AWS WAF の新しいマネージドルールで AWS の API セキュリティを強化
世界中のアプリケーションの数が飛躍的に増加していることは、周知の事実です。 どのビジネスを見ても、利用されているワークロードの範囲は、外部向けのマーケティングや電子商取引のワークロードから、内部に重点を置いた生産性向上や HRM アプリまで多岐にわたります。 そして多くの場合、これらの多数のアプリは互いに深く絡み合い、依存し合っており、API リクエストがアプリ間でやり取りされるたびに、複雑な「チャタリング」の網が形成されます。 これらの API により、従業員、顧客、パートナーは高度なアプリケーションのメリットを享受できるようになりますが、同時に脅威の境界が拡大し、サイバー攻撃が悪用する新たな表面も提供されます。 実際、Amazon、Facebook、さらにはBlack Hatセキュリティカンファレンスでの最近の侵害はすべて脆弱なAPIを標的としており、大量のデータ損失が発生しました。
F5 の目標は、あらゆる場所のあらゆるアプリのセキュリティを確保することです。
すべてのアプリが同じように作成されているわけではないこと、つまりミッションクリティカルなアプリケーションが機密性の低いワークロードよりも優先されることを踏まえると、ポートフォリオ全体のすべてのアプリケーション インターフェイスを保護することは非常に困難でコストがかかる可能性があることがわかります。 このため、多くの企業は、機密性の低いアプリを保護するためにクラウドネイティブのセキュリティ ソリューションを採用し、より重要なワークロードのセキュリティ保護にはF5 Advanced WAF を活用しています。 しかし、多くの組織が(苦い経験を通して)学んだように、あらゆるアプリケーション インターフェイスはネットワークとデータへのエントリ ポイントになる可能性があり、つまり「十分な」セキュリティというのは実際には十分ではないということです。
ご記憶にあるかと思いますが、昨年 F5 は AWS と提携して、AWS のネイティブ WAF の上に重ねることができる3 セットのマネージド ルールを提供し、ボット、OWASP、CVE (共通脆弱性識別子) 保護を含むセキュリティ機能を拡張しました。 この統合に基づいて、XML 外部エンティティ (XXE) 攻撃やサーバー側リクエスト フォージェリ (SSRF) などの既存および新たな脅威から API を保護することのみに焦点を当てた別のルールセットをリリースできることを嬉しく思います。
AWS API Gateway が最近AWS WAF のサポートを追加したため、F5 の API 保護用マネージドルールを追加すると、セキュリティの専門知識や高度な WAF ソリューションを導入しなくても、API セキュリティ体制を迅速かつ簡単に強化できます。 ルールは、API Gateway 内の API をサポートするだけでなく、他のさまざまな一般的な Web API フレームワークも保護します。
すべてのルールは F5 のセキュリティ専門家によって作成、管理、定期的に更新されるため、新たな脆弱性から保護するために手動でバージョンを更新する必要はありません。 ルールは数回のクリックで特定のアプリケーションに適用でき、契約やその他の義務なしに従量課金制のユーティリティ モデルでライセンス付与されます。
F5 の AWS WAF 向けマネージドルールの詳細については、AWS Marketplace でご確認ください。
または、ルールでカバーされているすべての機能と、さらに多くの機能を提供する F5 の Advanced WAF をご覧ください。