A maior parte de uma política de WAF inspeciona o que entra. O Data Guard é diferente: ele inspeciona o que sai. É a defesa do F5 AWAF - Advanced WAF (antigo BIG-IP ASM - Application Security Manager) contra o vazamento de dados sensíveis em uma resposta do servidor.

O que ele faz

A F5 descreve de forma simples: o Data Guard impede que as respostas exponham informações sensíveis mascarando os dados. Quando uma resposta passa pelo BIG-IP, o Data Guard examina o corpo em busca dos padrões que está configurado para proteger e substitui o valor correspondente (tipicamente por asteriscos), de modo que o cliente nunca veja o dado real.

O que ele protege

Por padrão, o Data Guard consegue detectar e mascarar números de cartão de crédito e números de Seguro Social dos EUA. Além desses detectores integrados, você pode adicionar seus próprios padrões personalizados, expressos como expressões regulares, para qualquer outra coisa sensível à sua aplicação, como números de conta internos ou IDs de registro.

Em uma política declarativa, a seção fica assim:

{ "policy": { "data-guard": { "enabled": true, "creditCardNumbers": true, "usSocialSecurityNumbers": true, "customPatterns": [] } } }

enabled liga o recurso; creditCardNumbers e usSocialSecurityNumbers alternam os detectores integrados; customPatterns carrega suas próprias expressões. O Data Guard também pode ser delimitado para se aplicar a, ou ser ignorado em, uma lista específica de URLs.

Lendo em uma política

Como uma política declarativa é um delta sobre o seu template, uma seção data-guard ausente significa que o padrão do template se aplica, não que o mascaramento está desligado. Somente um "enabled": false explícito indica que o mascaramento foi deliberadamente desativado nesta política. Essa distinção é um achado real: "Data Guard não mencionado" e "Data Guard desligado" são dois estados diferentes, e apenas o segundo é uma decisão tomada pelo autor da política.

Por que importa

O Data Guard é um controle de conformidade e de defesa em profundidade. Um backend que retorna um número completo de cartão ou um SSN em uma página de erro é uma exposição genuína, e o Data Guard a intercepta na borda, mascarando o valor mesmo quando a própria aplicação não o faz. Ele não corrige o vazamento subjacente, mas impede que o valor sensível chegue ao cliente, o que muitas vezes é a diferença entre um incidente e um quase-incidente.