F5 Distributed Cloud Services는 연간 엔터프라이즈 구독에서만 사용할 수 있으며 고급 애플리케이션 네트워킹 및 보안 요구 사항을 충족합니다.
F5 Distributed Cloud Services에 관심을 가져 주셔서 감사합니다. 이 요청을 지원하기 위해 F5 담당자가 곧 연락을 드릴 것입니다.
연간 구독은 애플리케이션 보안 및 멀티 클라우드 네트워킹을 포함한 다양한 사용 사례를 지원합니다. 기본 오퍼링은 기본 기능을 제공하며 고급 오퍼링은 분산된 클라우드와 엣지 사이트 전반에서 고급 API 보안 및 서비스 네트워킹에 필요한 엄격한 요구 사항을 충족하도록 특별히 설계되었습니다.
고급 애플리케이션 보안에는 API 디스커버리 및 보호, 행동 기반 봇 완화, 레이어 7 DDoS 완화가 포함됩니다.
멀티클라우드 네트워킹을 확장하여 여러 클라우드와 엣지 사이트에 분산되어 있는 애플리케이션 클러스터 간의 안전한 서비스 네트워킹을 위한 고급 사용 사례를 지원합니다.
CDN, DNS, App Stack으로 글로벌 애플리케이션 성능 및 신뢰성을 향상합니다.
WAF | Standard |
Advanced |
|
---|---|---|---|
Signature based protection | Mitigate application and API vulnerabilities with F5's core WAF technology, backed by our advanced signature engine containng nearly 8,000 signatures for CVEs, plus other known vulnerabilities and techniques including Bot Signatures identified by F5 Labs and threat researchers | Yes | Yes |
Compliance enforcement | Combination of violations, evasions and http protocol compliance checks. | Yes | Yes |
Automatic attack signature tuning | Self-learning, probabilistic model that suppresses false positive triggers | Yes | Yes |
Masking Sensitive Parameters/Data in Logs | Users can mask sensitive data in request logs by specifying http header name, cookie name, or query parameter name. Only values are masked. By default, values of query parameters card, pass, pwd, and password are masked. | Yes | Yes |
Custom blocking pages/response codes | When a request or repsonse is blocked by the WAF, users have the ability to customize the blocking response page served to the client. | Yes | Yes |
Allowed responses codes from origin | User can specify which HTTP response status codes are allowed. | Yes | Yes |
IP Reputation | Analyzes IP threats and publishes a dynamic data set of millions of high-risk IP addresses maintained by F5, to protect app endpoints from inbound traffic from malicious IPs. IP treat categories include Spam Sources, Windows Exploits, Web Attacks, Botnets, Scanners Denial of Services, Phishing and more. | Yes | Yes |
Sensitive Data Protection for Apps | Data Guard prevents HTTP/HTTPS responses from exposing sensitive information, like credit card numbers and social security numbers, by masking the data. | Yes | Yes |
Exclusion rules | Rules that define the signature IDs and violations/attack types that should be excluded from WAF processing based on specific match criteria. The specific match criteria include domain, path, and method. If the client request matches on all these criteria, then the WAF will exclude processing for the items configured in the detection control. | Yes | Yes |
CSRF protection | Allows users to easily configure/specify the appropriate, allowed source domains | Yes | Yes |
Cookie protection | Cookie Protection provides the ability to modify response cookies by adding SameSite, Secure, and Http Only attributes. | Yes | Yes |
GraphQL protection | The WAF engine inspects GraphQL requests for vulnerabilities and will block traffic based on the F5 signature database | Yes | Yes |
DDoS Mitigation | Standard |
Advanced |
|
Fast ACLs | Network Firewall controls allowing users to block ingress traffic from specific sources, or apply rate limits to network traffic from a specific source. Enhanced protections allow for filtering traffic based on source address, source port, destination address, destination port, and protocol. | Yes | Yes |
Layer 3-4 DDoS Mitigation | Multi-layered, volumetric attack mitigation including a combination of pre-set mitigation rules with automitigation and advanced routed DDoS mitigation scrubbing with full packet analysis via BGP route advertisement or authoritative DNS resolution for customers needing DDoS protection for on premises or public cloud applications and associated networks. | No | Yes |
Layer 3-4 DDoS Mitigation | Multi-layered, volumetric attack mitigation including a combination of pre-set mitigation rules with auto mitigation and advanced DDoS mitigation scrubbing for customers consuming Distributed Cloud services only – the platform protects customer provisioned services on the F5 network from DDoS attacks. | Yes | No |
Layer 7 DoS - Detection and mitigation | Anomaly detection and alerting on abnormal traffic patterns and trends across apps and API endpoints, leveraging advanced machine learning (ML) to detect spikes, drops and other changes in app and API behavior over time by analyzing request rates, error rates, latency and throughput with the ability to deny or rate limit endpoints including auto-mitigation. | Yes | Yes |
Layer 7 DoS - Policy based challenges | Custom policy-based challenges can be set up to execute a Javascript or Captcha challenge. Define match criteria and rules when to trigger challenges based on source IP and reputation, ASNs or Labels (cities, countries) helping to filter out attackers from legitimate clients trying to execute an attack. | Yes | Yes |
Slow DDoS Mitigation | "Slow and low" attacks tie up server resources, leaving none available for servicing requests from actual users. This feature allows for the configuration and enforcement of request timeout and request header timeout values. | Yes | Yes |
Application Rate Limiting | Rate limiting controls the rate of requests coming into or going out of an application origin. Rate limiting can be controlled for apps using key identifiers IP address, Cookie name, and/or HTTP header name. | No | Yes |
API | Standard |
Advanced |
|
Signature based protection | F5 Distributed Cloud App Firewall supports inspection of the two most popular API protocols - GraphQL, and REST | Yes | Yes |
API Discovery and Schema Learning | Advanced machine learning, Enables markup and analysis of API endpoints for applications in order to discover API endpoints and perform behavioral analysis. This includes request and response schemas, sensitive data detection and authentication status. Providing inventory and shadow API sets with OpenAPI spec (OAS) generation. | No | Yes |
API Schema Import | Import OpenAPI spec files to define API groups and set rules to control access to and enforce behavior of APIs. | No | Yes |
OpenAPI Spec Validation | API spec enforcement functionality enables a positive security model for APIs, allowing organization to easily enforce desired API behavior based on characteristics for valid, API requests. These characteristics are used to validate input and output data for things like data type, min or max length, permitted characters, or valid values ranges. | No | Yes |
Posture Management | Includes the capability to learn and detect the authentication type and status of API Endpoints plus API risk scoring. API Endpoints Risk Score feature provides users with a comprehensive measure of the risk associated with their API endpoints. The risk score is calculated using a variety of techniques, such as vulnerability discovery, attack impact, business value, attack likelihood, and mitigating controls. This helps organizations evaluate and prioritize API vulnerabilities in order to quickly identify APIs that require additional security measures. | No | Yes |
API Protection Rules | Organizations can granularly control API endpoint connectivity and request types. They can identify, monitor, and block specific clients and connections all together or set particular thresholds. These includes deny listing (blocking) based on IP address, region/country, ASN or TLS fingerprint, plus more advanced rules defining specific match criteria guiding app and API interactions with clients, including HTTP method, path, query parameters, headers, cookies, and more. This granular control of API connections and requests can be done for individual APIs or an entire domain. | No | Yes |
API Rate Limiting | Rate limiting controls the rate of requests coming into or going out of API endpoints. | No | Yes |
Sensitive Data Protection for APIs | Detect generic (credit card, social security number) or less common and custom PII data patterns (addresses, names, phone numbers) within API responses, then mask the sensitive data or block API endpoints that are transmitting sensitive information. | No | Yes |
Bot Defense | Standard |
Advanced |
|
Signature based protection | The WAF signature engine includes unique signatures for automated threats and bot techniques including crawlers, DDoS/DoS and more. | Yes | Yes |
Bot Defense | Protects apps from automated attacks by leveraging JavaScript and API calls to collect telemetry and mitigate sophisticated attacks with constant ML analysis of signal data to rapidly respond to bot retooling, dynamic updates of real-time detection models designed to protect against all bot use cases e.g. credential stuffing, account takeover, fake accounts etc. | No | Yes |
Client-side Defense | Provides multi-phase protection for web applications against Formjacking, Magecart, digital skimming and other malicious JavaScript attacks. This multi-phase protection system includes detection, alerting, and mitigation. | Yes | Yes |
Network Connect | Standard |
Advanced |
|
Multi-cloud transit | Layer 3 network transit between public clouds, on-premises datacenters and distributed edge sites | Yes | Yes |
Security service insertion | Integrate third-party network firewall services such as BIG-IP and Palo Alto Networks across multiple cloud networks. | Yes | Yes |
Network segmentation | Granular network isolation and microsegmentation to secure network segments on premises and across public cloud networks | Yes | Yes |
End-to-end-encryption | Native TLS encryption for all data transit across networks | Yes | Yes |
Automated provisioning | Automated provisioning and orchestration of public cloud network constructs | Yes | Yes |
App Connect | Standard |
Advanced |
|
App and service networking | Distributed load balancing services for TCP, UDP and HTTPS requests between app clusters across clouds | No | Yes |
App segmentation | Granular security policies to control access to API endpoints and clusters in distributed cloud environments | No | Yes |
Service discovery | Identify service availability across distributed app clusters | No | Yes |
Ingress and egress | Route based policy enforcement fo HTTP and HTTPS traffic | No | Yes |
End-to-end-encryption | Native TLS encryption for all data transit across networks | Yes | Yes |
DNS | Standard |
Advanced |
|
Automatic Failover | Ensure high availability of DNS environments with seamless failover to F5 Distributed Cloud DNS. | Yes | Yes |
Auto-scaling | Automatically scale to keep up with demand as the number of applications increases, traffic patterns change, and request volumes grow. | Yes | Yes |
DDoS Protection | Prevent distributed denial-of-service (DDoS) attacks or manipulation of domain responses with built-in protection. | Yes | Yes |
DNSSEC | DNS extension that guarantees authenticity of DNS responses, including zone transfers, and to return Denial of Existence responses that protect your network against DNS protocol and DNS server attacks | Yes | Yes |
TSIG Authentication | Automate services with declarative APIs & an intuitive GUI | Yes | Yes |
API Support | Transaction signature keys that authenticate communications about zone transfers between client and server | Yes | Yes |
DNS Load Balancer (DNSLB) | Standard |
Advanced |
|
Global Location-Based Routing | Direct clients to the nearest application instance with geolocation-based load balancing for the best user experience. | Yes | Yes |
Intelligent Load Balancing | Directs application traffic across environments, performs health checks, and automates responses. Includes fully-automated disaster recovery | Yes | Yes |
API support | Automate services with declarative APIs & an intuitive GUI | Yes | Yes |
ADC Telemetry | Track performance, app health, and usage with basic visualization | Yes | Yes |
Multi-Faceted Security | Dynamic security includes automatic failover, built-in DDoS protection, DNSSEC, and TSIG authentication | Yes | Yes |
Observability | Standard |
Advanced |
|
Reporting, Rich Analytics and Telemetry | Unified visibility from application to infrastructure across heterogeneous edge and cloud deployments, including granular status of application deployments, infrastructure health, security, availability, and performance | Yes | Yes |
Security Incidents | Events view that groups thousands of individual events into related security incidents based on context and common characteristics. Aimed at making investigation of app security events easier. | Yes | Yes |
Security Events | Single dashboard view into all security events across full breadth of web app and API security functionality with customization and drill down into all WAF, Bot, API and other layer 7 security events | Yes | Yes |
Global Log Receiver - Log Export Integration (i.e Splunk) | Log distribution to external log collection systems including Amazon S3, Datadog, Splunk, SumoLogic and more. | Yes | Yes |
Other | Standard |
Advanced |
|
Malicious User Detection + Mitigation | AI/ML powered malicious user detection performs user behavior analysis and assigns a suspicion score and threat level based on the acitivity of each user. Client interactions are analyzed on how a client compares to others—the number of WAF rules hit, forbidden access attempts, login failures, error rates, and more. Malicious user mitigation is an adaptive response and risk-based challenge capability - serving different challenges such as Javascript or Captcha challenge or block temporarily based on user threat level. | No | Yes |
Service Policies | Enables micro segmentation and support for advanced security at the application layer with development of allow/deny lists, Geo IP filtering and custom rule creation to act on incoming requests including match and request constraint criteria based on a variety of attributes/parameters TLS fingerprint, geo/country, IP prefix, HTTP method, path, headers and more. | Yes | Yes |
CORS policy | Cross-Origin Resource Sharing (CORS) is useful in any situation where the browser, by default, will disallow a cross-origin request and you have a specific need to enable them. CORS policy is a mechanism that uses additional HTTP header information to inform a browser to allow a web application running at one origin (domain) have permission to access selected resources from a server at a different origin. | Yes | Yes |
Trusted Client IP Headers | Identification of real client IP addresses for monitoring, logging, defining allow/deny policies etc. Security events and request logs will show this real client IP address as the source IP, when this feature is enabled. | Yes | Yes |
Mutual TLS | Support for both TLS and mutual-TLS for authentication with policy-based authorization on the load balancer/proxy provides the capability to enforce end-to-end security of application traffic. Mutual TLS supports the ability to send client certificate details to origin servers in x-forwarded-client-cert (XFCC) request headers. | Yes | Yes |
Support | Standard |
Advanced |
|
24/7/365 Support | Support provided in a variety of methods including in console ticketing, email and phone support. | Yes | Yes |
Uptime SLAs (99.99%) | Yes | Yes | |
Audit Logs (30 days) | Yes | Yes | |
Security Logs (30 days) | Yes | Yes | |
Request Logs (7 days) | Yes | Yes |
약 8,000개의 CVE 시그니처가 포함된 고급 시그니처 엔진과 F5 연구소 및 위협 연구원이 식별한 봇 시그니처를 비롯한 기타 알려진 취약점 및 기술을 기반으로 하는 F5의 핵심 WAF 기술로 애플리케이션 및 API 취약성을 완화합니다.
위반, 회피, http 프로토콜 준수 검사의 조합
오탐 트리거를 억제하는 자가 학습, 확률 모델.
사용자가 http 헤더 이름, 쿠키 이름 또는 쿼리 매개변수 이름을 지정하여 요청 로그에서 중요한 데이터를 마스킹할 수 있습니다. 값만 마스킹되며, 기본적으로 쿼리 매개변수 card, pass, pwd, password의 값은 마스킹됩니다.
WAF에 의해 요청 또는 응답이 차단되면 사용자가 클라이언트에 제공되는 차단 응답 페이지를 맞춤 구성할 수 있습니다.
사용자가 허용되는 HTTP 응답 상태 코드를 지정할 수 있습니다.
IP 위협을 분석하고 F5가 유지 관리하는 수백만 개의 고위험 IP 주소로 구성된 동적 데이터 세트를 게시하여 악의적인 IP의 인바운드 트래픽으로부터 앱 엔드포인트를 보호합니다. IP 취급 카테고리에는 스팸 소스, Windows 악용, 웹 공격, 봇넷, 스캐너 서비스 거부, 피싱 등이 포함됩니다.
Data Guard는 데이터를 마스킹하여 HTTP/HTTPS 응답으로 신용 카드 번호, 주민 등록 번호와 같은 민감한 정보가 노출하는 것을 방지합니다.
특정 일치 기준에 따라 WAF 처리에서 제외해야 하는 시그니처 ID와 위반/공격 유형을 정의하는 규칙입니다. 특정 일치 기준에는 도메인, 경로, 방법이 포함됩니다. 클라이언트 요청이 이러한 모든 기준에 일치하면 WAF는 탐지 제어에 구성된 항목에 대한 처리를 제외합니다.
사용자가 적합한 소스 도메인과 허용된 소스 도메인을 쉽게 구성/지정할 수 있습니다.
쿠키 보호는 SameSite, Secure, Http Only 특성을 추가하여 응답 쿠키를 수정할 수 있는 기능을 제공합니다.
WAF 엔진은 GraphQL 요청에서 취약점을 검사하고 F5 시그니처 데이터베이스를 기반으로 트래픽을 차단합니다.
네트워크 방화벽 제어를 통해 사용자는 특정 소스의 수신 트래픽을 차단하거나 특정 소스의 네트워크 트래픽에 속도 제한을 적용할 수 있습니다. 향상된 보호 기능을 사용하여 소스 주소, 소스 포트, 대상 주소, 대상 포트 및 프로토콜을 기반으로 트래픽을 필터링할 수도 있습니다.
앱과 API 엔드포인트 전반의 비정상적인 트래픽 패턴 및 추세에 대한 이상을 감지하고 경고하는 기능입니다. 고급 머신 러닝(ML)을 활용하여 요청 속도, 오류 비율, 지연 시간, 처리량을 분석함으로써 시간 경과에 따른 앱과 API 동작의 급증, 하락 및 기타 변화를 탐지하며, 엔드포인트를 거부하거나 속도를 제한할 수 있습니다.
"느리고 낮은" 공격(Slow and low attack)은 서버 리소스를 묶어 실제 사용자의 요청을 처리하는 데 사용할 수 있는 리소스가 남지 않도록 합니다. 이 기능을 사용하면 요청 시간 제한 및 요청 헤더 시간 제한 값을 구성하고 적용할 수 있습니다.
F5 Distributed Cloud App Firewall은 가장 많이 사용되는 두 가지 API 프로토콜인 GraphQL과 REST에 대한 검사를 지원합니다.
WAF 시그니처 엔진에는 자동화된 위협 및 크롤러, DDoS/DoS 등을 포함한 봇 기술에 대한 고유한 시그니처가 포함되어 있습니다.
폼재킹, 메이지카트, 디지털 스키밍 및 기타 악의적 JavaScript 공격으로부터 웹 애플리케이션을 다단계 방식으로 보호합니다. 이 다단계 보호 시스템에는 감지, 경고, 완화가 포함됩니다.
퍼블릭 클라우드, 온프레미스 데이터 센터, 분산 엣지 사이트 간의 레이어 3 네트워크 전송.
여러 클라우드 네트워크에서 BIG-IP 및 Palo Alto Networks와 같은 타사 네트워크 방화벽 서비스를 통합합니다.
온프레미스 및 퍼블릭 클라우드 네트워크의 네트워크 세그먼트를 보호하기 위한 정밀한 네트워크 격리 및 마이크로 세분화.
네트워크 전반의 모든 데이터 전송에 대한 기본 TLS 암호화.
퍼블릭 클라우드 네트워크 구성의 자동 프로비저닝 및 오케스트레이션.
네트워크 전반의 모든 데이터 전송에 대한 기본 TLS 암호화.
허용/거부 목록 개발, Geo IP 필터링, 그리고 들어오는 요청에 대응하기 위한 맞춤형 규칙 생성으로 애플리케이션 계층에서 마이크로 세분화와 고급 보안의 지원을 가능하게 합니다. 여기에는 다양한 특성/매개변수 TLS fingerprint, 지역/국가, IP 접두사, HTTP 방법, 경로, 헤더 등을 기반으로 하는 일치 및 요청 제약 조건 기준이 포함됩니다.
Cross-Origin Resource Sharing(CORS)은 브라우저가 기본적으로 교차 원본 요청을 허용하지 않지만 이를 사용해야 하는 상황에서 유용합니다. CORS 정책은 한 원본(도메인)에서 실행되는 웹 애플리케이션이 다른 원본의 서버에서 선택한 리소스에 액세스할 수 있는 권한을 갖도록 브라우저에 알리기 위해 추가 HTTP 헤더 정보를 사용하는 메커니즘입니다.
모니터링, 로깅, 허용/거부 정책 정의 등을 위한 실제 클라이언트 IP 주소 식별 기능입니다. 이 기능이 활성화되면 보안 이벤트와 요청 로그에 이 실제 클라이언트 IP 주소가 소스 IP로 표시됩니다.
로드 밸런서/프록시에서 정책 기반 권한 부여 방식으로 인증에 TLS와 Mutual TLS를 모두 지원합니다. 이렇게 하면 애플리케이션 트래픽에 포괄적인 보안을 적용할 수 있습니다. Mutual TLS는 x-forwarded-client-cert(XFCC) 요청 헤더의 원본 서버로 클라이언트 인증서 세부 정보를 보내는 기능을 지원합니다.
콘솔 티켓팅, 이메일, 전화 지원을 포함한 다양한 방법으로 지원합니다.
가동 시간 SLA(99.99%)
Audit Logs(30일)
메트릭(30일 이내)
요청 로그(30일 이내)
F5의 핵심 WAF 기술로 애플리케이션과 API 취약성을 완화합니다. 이 기술은 CVE에 대한 약 8,000개의 시그니처가 포함된 고급 시그니처 엔진, 그리고 F5 Labs 및 위협 연구자들이 파악한 봇 시그니처를 비롯한 알려진 기타 취약점과 기술을 바탕으로 합니다.
위반, 회피, http 프로토콜 준수 검사의 조합입니다.
오탐지 트리거를 억제하는 자가 학습, 확률 모델.
사용자가 http 헤더 이름, 쿠키 이름 또는 쿼리 매개변수 이름을 지정하여 요청 로그에서 중요한 데이터를 마스킹할 수 있습니다. 값만 마스킹되며, 기본적으로 쿼리 매개변수 card, pass, pwd, password의 값은 마스킹됩니다.
WAF에 의해 요청 또는 응답이 차단되면 사용자가 클라이언트에 제공되는 차단 응답 페이지를 맞춤 구성할 수 있습니다.
사용자가 허용되는 HTTP 응답 상태 코드를 지정할 수 있습니다.
속도 제한은 애플리케이션 원본으로 들어오거나 나가는 요청의 속도를 제어합니다. 속도 제한은 주요 식별자 IP 주소, 쿠키 이름 및/또는 HTTP 헤더 이름을 사용하는 앱에 대해 제어할 수 있습니다.
IP 위협을 분석하고 F5가 유지 관리하는 수백만 개의 고위험 IP 주소로 구성된 동적 데이터 세트를 게시하여 악의적인 IP의 인바운드 트래픽으로부터 앱 엔드포인트를 보호합니다. IP 취급 카테고리에는 스팸 소스, Windows 악용, 웹 공격, 봇넷, 스캐너 서비스 거부, 피싱 등이 포함됩니다.
Data Guard는 데이터를 마스킹하여 HTTP/HTTPS 응답으로 신용 카드 번호, 주민 등록 번호와 같은 민감한 정보가 노출하는 것을 방지합니다.
특정 일치 기준에 따라 WAF 처리에서 제외해야 하는 시그니처 ID와 위반/공격 유형을 정의하는 규칙입니다. 특정 일치 기준에는 도메인, 경로, 방법이 포함됩니다. 클라이언트 요청이 이러한 모든 기준에 일치하면 WAF는 탐지 제어에 구성된 항목에 대한 처리를 제외합니다.
사용자가 적합한 소스 도메인과 허용된 소스 도메인을 쉽게 구성/지정할 수 있습니다.
쿠키 보호는 SameSite, Secure, Http Only 특성을 추가하여 응답 쿠키를 수정할 수 있는 기능을 제공합니다.
WAF 엔진은 GraphQL 요청에서 취약점을 검사하고 F5 시그니처 데이터베이스를 기반으로 트래픽을 차단합니다.
네트워크 방화벽 제어를 통해 사용자는 특정 소스의 수신 트래픽을 차단하거나 특정 소스의 네트워크 트래픽에 속도 제한을 적용할 수 있습니다. 향상된 보호 기능을 사용하여 소스 주소, 소스 포트, 대상 주소, 대상 포트 및 프로토콜을 기반으로 트래픽을 필터링할 수도 있습니다.
다중 계층, 대규모 공격 완화 기능입니다. 여기에는 사전 설정된 완화 규칙, 자동 완화 및 고급 라우팅 DDoS 완화 스크러빙, BGP 경로 광고 또는 신뢰할 수 있는 DNS 확인을 통한 전체 패킷 분석의 조합이 포함됩니다.
앱과 API 엔드포인트 전반의 비정상적인 트래픽 패턴 및 추세에 대한 이상을 감지하고 경고하는 기능입니다. 고급 머신 러닝(ML)을 활용하여 요청 속도, 오류 비율, 지연 시간, 처리량을 분석함으로써 시간 경과에 따른 앱과 API 동작의 급증, 하락 및 기타 변화를 탐지하며, 엔드포인트를 거부하거나 속도를 제한할 수 있습니다.
비정상적인 레이어 7 트래픽에 대해 자동 완화를 구성할 수 있는 머신 러닝(ML) 기반 기능입니다. 요청 속도, 오류 비율, 지연 시간 등을 포함하여 시간 경과에 따른 개별 클라이언트 동작과 앱 성능을 분석한 정보를 기반으로 합니다.
"느리고 낮은" 공격(Slow and low attack)은 서버 리소스를 묶어 실제 사용자의 요청을 처리하는 데 사용할 수 있는 리소스가 남지 않도록 합니다. 이 기능을 사용하면 요청 시간 초과 및 요청 헤더 시간 초과 값을 구성하고 적용할 수 있습니다.
F5 Distributed Cloud App Firewall은 가장 많이 사용되는 두 가지 API 프로토콜인 GraphQL과 REST에 대한 검사를 지원합니다.
고급 머신 러닝입니다. 애플리케이션에 대한 API 엔드포인트의 마크업과 분석이 가능하여 API 엔드포인트를 검색하고 행동을 분석할 수 있습니다. 여기에는 요청 및 응답 스키마, 민감한 데이터 감지 및 인증 상태가 포함됩니다. OpenAPI 사양(OAS) 생성과 함께 인벤토리 및 Shadow API 세트를 제공합니다.
OpenAPI 사양 파일을 가져와 API 그룹을 정의하고, API로의 액세스를 제어하고 API의 동작을 규정하는 규칙을 설정합니다.
API 사양 적용 기능을 사용하면 API에 대한 긍정적인 보안 모델을 사용할 수 있으므로, 조직이 유효한 API 요청에 대한 특성을 기반으로 원하는 API 동작을 손쉽게 구현할 수 있습니다. 이러한 특성은 데이터 유형, 최소 또는 최대 길이, 허용된 문자 또는 유효한 값 범위와 같은 항목에 대한 입력 및 출력 데이터를 검증하는 데 사용됩니다.
API 엔드포인트의 인증 유형 및 상태와 API 위험 점수를 학습하고 감지하는 기능이 포함되어 있습니다. API 엔드포인트 위험 점수 기능은 API 엔드포인트와 관련된 위험을 포괄적으로 측정합니다. 위험 점수는 취약점 검색, 공격 영향, 비즈니스 가치, 공격 가능성, 완화 제어와 같은 다양한 기법을 사용하여 계산됩니다. 이를 통해 조직은 API 취약점을 평가하고 우선순위를 지정하여 보안 조치가 추가로 필요한 API를 빠르게 파악할 수 있습니다.
조직이 API 엔드포인트 연결과 요청 유형을 세부적으로 제어할 수 있습니다. 특정 클라이언트와 연결을 모두 식별, 모니터링, 차단하거나 특정 임계값을 설정할 수 있습니다. 여기에는 IP 주소, 지역/국가, ASN 또는 TLS 지문을 기반으로 한 거부 목록(차단)과 HTTP 방법, 경로, 쿼리 매개변수, 헤더, 쿠키 등을 포함하여 클라이언트와의 앱 및 API 상호 작용을 안내하는 특정 일치 기준을 정의하는 고급 규칙이 포함됩니다. API 연결 및 요청의 이러한 세부적인 제어는 개별 API 또는 전체 도메인에 대해 수행할 수 있습니다.
속도 제한은 API 엔드포인트로 들어오거나 나가는 요청의 속도를 제어합니다.
API 응답 내에서 일반적인 데이터 패턴(신용 카드, 주민 등록 번호) 또는 덜 일반적인 맞춤형 PII 데이터 패턴(주소, 이름, 전화번호)을 감지한 다음 민감한 데이터를 마스킹하거나 민감한 정보를 전송하는 API 엔드포인트를 차단합니다.
WAF 시그니처 엔진에는 자동화된 위협 및 크롤러, DDoS/DoS 등을 포함한 봇 기술에 대한 고유한 시그니처가 포함되어 있습니다.
JavaScript 및 API 호출을 활용하여 텔레메트리를 수집하고, 신호 데이터의 지속적인 ML 분석을 통해 정교한 공격을 저지하여 봇 리툴링에 빠르게 대응하고, 크리덴셜 스터핑, 계정 탈취, 가짜 계정 등과 같은 모든 봇 사용 사례로부터 보호하도록 설계된 실시간 탐지 모델을 동적으로 업데이트하여 자동화된 공격으로부터 앱을 보호합니다.
폼재킹, 메이지카트, 디지털 스키밍 및 기타 악의적 JavaScript 공격으로부터 웹 애플리케이션을 다단계 방식으로 보호합니다. 이 다단계 보호 시스템에는 감지, 경고, 완화가 포함됩니다.
퍼블릭 클라우드, 온프레미스 데이터 센터, 분산 엣지 사이트 간의 레이어 3 네트워크 전송.
여러 클라우드 네트워크에서 BIG-IP 및 Palo Alto Networks와 같은 타사 네트워크 방화벽 서비스를 통합합니다.
온프레미스 및 퍼블릭 클라우드 네트워크의 네트워크 세그먼트를 보호하기 위한 정밀한 네트워크 격리 및 마이크로 세분화.
네트워크 전반의 모든 데이터 전송에 대한 기본 TLS 암호화.
퍼블릭 클라우드 네트워크 구성의 자동 프로비저닝 및 오케스트레이션.
클라우드 전반의 앱 클러스터 간 TCP, UDP, HTTPS 요청에 대한 분산 로드 밸런싱 서비스.
분산 클라우드 환경에서 API 엔드포인트 및 클러스터로의 액세스를 제어하는 세분화된 보안 정책.
분산된 앱 클러스터에서 서비스 가용성 확인.
HTTP 및 HTTPS 트래픽에 대한 경로 기반 정책 시행.
네트워크 전반의 모든 데이터 전송에 대한 기본 TLS 암호화.
AI/ML 기반의 악의적 사용자 탐지는 사용자의 행동을 분석하고 각 사용자의 활동에 따라 의심 점수와 위협 수준을 할당합니다. 클라이언트 상호 작용은 WAF 규칙 적중 수, 금지된 액세스 시도, 로그인 실패, 오류 비율 등을 다른 클라이언트와 비교하는 방식으로 분석됩니다. 악의적 사용자 완화는 적응형 대응 및 위험 기반 대응 기능으로, 사용자 위협 수준에 따라 Javascript 또는 Captcha 대응이나 일시적 차단 등 다양한 방식으로 대응합니다.
허용/거부 목록 개발, Geo IP 필터링, 그리고 들어오는 요청에 대응하기 위한 맞춤형 규칙 생성으로 애플리케이션 계층에서 마이크로 세분화와 고급 보안의 지원을 가능하게 합니다. 여기에는 다양한 특성/매개변수 TLS fingerprint, 지역/국가, IP 접두사, HTTP 방법, 경로, 헤더 등을 기반으로 하는 일치 및 요청 제약 조건 기준이 포함됩니다.
Cross-Origin Resource Sharing(CORS)는 브라우저가 기본적으로 교차 원본 요청을 허용하지 않지만 이를 사용해야 하는 상황에서 유용합니다. CORS 정책은 한 원본(도메인)에서 실행되는 웹 애플리케이션이 다른 원본의 서버에서 선택한 리소스에 액세스할 수 있는 권한을 갖도록 브라우저에 알리기 위해 추가 HTTP 헤더 정보를 사용하는 메커니즘입니다.
모니터링, 로깅, 허용/거부 정책 정의 등을 위한 실제 클라이언트 IP 주소 식별 기능입니다. 이 기능이 활성화되면 보안 이벤트와 요청 로그에 이 실제 클라이언트 IP 주소가 소스 IP로 표시됩니다.
로드 밸런서/프록시에서 정책 기반 권한 부여 방식으로 인증에 TLS와 Mutual TLS를 모두 지원합니다. 이렇게 하면 애플리케이션 트래픽에 포괄적인 보안을 적용할 수 있습니다. Mutual TLS는 x-forwarded-client-cert(XFCC) 요청 헤더의 원본 서버로 클라이언트 인증서 세부 정보를 보내는 기능을 지원합니다.
콘솔 티켓팅, 이메일, 전화 지원을 포함한 다양한 방법으로 지원합니다.
가동 시간 SLA(99.99%)
Audit Logs(30일)
메트릭(30일 이내)
요청 로그(30일 이내)