根据 Forrester 的 2021 年应用安全状况报告,去年所有网络攻击中有 39% 针对的是 Web应用,这是有充分理由的。 Web 应用程序面向公众的性质、其庞大的使用范围以及始终存在的代码漏洞风险使其极难保护,这增加了攻击者成功的机会。 Positive Technologies的一项研究发现,经过渗透测试,工作负载平均包含 22 个潜在的安全漏洞,其中五分之一的漏洞被认为具有高严重性。 毫不奇怪,本研究发现的漏洞主要以OWASP Top 10漏洞为主,如图 1 所示。
现在,当谈到在 AWS 云上运行应用程序时,应用开发人员有时会选择优先考虑尽快启动和运行他们的工作负载,而忽视了实施应用安全作为“零作业”措施的重要性。 认识到这种忽视应用程序安全性的趋势,并意识到许多组织缺乏专门的内部安全专业知识,AWS 设计了自己的本机 Web应用防火墙 (WAF),旨在易于使用和快速操作。 尽管 AWS WAF 实施起来快速而简单,但它需要用户配置的 Web 访问控制列表 (ACL) 来保护资源,并且旨在进行大量定制以满足各种工作负载的需求。 然而,WAF 定制是一个具有挑战性的过程,因为它需要特定的应用程序和领域知识以及对当前威胁形势的透彻了解。
这就是为什么 AWS 与包括 F5 在内的多家安全供应商合作,提供可附加到 AWS WAF 实例的各种托管规则集,对其进行升级以缓解一系列 Web 应用程序和 API 攻击类型。 当 AWS WAF 客户将自定义 F5 WAF 规则集附加到他们的 WAF 实例时,AWS 用户可以保持简单性和易用性,同时减轻更复杂的威胁。
F5 目前提供四种独特的规则集,每种规则集均可针对不同类型的威胁提供防护:
每个规则集均由 F5 安全专家编写、管理和定期更新,从而使客户能够保护他们的应用程序免受不断演变的威胁,而无需 AWS WAF 用户的任何干预。 无论规则是应用于新的还是现有的 AWS WAF 实例、AWS应用负载均衡器还是 AWS CloudFront,只需单击几下即可在 AWS WAF 控制台中在几分钟内附加任何 F5 规则集
您可以在各自的AWS Marketplace列表中找到有关我们的任何规则集的更多信息:
如果您正在考虑使用 AWS WAF 尝试我们的任何规则,并且有任何疑问或需要帮助,只需登录 F5 DevCentral社区网站即可提问。 我们的一位技术专家或我们杰出社区的一名成员将帮助您入门。 您还可以通过以下支持资源了解更多信息,或联系 F5 销售人员获取更多支持。