全球范围内的应用数量正在呈指数级增长,这并不是什么秘密。 看看任何一家企业,其所使用的工作负载范围广泛,从面向外部的营销和电子商务工作负载到面向内部的生产力和人力资源管理应用。 而且,这些大量的应用程序往往深度交织、相互依赖,在它们之间来回发送 API 请求时,形成了一个复杂的“聊天”网络。 虽然这些 API 使您的员工、客户和合作伙伴能够从复杂的应用中受益,但它们也扩大了您的威胁范围,为网络攻击提供了另一个可利用的界面。 事实上,最近亚马逊、Facebook 甚至黑帽安全会议的漏洞都针对了易受攻击的 API,导致大量数据丢失。
在 F5,我们的目标是确保任何地方每个应用程序的安全。
我们认识到并非所有应用程序都是平等的(关键任务应用优先于不太敏感的工作负载),我们也明白保护整个产品组合中每个应用界面的安全可能非常困难且成本高昂。 因此,许多企业转向云原生安全解决方案来保护其不太敏感的应用程序,同时依靠F5 Advanced WAF(API 安全 - 新一代 WAF)来保护其更关键的工作负载。 但正如许多组织发现的那样(痛苦的经历),任何应用接口都可以成为进入网络和数据的入口点,这意味着“足够好”的安全性实际上并不存在。
您可能还记得,去年 F5 与 AWS 合作提供了三组托管规则,这些规则可以分层在 AWS 的原生 WAF 之上,以扩展其安全功能以包括机器人、OWASP 和 CVE(常见漏洞和暴露)保护。 基于这种集成,我们很高兴发布另一套规则集,该规则集专注于保护您的 API 免受现有和新出现的威胁,包括 XML 外部实体 (XXE) 攻击和服务器端请求伪造 (SSRF)。
由于 AWS API Gateway最近增加了对 AWS WAF 的支持,因此添加 F5 的 API 保护托管规则是一种快速简便的方法,可在此增强您的 API 安全态势,无需任何安全专业知识或采用Advanced WAF(API 安全 - 新一代 WAF)解决方案。 除了支持 API 网关内的 API 之外,这些规则还保护各种其他常见的 Web API 框架。
所有规则均由 F5 安全专家编写、管理和定期更新,因此您无需担心手动更新版本以防范新出现的漏洞。 只需单击几次即可将这些规则应用于特定应用,并根据即用即付的实用模式获得许可,无需合同或其他承诺。
有关 F5 针对 AWS WAF 的托管规则的更多信息,请前往 AWS Marketplace 查看:
或者查看 F5 的Advanced WAF(API 安全 - 新一代 WAF) ,它提供了规则中涵盖的所有内容以及更多内容: