F5 Distributed Cloud Servicesの比較

F5のコアWAFテクノロジによりアプリケーションとAPIの脆弱性を緩和します。このテクノロジを支えているのが当社の高度なシグネチャ エンジンであり、これにはCVEの約8,000のシグネチャに加え、F5 Labsと脅威研究チームが特定したボット シグネチャなどのその他の既知の脆弱性や手法が含まれています。

侵害、回避、httpプロトコル コンプライアンス チェックを併用。

誤検知の発生を抑える自己学習確率モデル。

httpヘッダー名、Cookie名、またはクエリ パラメータ名を指定することで、リクエスト ログ内の機密データをマスキングできます。値のみがマスキングされます。デフォルトでは、card、pass、pwd、passwordクエリ パラメータの値がマスキングされます。

リクエストまたはレスポンスがWAFでブロックされた場合、ユーザーはクライアントに提供されるブロッキング レスポンス ページをカスタマイズできます。

ユーザーは、どのHTTPレスポンス ステータス コードを許可するかを指定できます。

レート制限は、アプリケーション オリジンに送受信されるリクエストのレートを制御します。アプリケーションのレート制限は、キー識別子IPアドレス、Cookie名、HTTPヘッダー名を使用して制御できます。

悪意のあるIPからのインバウンド トラフィックからアプリケーションのエンドポイントを保護するため、IP攻撃を分析し、F5が管理する数百万に及ぶ高リスクIPアドレスの動的データ セットを公開しています。IP処理のカテゴリには、スパム ソース、Windowsエクスプロイト、Web攻撃、ボットネット、スキャナ サービス拒否、フィッシングなどがあります。

Data Guardは、データをマスクキングすることで、HTTP/HTTPSレスポンスでクレジット カード番号や社会保障番号などの機密情報が漏洩するのを防ぎます。

特定の一致基準に基づいてWAF処理から除外するシグネチャIDや違反/攻撃タイプを定義するルール。特定の一致基準には、ドメイン、パス、メソッドが含まれます。クライアント リクエストがこれらすべての基準に一致する場合、WAFは検出コントロールで設定された項目の処理を除外します。

適切なソース ドメインの許可を簡単に構成/指定できます。

Cookie保護は、SameSite、Secure、およびHttp Only属性を追加してレスポンスCookieを変更することができます。

WAFエンジンは、GraphQLリクエストの脆弱性を検査し、F5シグネチャ データベースに基づいてトラフィックをブロックします。

ネットワーク ファイアウォールを制御することで、特定のソースからのイングレス トラフィックをブロックしたり、特定のソースからのネットワーク トラフィックにレート制限を適用したりすることができます。保護機能が強化され、送信元アドレス、送信元ポート、送信先アドレス、送信先ポート、プロトコルに基づいてトラフィックを選別できます。

事前に設定した緩和ルールと自動緩和の併用と、BGPルート アドバタイズメントまたは権威DNS解決を通じたフル パケット分析による高度なルーティングDDoS緩和スクラビングを含む、ボリューム型攻撃に対する多層型の緩和対策。

アプリケーションとAPIエンドポイント全体にわたる異常なトラフィック パターンと傾向に関する異常検知とアラート。高度な機械学習（ML）を活用し、エンドポイントを拒否またはレート制限する機能によってリクエスト レート、エラー レート、遅延、スループットを分析することで、アプリケーションとAPIの動作の急増、急減、その他の変化を経時的に検知します。

機械学習（ML）ベースの機能。リクエスト レート、エラー レート、遅延などを含む、個々のクライアントの動作とアプリケーションのパフォーマンスの経時的な分析に基づいて、レイヤ7の異常なトラフィックに対して自動緩和を構成できます。

「Slow and Low」攻撃はサーバ リソースを占有するため、実際のユーザーからのリクエストに対応できなくなります。この機能を使用すると、リクエスト タイムアウト値とリクエスト ヘッダー タイムアウト値を構成して適用することができます。

F5 Distributed Cloud App Firewallは、最も一般的なAPIプロトコルであるGraphQLとRESTの2つの検査をサポートします。

高度な機械学習。APIエンドポイントの検出と動作分析を目的とした、アプリケーションのAPIエンドポイントのマークアップと分析を可能にします。これには、リクエストとレスポンスのスキーマ、機密データの検出、認証ステータスが含まれます。OpenAPI仕様（OAS）を生成し、インベントリおよびシャドウAPIセットを提供します。

OpenAPI仕様ファイルをインポートして、APIグループを定義し、APIへのアクセスとAPIの動作を制御するルールを設定することができます。

API仕様の実施機能。これにより、APIのポジティブ セキュリティ モデルが可能になり、有効なAPIリクエストの特性に基づいて必要なAPI動作を簡単に強制することができます。これらの特性を使用して、データ タイプ、最小長または最大長、許可される文字、有効な値の範囲などについて、入出力データの検証が行われます。

APIエンドポイントの認証タイプとステータスを学習して検出する機能と、APIリスク スコア機能が含まれています。APIエンドポイント リスク スコア機能は、APIエンドポイントに関連するリスクの包括的な対策をユーザーに提供します。リスク スコアは、脆弱性検出、攻撃の影響、ビジネス価値、攻撃の可能性、緩和制御など、さまざまな手法を使用して計算されます。これは、追加のセキュリティ対策が必要なAPIを迅速に特定するために、APIの脆弱性を評価して優先順位を付けるのに役立ちます。

この機能を使用すると、APIエンドポイントの接続とリクエスト タイプをきめ細かく制御できます。特定のクライアントと接続をまとめて特定、監視、ブロックすることや、特定のしきい値を設定することができます。これには、IPアドレス、地域/国、ASNまたはTLSフィンガープリントに基づく拒否リスト（ブロッキング）に加え、アプリケーションとAPIのクライアントとのやり取りを誘導する特定の一致基準（HTTPメソッド、パス、クエリ パラメータ、ヘッダー、Cookieなど）を定義するより高度なルールが含まれます。API接続とリクエストのきめ細かな制御は、個々のAPIに対して行うことも、ドメイン全体に行うこともできます。

レート制限は、APIエンドポイントに送受信されるリクエストのレートを制御します。

APIレスポンス内の汎用的なデータ（クレジット カード番号、社会保障番号）やあまり一般的でないカスタムPIIデータ パターン（住所、名前、電話番号）を検出し、機密データをマスキングするか、機密情報を送信しているAPIエンドポイントをブロックします。

WAFシグネチャ エンジンには、自動攻撃や、クローラー、DDoS/DoSなどのボット手法の独自のシグネチャが含まれています。

JavaScriptとAPI呼び出しを利用してテレメトリを収集し、高度な攻撃を緩和して、自動攻撃からアプリケーションを保護します。さらに、信号データの継続的なML分析によってボットの改変に迅速に対応し、クレデンシャル スタッフィング、アカウント乗っ取り、偽のアカウントなどのあらゆるボットのユース ケースを防止するように設計されたリアルタイム検出モデルを動的に更新します。

フォームジャッキング、Magecart、デジタル スキミング、その他のJavaScript攻撃からWebアプリケーションを守る多段階保護システムを提供します。このシステムは、検出、警告、緩和を行います。

パブリック クラウド、オンプレミス データセンタ、分散エッジ サイト間のレイヤ3ネットワーク転送。

BIG-IPやPalo Alto Networksなどのサードパーティのネットワーク ファイアウォール サービスを複数のクラウド ネットワークにわたって統合します。

きめ細かなネットワーク分離とマイクロセグメンテーションにより、オンプレミスとパブリック クラウド ネットワーク全体でネットワーク セグメントを保護します。

ネットワーク上のすべてのデータ転送に対するネイティブのTLS暗号化。

パブリック クラウド ネットワーク構成の自動プロビジョニングとオーケストレーション。

クラウド全体のアプリケーション クラスタ間のTCP、UDP、HTTPSリクエストを対象とした分散ロード バランシング サービス。

分散クラウド環境にあるAPIエンドポイントとクラスタへのアクセスを制御するためのきめ細かなセキュリティ ポリシー。

分散アプリケーション クラスタ全体でサービスの可用性を特定します。

HTTPおよびHTTPSトラフィックに対するルートベースのポリシーの適用。

ネットワーク上のすべてのデータ転送に対するネイティブのTLS暗号化。

AI/MLを利用した悪意のあるユーザーの検出では、ユーザーの行動分析を行い、各ユーザーのアクティビティに基づいて疑わしさを示すスコアと脅威レベルを割り当てます。クライアントとのやり取りは、WAFルールのヒット数、禁止されたアクセスの試行、ログイン失敗、エラー レートなどについて、他のクライアントとの比較に基づいて分析されます。悪意のあるユーザーの緩和機能は、適応型で対応するリスクベースのチャレンジ機能であり、JavaScriptやCAPTCHAなどのさまざまなチャレンジを提供したり、ユーザーの脅威レベルに基づいて一時的にブロックしたりすることができます。

着信リクエストに対処するための許可/拒否リスト、Geo IPフィルタリング ルール、カスタム ルールを作成して、アプリケーション層でのマイクロ セグメンテーションと高度なセキュリティのサポートを可能にします。これには、TLSフィンガープリント、地理的情報/国、IPプレフィックス、HTTPメソッド、パス、ヘッダーなど、さまざまな属性/パラメータに基づく一致基準やリクエスト制約基準が含まれます。

Cross-Origin Resource Sharing（CORS）は、ブラウザがデフォルトでクロスオリジン リクエストを許可しない状況で、それらを有効にする特定のニーズがある場合に役立ちます。CORSポリシーは、追加のHTTPヘッダー情報を使用して、あるオリジン（ドメイン）で実行されているWebアプリケーションが、別のオリジンにあるサーバの特定のリソースにアクセスするのを許可するようにブラウザに指示するメカニズムです。

監視、ロギング、許可/拒否ポリシーの定義などのためのクライアントのリアルIPアドレスの識別。この機能が有効になっている場合、セキュリティ イベントとリクエスト ログには、クライアントのリアルIPアドレスがソースIPとして表示されます。

ロード バランサ/プロキシでポリシーベースの認可による認証のためのTLSと相互TLSをどちらもサポートします。これにより、アプリケーション トラフィックのエンドツーエンドのセキュリティを強化することができます。相互TLSは、x-forwarded-client-cert（XFCC）リクエスト ヘッダーでクライアント証明書の詳細をオリジン サーバに送信する機能をサポートしています。

コンソールのチケット発行、メールや電話によるサポートなど、さまざまな方法でサポートが提供されます。