Como o WAF da F5 conquistou sua competência em segurança da AWS
A segurança de aplicativos é um componente fundamental da plataforma ADC da F5, com o BIG-IP fornecendo proteção de firewall de aplicativo da web líder do setor, bem como acesso seguro e unificado para aplicativos localizados em qualquer lugar dentro de uma arquitetura multi-nuvem. E embora possamos reivindicar o fornecimento da solução de segurança mais abrangente disponível, não fingiremos ser o único player no mercado, complicando assim a decisão do comprador devido à miríade de alternativas sendo consideradas. No entanto, para aqueles que buscam mitigar ataques a aplicativos implantados na nuvem pública, a AWS deu um passo para simplificar a fase de consideração da jornada do comprador com o lançamento de seu programa AWS Security Competency, dentro do qual a F5 anunciou recentemente a inclusão de seu firewall de aplicativo da web, o BIG-IP Application Security Manager (ASM). Nesta postagem, vamos nos aprofundar em como a solução WAF da F5 — que fornece proteção avançada contra aplicativos L7 e DDoS — se tornou um membro deste clube exclusivo…
A AWS continua enfatizando a importância de seu modelo de responsabilidade compartilhada (Figura 1, acima), pelo qual os proprietários de aplicativos são responsáveis pela segurança na nuvem (máquinas virtuais, sistema operacional, aplicativos e dados), enquanto a AWS é responsável pela segurança da nuvem (hardware, software, rede e instalações). É aqui que o programa Security Competency entra em ação, apresentando aos usuários da AWS uma lista concisa de fornecedores terceirizados que demonstraram sucesso e proficiência técnica no fornecimento de soluções de segurança para aplicativos hospedados pela AWS na nuvem, essencialmente eliminando uma série de fornecedores inadequados da lista de consideração .
As 3 categorias de requisitos para atingir a competência de segurança da AWS
Obter competência em segurança da AWS não foi tarefa fácil, com os parceiros precisando cumprir uma infinidade de requisitos em três áreas distintas:
O primeiro deles gira em torno de referências de clientes e essencialmente comprova o valor da solução. Para marcar essa caixa, a F5 forneceu à AWS uma série de relatórios de projetos de segurança concluídos, descrevendo detalhadamente as declarações de problemas dos clientes e como o WAF da F5 forneceu a solução. Dessas histórias de clientes, duas foram endossadas publicamente para ilustrar melhor uma seleção de casos de uso e benefícios em ambientes de produção.
A segunda categoria se concentrou na funcionalidade do produto e da implantação, bem como em qualquer funcionalidade geral específica da infraestrutura da AWS. Para passar aqui, o F5 precisava apresentar documentação completa sobre a configuração, uso e proficiência do BIG-IP ASM Virtual Edition, bem como diretrizes dedicadas sobre a implantação do WAF em uma topologia de alta disponibilidade (HA). Como parte da documentação, a AWS exige explicitamente que a F5 forneça uma lista de todas as regulamentações de conformidade com as quais a solução auxilia, tornando mais fácil para os clientes desconsiderar outros fornecedores que podem não atender às expectativas. Por fim, a capacidade da solução WAF de criptografar dados foi verificada, antes de mostrar sua profunda integração com o serviço de gerenciamento baseado em funções IAM da AWS, garantindo que os usuários consigam regular com segurança o acesso ao dispositivo.
O terceiro e último conjunto de requisitos concentra-se na integração do WAF com os serviços da AWS para aumentar a segurança e a disponibilidade da solução. Como a solução WAF da F5 oferece suporte ao dimensionamento automático por meio de um modelo do CloudFormation, conforme descrito nesta postagem anterior e mostrado na Figura 2, ela atendeu aos requisitos de " segurança de infraestrutura" ao se integrar ao AWS Auto Scale e ao AWS ELB, além de exibir a capacidade de operar em várias zonas de disponibilidade. Em seguida, ' registro e monitoramento' — outra verificação fácil aqui com a solução de dimensionamento automático dependendo fortemente do AWS CloudWatch para monitorar instâncias em tempo real para fornecer alarmes e acionar eventos de dimensionamento. Para o obstáculo final, a equipe de segurança da AWS realizou uma avaliação de vulnerabilidade do WAF, antes de garantir que ele atendesse a todos os requisitos de proteção de dados e suportasse as obrigações de identidade e acesso necessárias.
Depois de passar por todos os requisitos com louvor, a AWS publicou a solução WAF da F5 em sua página Security Partner Solutions para que todos pudessem ver, ao mesmo tempo em que concedeu à F5 este novo e brilhante prêmio em reconhecimento a esta conquista:
Para obter informações sobre a solução WAF da F5, você pode dar uma olhada na folha de dados do BIG-IP ASM ou, alternativamente, pode conferi-la no AWS Marketplace aqui .