AWS WAF 向け F5 マネージドルールセットの発表

昨年 11 月、AWS re:Invent の F5 ブースで、IT プロフェッショナルを対象に、アプリに関する最大の課題がセキュリティ、スキル不足、クラウド移行の複雑さのどれに起因するかについてアンケート調査を実施しました。 当然のことながら、最大の懸念はセキュリティでした。結局のところ、 Verizonによると、2017 年のデータ侵害の第 1 位の原因は Web アプリケーション攻撃でした。

現在、すべてのアプリケーションが同じというわけではありません。そのため、セキュリティ要件は、ビジネス目的、展開場所、ユーザー データの機密性または重要性、規制要件など、さまざまな要因によって異なります。 また、特定のアプリケーションでは、少なくとも当初は、エンタープライズ グレードの Web アプリケーション ファイアウォール (F5 のBIG-IP ASMなど) が提供する高度な機能や保護は必要なく、クラウド プロバイダーのネイティブ WAF などのより基本的なファイアウォールで十分な場合があります。

アプリケーションのフロントエンドに AWS WAF を導入している、または導入を検討している開発者にとって、嬉しいニュースがあります。 AWS は、AWS WAF で新しい F5マネージド セキュリティ ルール製品が利用可能になったことを発表しました。 これらの製品をネイティブ AWS WAF と組み合わせて使用することで、アプリケーションの全体的なセキュリティ体制を強化できます。 F5 は 3 つの個別のルールセットを開発しました。それぞれが異なる脅威タイプに対する独自の保護を提供します。 これらは：

• ボット保護– 脆弱性スキャナー、Web スクレーパー、DDoS ツール、フォーラム スパム ツールなどの悪意のあるボットのアクティビティを防止します。
• CVE 脆弱性- Apache、Bash、Java、MySQL、Ruby On Rails、WordPress などのシステムを標的とする一般的な脆弱性と露出 (CVE) から保護します。
• Web エクスプロイト- クロスサイト スクリプティング、SQL インジェクション、パス トラバーサル、予測可能なリソースなど、OWASP トップ 10 の脅威に含まれる攻撃から保護します。

すべてのルールは F5 のセキュリティ専門家によって作成、管理、定期的に更新されるため、新たな脆弱性から保護するために手動でバージョンを更新する必要はありません。 さらに、数回クリックするだけでこれらの高度な WAF 機能をネイティブ AWS WAF に追加し、特定のアプリケーションに適用して、契約やその他の義務なしに従量課金制のユーティリティモデルで使用した分だけ支払うことができます。

この統合ソリューションにより、開発者は AWS アプリケーションに F5 の業界をリードする WAF を簡単に活用できるようになります。

追加リソース

• WAFを選択する際に考慮すべき重要な点
• F5 BIG-IP アプリケーション セキュリティ マネージャ (ASM) 製品ページ
• 顧客事例 – AWS 上の F5 WAF