F5 BIP-IP Learning Mode

F5 BIG-IP Learning Mode, F5’in Application Security Manager (ASM) modülünün bir parçası olup, web uygulama güvenliği politikalarının oluşturulmasını ve optimize edilmesini sağlar. web uygulamanızın trafiğini analiz ederek ve öğrenerek güvenlik politikalarını otomatik olarak geliştirmeye yardımcı olur.

F5 BIG-IP Learning Mode, uygulamanın normal trafiğini öğrenmek için gelen ve giden web trafiğini sürekli olarak izler. Bu analiz süreci, uygulamanın normal davranışlarını ve kullanıcı etkileşimlerini anlamak için makine öğrenimi algoritmalarını kullanır. Öğrenme süreci tamamlandığında, toplanan verilere dayanarak güvenlik politikaları otomatik olarak oluşturulur. Bu politikalar, manuel olarak yazılan güvenlik duvarı kurallarına gerek kalmadan, uygulamanın güvenlik duruşunu optimize eder. Böylece güvenlik yöneticileri, politika yazma ve güncelleme sürecinde zamandan tasarruf ederler.

Diğer web uygulama güvenlik duvarlarında da bulunan bu özellik için yapmış olduğum karşılaştırma tablosu aşağıdaki gibidir.

Not: Tablo 1-2 ay önce hazırlanmış olup, hazırlanırken ürüne ait modül datasheetleri kullanılmıştır.

Bazı ürünlerde öğrenme modu ürün yeteneğine göre belirli bir mb başına, bazılarında ise sorgu ve istek sayısına göre çalışırken F5 BIG-IP üzerinde öğrenme %100 olana kadar devam eder.

Yazımın devamında F5 BIG-IP için gerekli kuralın yazılmasına dair ekran görüntüleri yer almaktadır.

Daha önce oluşturmuş olduğum bir waf policy üzerinden learning mode işlemlerine devam ediyorum.

Gerekli ayarları yaparken uygulamanızın kritiklik seviyesine,trafiğine ve benzer özelliklerine göre seçim yapabilirsiniz.Aşağıdaki ekran görüntüleri sadece örnek olarak alınmıştır.

Öğrenme modu devam ederken aynı zamanda uygulamanızın kritiklik seviyesine göre engelleme işlemlerinide yapabilirsiniz. Gerekli ayarlar yapıldıktan sonra öğrenme modu başlayacak ve giden gelen tüm trafik analiz edilerek bulgular üzerinden öneriler yapılmaya devam edecektir.

Ayrıca yazmış olduğunuz waf kuralının OWASP TOP 10 standartlarına görede skorlandığı ve learning mode ile öğrenilen isteklerin analizi ile birlikte yapacağınız sıkılaştırmalar ile bu skorunda yükselmesini sağlamak mümkün olacaktır. Aşağıdaki ekran görüntüsünde kural yazıldığı andan itibaren kuralın OWASP uyumluluğu skorlanmaya başlamaktadır.

OWASP uyumluluğu ve oluşturduğumuz kuralın sıkılaştırma konusunu farklı bir makalede elimden geldiğince detaylı bir şekilde anlatmaya çalışacağım.

F5 dinamik ve sürekli öğrenme yeteneği sayesinde öğrendiği trafiği analiz etme,politika oluşturma yeteneği ile diğer ürünlerin önüne geçiyor. Learning mode sadece F5 BIG-IP tarafında bulunurken, F5 Distributed Cloud tarafında yer almamaktadır. Bu özellik sadece f5 distributed cloud çözümünde değil diğer üreticilere ait cloud waf çözümlerinde de bulunmamaktadır.

Faydalı olması dileği ile.