شنبه 26 آبان 1403•نویسنده: افق داده ایرانیان• مدت زمان مطالعه: 7 دقیقه
بررسی و تحلیل WAF پیشرفته F5
F5•0 •4 •26 نظر
بررسی و تحلیل WAF پیشرفته F5
F5-Advanced WAF
WAF پیشرفته F5 :حداقلها
شرکتهای تحلیلگر، آزمایشگاههای آزمون و کاربران، امتیاز بالایی را برای F5 قائل هستند. به ویژه کسانی که تمایل دارند تا حفاظت پیشرفته در برابر باتها (advanced bot protection) و حفاظت از لایه اپلیکیشن در برابر حملات DDoS (app-layer DDoS protection) داشته باشند و میخواهند که دادههای حساس و اعتبارنامههای (credentials) خود را رمزگذاری کنند، باید WAF پیشرفته F5 را در بالای فهرست گزینههای مورد نظر خود قرار دهند.
WAF پیشرفته F5 : توضیحات محصول
WAF پیشرفته F5، حملات را شناسایی و آنها را مسدود میسازد. این WAF پیشرفته، لایه اپلیکیشن را رمزگذاری کرده، از اعتبارنامهها و سایر دادهها در برابر سرقت محافظت نموده و میتواند حملات L7 DDoS را با استفاده از یادگیری ماشین و تحلیل رفتار تشخیص دهد.
این WAF قابلیتهای زیر را ارائه میکند:
حفاظت در برابر اکسپلویتهای وب (web exploits) و آسیبپذیریهای اپلیکیشن (CVEها)
حفاظت در برابر باتها
حفاظت در برابر حملات مرتبط با اعتبارنامهها (credential attacks)
هوش تهدید لحظهای و شهرت
کاهش حملات L7 DDoS مبتنی بر یادگیری ماشین و تحلیل رفتار
امنیت API
پیش از این، F5، وب فایروال (WAF) خود را به صورت یک ماژول در یک بسته سرویس بزرگتر ارائه میداد، اما این محصول جدید، یک محصول کاملاً مستقل است.
امنیت: خوب. آزمایشگاههای NSS، امتیاز 98.11% را از نظر اثربخشی امنیتی و امتیاز 94% را از نظر مسدودسازی به محصول F5 دادهاند که آن را در جایگاه چهارم قرار میدهد.
یکی از مهندسین امنیت در صنعت مالی میگوید که «این محصول در زمینه حفاظت از وبسایتها در لایه اپلیکیشن به خوبی عمل میکند. همچنین، عملکردی فراتر از فایروالهای سنتی دارد و میتواند حفاظت خوبی را در برابر تهدیدات رایج و تهدیدات جدید برای شما فراهم نماید.»
عملکرد: بسیار خوب. آزمایشگاههای NSS، عملکرد این محصول را نسبت به تمام محصولات مشابه، به جز فقط یکی از رقبا بالاتر میدانند. این محصول میتواند 31،000 اتصال در ثانیه (CPS) و 36،540 تراکنش در ثانیه برقرار نماید. بر اساس ادعای F5، این محصول میتواند از 25Mbps (نسخه مجازی (Virtual Edition)) به یک شاسی 8 تیغهای ارتقا یابد. به این ترتیب، از 5 میلیون درخواست L7 در ثانیه و 140Gbps L4/L7 در هر تیغه پشتیبانی میکند.
بر اساس گزارش گارتنر، «مشتریان امتیاز بالایی را از نظر عملکرد و همچنین، از نظر کیفیت ماژولهای امنیتی مانند حفاظت در برابر حملات تزریق (injection attacks)، DDoS و امنیت API برای F5 قائل هستند.»
ارزش: نسبتاً خوب. بر اساس بررسی آزمایشگاههای NSS، هزینه کلّی مالکیت (TCO) محصول F5 برابر با 327،176 دلار برای سه سال است. بدین معنی که هزینه هر اتصال در ثانیه (CPS) برابر 6/60 دلار است که نسبت به سایر رقبا گرانتر است. اما این برآوردها بر اساس نسخه قبلی F5 WAF است. امروز، نسخههای ابری این محصول، هزینههای کلّی مالکیت (TCO) را به شدت پایین آورده است.
پیادهسازی: خوب. روشهای پیادهسازی از پیچیده تا ساده متغیر هستند. در WAF پیشرفته F5 از همان معماری پروکسی کامل داخل خطیای (inline full proxy architecture) استفاده میشود که در راهکارهای F5 BIG-IP به کار رفته است. شاسی VIPRION که در رده حامل (carrier-grade) قرار دارد، روشی است که پیادهسازی آن نیاز به مهارت دارد. میتوانید از سناریوهای استقرار دیگری همچون L2 Transparent (بدون پروکسی) هم استفاده کنید. روشهای سادهتری هم برای پیادهسازی در ابر وجود دارد که از آن جمله میتوان به پیادهسازی از طریق F5 Silverline WAF Express، کلیک برای اجرای WAF در مرکز امنیت مایکروسافت آژور(click to run WAF in Microsoft Azure Security Center) و بخشی از یک راهکار بزرگتر در نسخه ابری BIG-IP (BIG-IP Cloud Edition) اشاره نمود.
گارتنر در مورد نسخه قبلی F5 WAF میگوید که «مشتریان جدید معمولاً میگویند که در کار با رابط مدیریتی این محصول دچار مشکل هستند و گیج میشوند. مشتریان دوست دارند که محصول انعطافپذیر باشد، اما منحنی یادگیری این محصول خیلی گسترده است و یادگیری تمام قابلیتهای آن دشوار است.» اما امروز روشهای سادهتری هم برای پیادهسازی وجود دارد.
مدیریت: بهترین در این رده. رابط مدیریتی WAF پیشرفته F5، امروز به صورت وبی است و به طور خاص برای اهداف مورد نظر دستاندرکاران امنیت طراحی شده است. بدین ترتیب، پیکربندی پالیسیها (policy configuration)، ثبت لاگها (logging)، تغییر (altering)، وخامت موارد نقض امنیت (violation severity) و تحلیلها، همه و همه به همان صورتی که انتظار دارید، در اختیار شما قرار دارد. همین قابلیتها از طریق REST API هم فراهم شده تا کسانی که میخواهند اتوماسیون انجام دهند، بتوانند از این قابلیتها بهرهمند شوند. علاوه بر این، رابطهای کاربری (UI) مختلفی طراحی شده تا بتوانید راهکارهای امنیتی F5 را مدیریت نموده و از آنها استفاده کنید.
گارتنر، همچنین اضافه مینماید که پورتفوی بزرگ و مقیاسپذیر پلتفرم BIG-IP، قابلیتهای قدرتمندی از نظر مدیریت دسترسی و لودبالانس (load-balancing) در اختیار مشتریان F5 قرار داده است. مشتریان این محصول میتوانند معماری مورد نظر خود را با رمزگشایی تکمرحلهای (single-pass decryption) ایجاد کرده، روی راهکارهای امنیتی دیگر بروند (mirroring to other security solutions)، یادگیری واحد (unified learning) داشته، پالیسیها را ایجاد نموده و یک دید متمرکز (central visibility) در اختیار داشته باشند.
یکی از مدیران سیستمها در صنعت تلکام میگوید که «پیادهسازی این راهکار بسیار سریع و مدیریت آن، ساده است.»
پشتیبانی: خیلی خوب. F5 مراکز پشتیبانی مختلفی را برای شرکا و مشتریان خود در آسیا-اقیانوسیه (APAC)، ژاپن، اروپا، خاورمیانه و آفریقا (EMEA) و آمریکای شمالی دارد. در این مراکز مهندسینی حضور دارند که با چندین زبان مختلف متناسب با محل از محصول پشتیبانی میکنند. علاوه بر این، پورتال وبی F5 WebSupport Portal نیز در دسترس است و مشتریان میتوانند به سرعت مسائل پشتیبانی جدید خود را ایجاد کرده، شماره caseخودکار دریافت نموده، جزئیات caseو بهروزرسانیها را خوانده، پیوستهای رفع اشکال را آپلود کرده و امور مشابه دیگری را در این پورتال انجام دهند.
قابلیتهای ابری: خیلی خوب. Silverline WAF Express محصول ارزانقیمت F5 است که بدون سرویسهای مدیریتشده ارائه میشود. محصولات ابری گرانقیمتتر هم وجود دارند که خدمات بیشتری را ارائه میکنند. گارتنر میگوید که سیلورلاین (Silveline) یکی از محصولاتی است که مشتریان به عنوان گزینهای برای خدمات WAF ابری از آن یاد میکنند. این محصول، یک API برای مدیریت پیکربندی WAF دارد که قابلیتهای آن کامل است و میتوان آن را با AWS و پلتفرمهای مایکروسافت آژور(Microsoft Azure) یکپارچه ساخت.
WAF VENDOR-F5
بازارها و موارد استفاده WAF پیشرفته
سه مورد استفاده اصلی برای WAF پیشرفته وجود دارد:
حفاظت پیشرفته در برابر باتها: تحلیل رفتار در WAF پیشرفته F5 میتواند تهدیداتی را تشخیص دهد که در روشهای مبتنی بر امضا (signature-based approaches) وجود نداشته یا به اشتباه مسدود میشوند (مثبتهای کاذب). وب فایروال پیشرفته F5، همچنین میتواند در مواردی مثل اپلیکیشنهای موبایل که امکان استفاده از جاوا اسکریپت (JavaScript) وجود ندارد، حفاظت در برابر باتها را فراهم نماید. تحلیل رفتار، حفاظتهای موجود در برابر باتها را نیز تقویت میکند. از جمله این موارد میتوان به پایش تراکنش کلاینتها و تأخیر سرور، پایش URL که از نظر منابع حساس است (resource-intensive URL monitoring)، دفاع پیشدستانه در برابر باتها (proactive bot defense) و چالشهای CAPTCHA اشاره کرد.
اکانت تیکاور (Account Takeover): در WAF پیشرفته F5 به منظور حفاظت از دادههای حساس و اعتبارنامهها، از رمزگذاری لایه اپلیکیشن به وسیله راهکار DataSafe استفاده میشود. این لایه اضافی میتواند ریسکهای ناشی از keyloggerهای عمومی و ابزارهای کشف اعتبارنامهها (credential capture tools) در سطح مرورگر را کاهش دهد.
محروم سازی از سرویس در لایه اپلیکیشن (L7 DDoS): ترافیک نرمال خطپایه در WAF پیشرفته F5، امضاهای لحظهای DDoS را برای حملات جدید در لایه اپلیکیشن (L7) ایجاد کرده و آنها را اعمال مینماید. کشف استرس (Stress Detection) مثبتهای کاذب را کاهش داده و تضمین میکند که اقدامات کاهشی تنها زمانی اعمال میشوند که حمله، مؤثر باشد. WAF پیشرفته F5 میتواند بین باتهای مخرب و سالم، اسکرپرهای وب (web scrapers) و تلاش برای هک با استفاده از جستجوی فراگیر (brute force hacking attempts) تمایز قائل شود.
صلاحیتهای امنیتی
معیارهای رایج، FIPS، PCL.
ارائه
WAF پیشرفته به صورت یک دستگاه با هدف خاص (purpose-built appliance)، یک دستگاه مجازی آماده برای ابر (cloud-ready virtual appliance) یا بخشی از سرویس F5 Silverline ارائه میشود.
قیمت
قیمت این دستگاه برای پرداخت به ازای استفاده روی AWS (Pay as You Go) از 1.33 دلار به ازای هر ساعت شروع میشود و قیمت لایسنس دائمی نسخه مجازی آن (Virtual Edition perpetual license) برابر 7،495 دلار است. آزمایشگاههای NSS، هزینه کلّی مالکیت (TCO) را برابر با 142،590 دلار و هزینه کلّی مالکیت به ازای هر اتصال بر ثانیه (CPS) را برابر با 6.52 دلار اعلام کرده است.
