベースのポリシー適用 | はい | はい |
| エンドツーエンドの暗号化 | ネットワーク上のすべてのデータ転送にネイティブ TLS 暗号化を採用 | はい | はい |
| ドメイン名 | 標準 |
高度な |
|
| 自動フェイルオーバー | F5 Distributed Cloud DNS へのシームレスなフェイルオーバーにより、DNS 環境の高可用性を確保します。 | はい | はい |
| 自動スケーリング | アプリケーション数の増加、トラフィック パターンの変化、リクエスト量の増加に応じて、需要に合わせて自動的にスケーリングします。 | はい | はい |
| DDoS 保護 | 組み込みの保護機能により、分散型サービス拒否 (DDoS) 攻撃やドメイン応答の操作を防止します。 | はい | はい |
| ドメイン名 | ゾーン転送を含む DNS 応答の信頼性を保証し、DNS プロトコルおよび DNS サーバー攻撃からネットワークを保護する存在拒否応答を返す DNS 拡張機能 | はい | はい |
| TSIG認証 | 宣言型APIと直感的なGUIでサービスを自動化 | はい | はい |
| APIサポート | クライアントとサーバー間のゾーン転送に関する通信を認証するトランザクション署名キー | はい | はい |
| DNS ロードバランサ (DNSLB) | 標準 |
高度な |
|
| グローバルな位置情報に基づくルーティング | 地理位置情報に基づく負荷分散により、クライアントを最も近いアプリケーション インスタンスに誘導し、最適なユーザー エクスペリエンスを実現します。 | はい | はい |
| インテリジェントな負荷分散 | 環境間でアプリケーション トラフィックを送信し、ヘルス チェックを実行し、応答を自動化します。 完全に自動化された災害復旧機能を搭載 | はい | はい |
| APIサポート | 宣言型APIと直感的なGUIでサービスを自動化 | はい | はい |
| ADCテレメトリ | 基本的な視覚化でパフォーマンス、アプリの状態、使用状況を追跡します | はい | はい |
| 多面的なセキュリティ | 動的セキュリティには、自動フェイルオーバー、組み込みのDDoS保護、DNSSEC、TSIG認証が含まれます。 | はい | はい |
| 可観測性 | 標準 |
高度な |
|
| レポート、豊富な分析、テレメトリ | アプリケーション展開、インフラストラクチャの健全性、セキュリティ、可用性、パフォーマンスの詳細なステータスを含む、異機種エッジおよびクラウド展開全体にわたるアプリケーションからインフラストラクチャまでの統合された可視性 | はい | はい |
| セキュリティインシデント | コンテキストと共通の特性に基づいて、何千もの個別のイベントを関連するセキュリティ インシデントにグループ化するイベント ビュー。 アプリのセキュリティ イベントの調査を容易にすることを目的としています。 | はい | はい |
| セキュリティイベント | ウェブ アプリと API セキュリティ機能の全範囲にわたるすべてのセキュリティ イベントを単一のダッシュボードで表示し、カスタマイズして、WAF、ボット、API、その他のレイヤー 7 セキュリティ イベントをすべてドリルダウンできます。 | はい | はい |
| グローバル ログ レシーバー - ログ エクスポート統合 (Splunk など) | Amazon S3、Datadog、Splunk、SumoLogic などの外部ログ収集システムへのログ配信。 | はい | はい |
| 他の | 標準 |
高度な |
|
| 悪意のあるユーザーの検出と軽減 | AI/ML を活用した悪意のあるユーザーの検出は、ユーザーの行動分析を実行し、各ユーザーのアクティビティに基づいて疑いスコアと脅威レベルを割り当てます。 クライアントのインタラクションは、WAF ルールのヒット数、禁止されたアクセス試行、ログイン失敗、エラー率など、クライアントが他のクライアントとどのように比較されるかに基づいて分析されます。 悪意のあるユーザーの軽減は、適応型の応答とリスクベースのチャレンジ機能であり、ユーザーの脅威レベルに基づいて、Javascript や Captcha チャレンジなどのさまざまなチャレンジを提供したり、一時的にブロックしたりします。 | いいえ | はい |
| サービスポリシー | 許可/拒否リストの開発、Geo IP フィルタリング、カスタム ルールの作成により、マイクロ セグメンテーションが可能になり、アプリケーション層での高度なセキュリティがサポートされます。これにより、TLS フィンガープリント、地理/国、IP プレフィックス、HTTP メソッド、パス、ヘッダーなど、さまざまな属性/パラメータに基づいて、一致および要求制約基準を含む受信要求に対処できます。 | はい | はい |
| Web アプリ スキャン | 任意のドメインを自動的にスキャンしてマッピングし、サーバーのバージョンやオペレーティング システムなど、公開されているすべてのサービスとインフラストラクチャを見つけるとともに、既知の脆弱性 (CVE) を特定します。 動的アプリケーション セキュリティ テスト (DAST) と組み合わせて、任意のドメインの自動侵入テストを実行し、未知の脆弱性を発見して修復ガイダンスを提供します。 | はい | はい |
| CORS ポリシー | クロスオリジン リソース共有 (CORS) は、ブラウザーがデフォルトでクロスオリジン リクエストを許可せず、クロスオリジン リクエストを有効にする必要がある状況で役立ちます。 CORS ポリシーは、追加の HTTP ヘッダー情報を使用して、あるオリジン (ドメイン) で実行されている Web アプリケーションが別のオリジンのサーバーから選択されたリソースにアクセスする権限を持つようにブラウザーに通知するメカニズムです。 | はい | はい |
| 信頼できるクライアント IP ヘッダー | 監視、ログ記録、許可/拒否ポリシーの定義などのための実際のクライアント IP アドレスの識別。 この機能を有効にすると、セキュリティ イベントとリクエスト ログに、この実際のクライアント IP アドレスがソース IP として表示されます。 | はい | はい |
| 相互TLS | ロード バランサ/プロキシでのポリシーベースの承認による認証に TLS と相互 TLS の両方をサポートすることで、アプリケーション トラフィックのエンドツーエンドのセキュリティを強化する機能が提供されます。 相互 TLS は、x-forwarded-client-cert (XFCC) 要求ヘッダーでクライアント証明書の詳細をオリジン サーバーに送信する機能をサポートしています。 | はい | はい |
| サポート | 標準 |
高度な |
|
| 24時間365日サポート | コンソール チケット、電子メール、電話サポートなど、さまざまな方法でサポートが提供されます。 | はい | はい |
| 稼働時間SLA(99.99%) | はい | はい | |
| 監査ログ(30日間) | はい | はい | |
| セキュリティ ログ (30 日間) | はい | はい | |
| リクエストログ(7日間) | はい | はい | |
F5 のコア WAF テクノロジーは、CVE の 8,500 を超えるシグネチャと、F5 Labs と脅威研究者によって特定されたボット シグネチャなどの既知の脆弱性や手法を含む高度なシグネチャ エンジンによってサポートされており、アプリケーションと API の脆弱性を軽減します。
違反、回避、HTTP プロトコル コンプライアンス チェックの組み合わせ。
誤検知トリガーを抑制する自己学習型の確率モデル。
ユーザーは、http ヘッダー名、Cookie 名、またはクエリ パラメータ名を指定して、リクエスト ログ内の機密データをマスクできます。 値のみがマスクされます。 デフォルトでは、クエリ パラメータ card、pass、pwd、password の値はマスクされます。
リクエストまたは応答が WAF によってブロックされた場合、ユーザーはクライアントに提供されるブロック応答ページをカスタマイズできます。
ユーザーは、許可される HTTP 応答ステータス コードを指定できます。
IP の脅威を分析し、F5 が管理する数百万の高リスク IP アドレスの動的なデータセットを公開して、悪意のある IP からの受信トラフィックからアプリのエンドポイントを保護します。 IP 処理カテゴリには、スパムソース、Windows エクスプロイト、Web 攻撃、ボットネット、スキャナーによるサービス拒否、フィッシングなどが含まれます。
Data Guard は、データをマスクすることで、HTTP/HTTPS 応答によってクレジットカード番号や社会保障番号などの機密情報が公開されるのを防ぎます。
特定の一致基準に基づいて WAF 処理から除外する必要があるシグネチャ ID と違反/攻撃タイプを定義するルール。 具体的な一致基準には、ドメイン、パス、メソッドが含まれます。 クライアント要求がこれらすべての基準に一致する場合、WAF は検出制御で構成された項目の処理を除外します。
ユーザーは適切な許可されたソース ドメインを簡単に構成/指定できます。
Cookie 保護は、SameSite、Secure、および Http Only 属性を追加することで応答 Cookie を変更する機能を提供します。
WAF エンジンは GraphQL リクエストの脆弱性を検査し、F5 シグネチャ データベースに基づいてトラフィックをブロックします。
ネットワーク ファイアウォール コントロールにより、ユーザーは特定のソースからの入力トラフィックをブロックしたり、特定のソースからのネットワーク トラフィックにレート制限を適用したりできます。 強化された保護により、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、およびプロトコルに基づいてトラフィックをフィルタリングできます。
アプリと API エンドポイント全体の異常なトラフィック パターンと傾向に関する異常検出とアラート。高度な機械学習 (ML) を活用して、エンドポイントを拒否またはレート制限する機能を使用して、リクエスト レート、エラー レート、レイテンシ、スループットを分析し、時間の経過に伴うアプリと API の動作の急増、低下、その他の変化を検出します。
「Slow and low」攻撃はサーバーのリソースを占有し、実際のユーザーからのリクエストを処理するために使用できるリソースがなくなる。 この機能により、リクエスト タイムアウトとリクエスト ヘッダー タイムアウト値を構成および適用できます。
F5 Distributed Cloud App Firewall は、最も人気のある 2 つの API プロトコルである GraphQL と REST の検査をサポートしています。
WAF シグネチャ エンジンには、クローラー、DDoS/DoS などの自動化された脅威やボット技術に対する固有のシグネチャが含まれています。
フォームジャッキング、Magecart、デジタルスキミング、その他の悪意のある JavaScript 攻撃に対する Web アプリケーションの多段階保護を提供します。 この多段階の保護システムには、検出、警告、および軽減が含まれます。
パブリック クラウド、オンプレミス データセンター、分散エッジ サイト間のレイヤー 3 ネットワーク転送。
BIG-IP や Palo Alto Networks などのサードパーティのネットワーク ファイアウォール サービスを複数のクラウド ネットワークに統合します。
きめ細かなネットワーク分離とマイクロセグメンテーションにより、オンプレミスおよびパブリック クラウド ネットワーク全体のネットワーク セグメントを保護します。
ネットワーク全体のすべてのデータ転送にネイティブ TLS 暗号化を使用します。
パブリック クラウド ネットワーク構造の自動プロビジョニングとオーケストレーション。
クラウド全体のアプリ クラスター間の TCP、UDP、HTTPS リクエストに対する分散型ロード バランシング サービス。
分散クラウド環境内の API エンドポイントとクラスターへのアクセスを制御するためのきめ細かいセキュリティ ポリシー。
分散アプリケーション クラスター全体のサービス可用性を特定します。
HTTP および HTTPS トラフィックに対するルート ベースのポリシー適用。
ネットワーク全体のすべてのデータ転送にネイティブ TLS 暗号化を使用します。
許可/拒否リストの開発、Geo IP フィルタリング、カスタム ルールの作成により、マイクロ セグメンテーションが可能になり、アプリケーション層での高度なセキュリティがサポートされます。これにより、TLS フィンガープリント、地理/国、IP プレフィックス、HTTP メソッド、パス、ヘッダーなど、さまざまな属性/パラメータに基づいて、一致および要求制約基準を含む受信要求に対処できます。
任意のドメインを自動的にスキャンしてマッピングし、サーバーのバージョンやオペレーティング システムなど、公開されているすべてのサービスとインフラストラクチャを見つけるとともに、既知の脆弱性 (CVE) を特定します。 動的アプリケーション セキュリティ テスト (DAST) と組み合わせて、任意のドメインの自動侵入テストを実行し、未知の脆弱性を発見して修復ガイダンスを提供します。
クロスオリジン リソース共有 (CORS) は、ブラウザがデフォルトでクロスオリジン リクエストを許可せず、特に有効にする必要がある状況で役立ちます。 CORS ポリシーは、追加の HTTP ヘッダー情報を使用して、あるオリジン (ドメイン) で実行されている Web アプリケーションが別のオリジンのサーバーから選択されたリソースにアクセスする権限を持つようにブラウザーに通知するメカニズムです。
監視、ログ記録、許可/拒否ポリシーの定義などのための実際のクライアント IP アドレスの識別。 この機能を有効にすると、セキュリティ イベントとリクエスト ログに、この実際のクライアント IP アドレスがソース IP として表示されます。
ロード バランサ/プロキシでのポリシーベースの承認による認証に TLS と相互 TLS の両方をサポートすることで、アプリケーション トラフィックのエンドツーエンドのセキュリティを強化する機能が提供されます。 相互 TLS は、x-forwarded-client-cert (XFCC) 要求ヘッダーでクライアント証明書の詳細をオリジン サーバーに送信する機能をサポートしています。
コンソール チケット、電子メール、電話サポートなど、さまざまな方法でサポートが提供されます。
稼働時間 SLA (99.99%)
監査ログ(30日間)
指標 (< 30 日)
リクエストログ(30日以内)
F5 のコア WAF テクノロジーは、CVE の 8,500 を超えるシグネチャと、F5 Labs と脅威研究者によって特定されたボット シグネチャなどの既知の脆弱性や手法を含む高度なシグネチャ エンジンによってサポートされており、アプリケーションと API の脆弱性を軽減します。
違反、回避、HTTP プロトコル コンプライアンス チェックの組み合わせ。
誤検知トリガーを抑制する自己学習型の確率モデル。
ユーザーは、http ヘッダー名、Cookie 名、またはクエリ パラメータ名を指定して、リクエスト ログ内の機密データをマスクできます。 値のみがマスクされます。 デフォルトでは、クエリ パラメータ card、pass、pwd、password の値はマスクされます。
リクエストまたは応答が WAF によってブロックされた場合、ユーザーはクライアントに提供されるブロック応答ページをカスタマイズできます。
ユーザーは、許可される HTTP 応答ステータス コードを指定できます。
レート制限は、アプリケーション オリジンに出入りするリクエストのレートを制御します。 アプリのレート制限は、キー識別子 IP アドレス、Cookie 名、HTTP ヘッダー名を使用して制御できます。
IP の脅威を分析し、F5 が管理する数百万の高リスク IP アドレスの動的なデータセットを公開して、悪意のある IP からの受信トラフィックからアプリのエンドポイントを保護します。 IP 処理カテゴリには、スパムソース、Windows エクスプロイト、Web 攻撃、ボットネット、スキャナーによるサービス拒否、フィッシングなどが含まれます。
Data Guard は、データをマスクすることで、HTTP/HTTPS 応答によってクレジットカード番号や社会保障番号などの機密情報が公開されるのを防ぎます。
特定の一致基準に基づいて WAF 処理から除外する必要があるシグネチャ ID と違反/攻撃タイプを定義するルール。 具体的な一致基準には、ドメイン、パス、メソッドが含まれます。 クライアント要求がこれらすべての基準に一致する場合、WAF は検出制御で構成された項目の処理を除外します。
ユーザーは適切な許可されたソース ドメインを簡単に構成/指定できます。
Cookie 保護は、SameSite、Secure、および Http Only 属性を追加することで応答 Cookie を変更する機能を提供します。
WAF エンジンは GraphQL リクエストの脆弱性を検査し、F5 シグネチャ データベースに基づいてトラフィックをブロックします。
ネットワーク ファイアウォール コントロールにより、ユーザーは特定のソースからの入力トラフィックをブロックしたり、特定のソースからのネットワーク トラフィックにレート制限を適用したりできます。 強化された保護により、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、およびプロトコルに基づいてトラフィックをフィルタリングできます。
事前設定された緩和ルールと自動緩和、および BGP ルート広告または権威 DNS 解決による完全なパケット分析による高度なルーティング DDoS 緩和スクラビングの組み合わせを含む、多層型のボリューム攻撃緩和。
アプリと API エンドポイント全体の異常なトラフィック パターンと傾向に関する異常検出とアラート。高度な機械学習 (ML) を活用して、エンドポイントを拒否またはレート制限する機能を使用して、リクエスト レート、エラー レート、レイテンシ、スループットを分析し、時間の経過に伴うアプリと API の動作の急増、低下、その他の変化を検出します。
機械学習 (ML) ベースの機能により、リクエスト率、エラー率、レイテンシなど、時間の経過に伴う個々のクライアントの動作とアプリのパフォーマンスの分析に基づいて、異常なレイヤー 7 トラフィックに対して自動緩和を構成できるようになります。
「Slow and low」攻撃はサーバーのリソースを占有し、実際のユーザーからのリクエストを処理するために使用できるリソースがなくなる。 この機能により、リクエスト タイムアウトとリクエスト ヘッダー タイムアウト値を構成および適用できます。
F5 Distributed Cloud App Firewall は、最も人気のある 2 つの API プロトコルである GraphQL と REST の検査をサポートしています。
高度な機械学習により、アプリケーションの API エンドポイント トラフィック (リクエストと応答) のマークアップと分析が可能になり、API エンドポイントを検出して動作分析を実行できます。 これには、リクエストとレスポンスのスキーマ、機密データの検出、認証ステータスが含まれます。 OpenAPI 仕様 (OAS) 生成によるインベントリおよびシャドウ API セットの提供。
コード リポジトリに統合します。 高度な機械学習により、アプリケーション コードを自動的に分析し、API エンドポイントを検出して文書化できます。 これには、自動 OpenAPI 仕様 (OAS) 生成が含まれます。
OpenAPI 仕様ファイルをインポートして API グループを定義し、API へのアクセスを制御して API の動作を強制するためのルールを設定します。
API 仕様の強制機能により、API のポジティブ セキュリティ モデルが有効になり、組織は有効な API リクエストの特性に基づいて必要な API 動作を簡単に強制できるようになります。 これらの特性は、データ型、最小または最大の長さ、許可される文字、有効な値の範囲など、入力データと出力データを検証するために使用されます。
API エンドポイントの認証タイプとステータスを学習および検出する機能と、API リスク スコアリング機能が含まれます。 API エンドポイント リスク スコア機能は、API エンドポイントに関連するリスクの包括的な測定値をユーザーに提供します。 リスク スコアは、脆弱性の検出、攻撃の影響、ビジネス価値、攻撃の可能性、緩和制御などのさまざまな手法を使用して計算されます。 これにより、組織は API の脆弱性を評価して優先順位を付け、追加のセキュリティ対策が必要な API を迅速に特定できるようになります。
組織は、API エンドポイントの接続とリクエスト タイプを細かく制御できます。 特定のクライアントと接続をまとめて識別、監視、ブロックしたり、特定のしきい値を設定したりできます。 これには、IP アドレス、地域/国、ASN、または TLS フィンガープリントに基づく拒否リスト(ブロック)に加えて、HTTP メソッド、パス、クエリ パラメータ、ヘッダー、Cookie など、アプリと API とクライアントのやり取りをガイドする特定の一致基準を定義するより高度なルールが含まれます。 API 接続とリクエストのこのきめ細かい制御は、個々の API またはドメイン全体に対して実行できます。
レート制限は、API エンドポイントに出入りするリクエストのレートを制御します。
API 応答内の一般的な (クレジットカード番号、社会保障番号) またはあまり一般的でないカスタムの PII データ パターン (住所、名前、電話番号) を検出し、機密データをマスクするか、機密情報を送信している API エンドポイントをブロックします。
特定の規制およびコンプライアンス体制の影響を受ける API エンドポイントを識別し、特定の機密データを検出、タグ付け、レポートします。 API コード内やトラフィックを通じて観察された場合、20 を超えるさまざまなフレームワーク (PCI-DSS、HIPPA、GDPR など) に関連付けられた 400 を超えるデータ タイプが含まれます。
WAF シグネチャ エンジンには、クローラー、DDoS/DoS などの自動化された脅威やボット技術に対する固有のシグネチャが含まれています。
JavaScript と API 呼び出しを活用してテレメトリを収集し、シグナル データの継続的な ML 分析でボットの再構築に迅速に対応して高度な攻撃を軽減し、認証情報の詰め込み、アカウントの乗っ取り、偽アカウントなど、あらゆるボットの使用事例から保護するように設計されたリアルタイム検出モデルの動的な更新により、自動化された攻撃からアプリを保護します。
フォームジャッキング、Magecart、デジタルスキミング、その他の悪意のある JavaScript 攻撃に対する Web アプリケーションの多段階保護を提供します。 この多段階の保護システムには、検出、警告、および軽減が含まれます。
パブリック クラウド、オンプレミス データセンター、分散エッジ サイト間のレイヤー 3 ネットワーク転送。
BIG-IP や Palo Alto Networks などのサードパーティのネットワーク ファイアウォール サービスを複数のクラウド ネットワークに統合します。
きめ細かなネットワーク分離とマイクロセグメンテーションにより、オンプレミスおよびパブリック クラウド ネットワーク全体のネットワーク セグメントを保護します。
ネットワーク全体のすべてのデータ転送にネイティブ TLS 暗号化を使用します。
パブリック クラウド ネットワーク構造の自動プロビジョニングとオーケストレーション。
クラウド全体のアプリ クラスター間の TCP、UDP、HTTPS リクエストに対する分散型ロード バランシング サービス。
分散クラウド環境内の API エンドポイントとクラスターへのアクセスを制御するためのきめ細かいセキュリティ ポリシー。
分散アプリケーション クラスター全体のサービス可用性を特定します。
HTTP および HTTPS トラフィックに対するルート ベースのポリシー適用。
ネットワーク全体のすべてのデータ転送にネイティブ TLS 暗号化を使用します。
AI/ML を活用した悪意のあるユーザーの検出は、ユーザーの行動分析を実行し、各ユーザーのアクティビティに基づいて疑いスコアと脅威レベルを割り当てます。 クライアントのインタラクションは、WAF ルールのヒット数、禁止されたアクセス試行、ログイン失敗、エラー率など、クライアントが他のクライアントとどのように比較されるかに基づいて分析されます。 悪意のあるユーザーの軽減は、適応型の応答とリスクベースのチャレンジ機能であり、ユーザーの脅威レベルに基づいて、Javascript や Captcha チャレンジなどのさまざまなチャレンジを提供したり、一時的にブロックしたりします。
許可/拒否リストの開発、Geo IP フィルタリング、カスタム ルールの作成により、マイクロ セグメンテーションが可能になり、アプリケーション層での高度なセキュリティがサポートされます。これにより、TLS フィンガープリント、地理/国、IP プレフィックス、HTTP メソッド、パス、ヘッダーなど、さまざまな属性/パラメータに基づいて、一致および要求制約基準を含む受信要求に対処できます。
任意のドメインを自動的にスキャンしてマッピングし、サーバーのバージョンやオペレーティング システムなど、公開されているすべてのサービスとインフラストラクチャを見つけるとともに、既知の脆弱性 (CVE) を特定します。 動的アプリケーション セキュリティ テスト (DAST) と組み合わせて、任意のドメインの自動侵入テストを実行し、未知の脆弱性を発見して修復ガイダンスを提供します。
クロスオリジン リソース共有 (CORS) は、ブラウザがデフォルトでクロスオリジン リクエストを許可せず、特に有効にする必要がある状況で役立ちます。 CORS ポリシーは、追加の HTTP ヘッダー情報を使用して、あるオリジン (ドメイン) で実行されている Web アプリケーションが別のオリジンのサーバーから選択されたリソースにアクセスする権限を持つようにブラウザーに通知するメカニズムです。
監視、ログ記録、許可/拒否ポリシーの定義などのための実際のクライアント IP アドレスの識別。 この機能を有効にすると、セキュリティ イベントとリクエスト ログに、この実際のクライアント IP アドレスがソース IP として表示されます。
ロード バランサ/プロキシでのポリシーベースの承認による認証に TLS と相互 TLS の両方をサポートすることで、アプリケーション トラフィックのエンドツーエンドのセキュリティを強化する機能が提供されます。 相互 TLS は、x-forwarded-client-cert (XFCC) 要求ヘッダーでクライアント証明書の詳細をオリジン サーバーに送信する機能をサポートしています。
コンソール チケット、電子メール、電話サポートなど、さまざまな方法でサポートが提供されます。
アップタイム SLA (99.999%)
監査ログ(30日間)
指標 (< 30 日)
リクエストログ(30日以内)