Użytkowników usług trzeba identyfikować, aby uniemożliwić dostęp nieuprawnionych osób.
Ze względu na coraz częstsze ataki, trzeba wdrażać bardziej zaawansowane funkcje, aby określić, czy użytkownik ma prawo uzyskać dostęp do danego zasobu. Samo hasło to za mało ? trzeba wziąć pod uwagę także kontekst użytkownika (gdzie, jak, kiedy itd.).
F5 umożliwia rejestrację urządzeń VoIP (telefonów, smartfonów, komputerów PC itd.) w sposób inteligentny, zawsze kierując zarejestrowane urządzenie do optymalnego centrum przetwarzania danych.
Rozwiązanie F5 bezpośrednio tłumaczy informacje pochodzące z klienckiego elementu SIP i wprowadza w nich modyfikacje niezbędne do prawidłowego funkcjonowania, realizując zadania proxy SIP z dodatkowymi mechanizmami zabezpieczeń i optymalizacji.
Użycie modułów AFM (Advanced Firewall Manager) oraz APM (Access Policy Manager) oferowanych przez F5 pozwala zwiększyć bezpieczeństwo i wydajność dostępu w przypadku rozwiązań opartych na rozproszonych centrach przetwarzania danych.
VoLTE (Voice over LTE – połączenia głosowe w sieci LTE) to usługa o strategicznym znaczeniu dla operatorów, którzy dążą do konsolidacji całej oferty na bazie sieci IP, aby obniżyć koszty operacyjne i zwiększyć elastyczność. W miarę wzrostu popularności tej technologii (obecnie korzysta z niej 40% połączeń w USA) rośnie również lista związanych z nią ataków, które koncentrują się przede wszystkim na aspektach sygnalizacyjnych. Dlatego też ochrona ruchu VoLTE wymaga zabezpieczenia i kontroli protokołów sygnalizacyjnych, takich jak Diameter i SIP, co należy traktować jako zadanie o newralgicznym znaczeniu.
F5 SDC (Signalling Delivery Controller) ułatwia operatorom tworzenie bezpiecznych i elastycznych usług VoLTE. Moduł SDC oraz platforma BIG-IP, która obsługuje funkcje SIP ALG (Application Layer Gateway – bramy warstwy aplikacji) gwarantują ciągłość świadczenia usługi VoLTE, chroniąc ją przed dostępem bez upoważnienia, nieoczekiwanymi skokami natężenia ruchu, burzami sygnalizacyjnymi i sesjami fałszerstw. Zapora F5 z funkcją SIP ALG monitoruje komunikaty SIP i przepuszcza pakiety RTP tylko wtedy, gdy uzyska potwierdzenie poprawności kontroli kanału SIP, zapewniając w ten sposób ochronę ruchu użytkowników. Rozwiązanie to łączy funkcje zapory, platformy dostarczania aplikacji, ochrony przed atakami DDoS i sterowania sygnalizacją w obrębie całego systemu P-CSCF, zapewniając bezpieczeństwo i prawidłową dystrybucję ruchu nawet w okresach nieoczekiwanego obciążenia.
F5 oferuje najwyższy w branży poziom ochrony i największą szybkość połączeń, zapewniając przepustowość przekraczającą 1 Tb i obsługę 1,2 mld współbieżnych połączeń. Jednocześnie jest to rozwiązanie energooszczędne – zużywa przeciętnie o 50% mniej energii od podobnych rozwiązań konkurencji.
F5 umożliwia świadczenie szybkiej i bezpiecznej usługi VoLTE, oferując najwyższy dostępny poziom ochrony. Ponadto zapewnia obsługę dużych ilości połączeń (zarówno na sekundę, jak i połączeń współbieżnych).
Klienci korzystający z więcej niż jednego operatora wychodzącego połączenia internetowego (ISP) muszą zdecydować, komu powierzyć ochronę przed atakami DDoS.
Zamówienie takiej usługi u wszystkich operatorów jest zazwyczaj niewykonalne ze względów ekonomicznych. Natomiast korzystanie z takiej usługi od jednego operatora wymaga inspekcji całego ruchu zagregowanego od wszystkich operatorów, przeprowadzanej lokalnie.
Moduły F5 AFM (Advanced Firewall Manager – zaawansowany menedżer zapór) oraz ASM (Application Security Manager – menedżer bezpieczeństwa aplikacji) umożliwiają wykrywanie ataków DDoS w warstwach 3’7 na zagregowanych łączach internetowych klienta. Pozwala to na zamówienie usług ochrony przed wolumetrycznymi atakami DDoS tylko od jednego operatora.
Po wykryciu ataku występującego na łączu od dowolnego operatora platforma F5 podejmuje działania łagodzące skutki tego ataku w warstwach 3’7, ograniczając go do przepustowości łącza każdego z operatorów i minimalizując konieczność zastosowania limitów defensywnych.
W przypadku potwierdzonego ataku platforma F5 może użyć mechanizmów 'sygnalizacji w chmurze’, aby powiadomić operatora internetowego, u którego zamówiono usługę ochrony przed atakami DDoS. Operator taki zgłasza następnie odpowiednie prefiksy usług u pozostałych operatorów, co gwarantuje zachowanie dostępności usługi.
Takie rozwiązanie ma również zastosowanie w przypadku ataków na ruch zaszyfrowany.
Rozwiązanie F5 ASM (Application Security Manager) jest wdrażane na wejściu do centrum przetwarzania danych, gdzie identyfikuje wszystkie rodzaje ataków DDoS dotyczących warstwy 7 i chroni aplikacje. Dzięki funkcji sygnalizacji w chmurze (Cloud Signalling), ASM może przekazać zgłoszenie ataku do usługi operatora. Umożliwia to aktywację ochrony na poziomie chmury i złagodzenie skutków ataku, zanim dotrze do centrum przetwarzania danych.
ASM może łagodzić skutki ataków DDoS specyficznych dla warstwy 7, ograniczając je do szerokości pasma dostępnej w centrum przetwarzania danych. Pozwala to uniknąć kosztu aktywacji usługi ochrony w chmurze podczas tych ataków, które nie przekraczają dostępnej szerokości pasma.
Poziom oszustw gospodarczych w transakcjach handlu elektronicznego wzrasta z każdym dniem. Jedną z najczęściej stosowanych metod ataku w tym sektorze jest phishing. Istnieje wiele odmian phishingu, jednak zasadniczo polega on na utworzeniu kopii serwisu internetowego firmy i skierowaniu do niej potencjalnych ofiar w celu wyłudzenia ich danych uwierzytelniających. Pozwala to na podszywanie się pod uprawnionych użytkowników. Mówiąc ogólnie, phishing obejmuje trzy fazy: utworzenie kopii oryginalnego serwisu WWW, opublikowanie tej kopii i kradzież danych uwierzytelniających użytkowników. Bardzo ważne znaczenie ma możliwość jak najszybszego zamknięcia takich oszukańczych serwisów WWW natychmiast po ich wykryciu, aby nie dopuścić do wyłudzenia danych kolejnych ofiar
Rozwiązanie F5 do przeciwdziałania phishingowi oferuje unikalną metodę działania i implementacji. Polega ona na 'przezroczystym’ wstawianiu zamaskowanego kodu JavaScript, który potrafi się chronić przed usunięciem. Taki kod wykrywa, czy aplikacja to oryginał, czy fałszywa kopia wystawiona przez oszustów. W przypadku wykrycia phishingu kod wysyła alert do firmy będącej właścicielem aplikacji albo do F5. Jest to jedyna technologia zdolna do wykrywania ataku we wszystkich trzech omówionych powyżej warstwach: w przypadku skopiowania aplikacji, w przypadku opublikowania jej w fałszywym serwisie, a co najważniejsze, w przypadku wejścia potencjalnej ofiary do fałszywego serwisu.
Ponadto specjaliści ds. cyber-ataków w F5 mogą zamknąć takie fałszywe serwisy w ciągu kilku minut, eliminując ryzyko oszustw i chroniąc wizerunek przedsiębiorstwa.
Tzw. „ukryte i powolne” ataki na ruch zaszyfrowany (HTTP przez SSL) w warstwie 7 nie są wykrywane przez usługi ochrony oferowane przez operatora sieci lub usługi w chmurze, chyba że klient przekaże usługodawcy swoje prywatne klucze szyfrujące
Zarówno usługi wykrywania i ochrony w warstwie 7 dla zaszyfrowanego ruchu oferowane przez operatorów, jak i rozwiązania przetwarzane w chmurze wymagają przekazania prywatnych kluczy szyfrujących. Udostępnienie tych kluczy osobom trzecim może stanowić naruszenie zasad bezpieczeństwa lub ochrony prywatności określonych dla usługi.
Rozwiązanie ASM (menedżer zabezpieczeń aplikacji) umożliwia lokalne deszyfrowanie ruchu HTTPS (po zaimportowaniu prywatnych kluczy szyfrujących) i analizę wyników tego procesu, co pozwala na wykrywanie wszelkich rodzajów ataków DDoS specyficznych dla warstwy 7 i zapewnienie ochrony aplikacji.
Gdy ruch zostanie oczyszczony, można go ponownie zaszyfrować przed przesłaniem do serwerów aplikacji. Możliwe jest nawet użycie innej niż oryginalnie długości klucza w celu zachowania zgodności ze standardami bezpieczeństwa usługi.
PNiektóre rodzaje ataków stały się tak zaawansowane, że określa się je teraz nazwą „zagrożeń APT” (Advanced Persistent Threats), czyli trwałych, ukierunkowanych zagrożeń zdolnych przechytrzyć systemy obronne na zaporach i w tradycyjnych urządzeniach. Zwalczanie takich zagrożeń wymaga zastosowania specjalnych rozwiązań, odpowiedzialnych za analizę nowych ataków. Polega to na symulacji całego przebiegu ataku w celu stwierdzenia, jakie może wyrządzić szkody. Taką właśnie rolę odgrywa rozwiązanie FireEye. Ruch zaszyfrowany SSL/TLS jest dla takich rozwiązań problematyczny, ponieważ nie mogą go deszyfrować w celu przeanalizowania zawartości. To zaś oznacza, że nie będą w stanie ogłosić alarmu w przypadku infekcji lub ataku. Ponadto konieczne jest odpowiednie skalowanie urządzeń FireEye i równoważenie ich obciążeń; trzeba zastosować urządzenie zdolne interpretować taki ruch i odsyłać go do innego urządzenia w warstwie 2.
Zaawansowane funkcje SSL/TLS oferowane przez platformę BIG-IP LTM umożliwiają równoważenie obciążenia urządzeń FireEye i obejście ich ograniczeń związanych z ruchem zaszyfrowanym. Umożliwia to instalowanie puli urządzeń FireEye, które będą obsługiwać całe przedsiębiorstwo.
Funkcje SSL oferowane przez platformę BIG-IP umożliwiają deszyfrowanie ruchu i przesyłanie go do urządzenia FireEye w celu analizy, a następnie ponowne szyfrowanie ruchu, zanim wyjdzie do Internetu.
Jeśli przez urządzenie FireEye byłby przesyłany cały ruch, doprowadziłoby to do jego przeciążenia lub urządzenie zinterpretowałoby tę sytuację jako zalew w wyniku nieuprawnionego procesu zachodzącego w niektórych domenach. Aby tego uniknąć, stosuje się moduł SWG (bezpieczną bramę internetową), który klasyfikuje ruch i dzieli go na różne kategorie, pomijając domeny, które nie mają podlegać analizie.
Funkcje APM (menedżera reguł dostępu) wykorzystuje się w celu uwierzytelniania użytkowników oraz stwierdzania, czy ich ruch powinien być przesyłany do analizy przez FireEye
W ciągu ostatnich lat coraz powszechniejszą praktyką staje się uzyskiwanie dostępu do zasobów korporacyjnych za pomocą urządzeń mobilnych. Niektóre przedsiębiorstwa wręcz zezwalają pracownikom na wykonywanie zadań służbowych z prywatnych urządzeń (model BYOD). Stwarza to jednak problemy związane z bezpieczeństwem – zarówno w kategoriach poufności danych, jak i ochrony urządzeń mobilnych użytkownika.
Rozwiązania MDM gwarantują zgodność urządzeń mobilnych łączących się z zasobami korporacyjnymi ze zdefiniowanym zbiorem strategii bezpieczeństwa, a jednocześnie udostępniają przedsiębiorstwu mechanizmy zarządzania tymi urządzeniami w celu zachowania poufności danych i usuwania informacji poufnych w razie kradzieży. Chociaż produkty MDM zapewniają ochronę urządzeń mobilnych, nie udostępniają obsługi dostępu do sieci z takich urządzeń.
Moduł F5 APM (Access Policy Manager) pozwala na konwergencję wszystkich mechanizmów uwierzytelniania w jednym punkcie (na platformie BIG-IP), który następnie zapewnia zgodność ze strategiami bezpieczeństwa w całej sieci.
Z modułem APM można zintegrować rozwiązania MDM (takie jak AirWatch). Dzięki temu po zidentyfikowaniu urządzenia APM odpytuje MDM w celu sprawdzenia,
Rozwiązanie to umożliwia stosowanie mechanizmów jednokrotnego logowania (SSO) do aplikacji korporacyjnych.
Jeśli urządzenie nie spełnia wymaganych standardów bezpieczeństwa, platforma może odmówić udzielenia dostępu lub zażądać ponownego zarejestrowania w rozwiązaniu MDM.
W ciągu ostatnich lat coraz powszechniejszą praktyką staje się uzyskiwanie dostępu do zasobów korporacyjnych za pomocą urządzeń mobilnych. Niektóre przedsiębiorstwa wręcz zezwalają pracownikom na wykonywanie zadań służbowych z prywatnych urządzeń (model BYOD). Stwarza to jednak problemy związane z bezpieczeństwem – zarówno w kategoriach poufności danych, jak i ochrony urządzeń mobilnych użytkownika.
Rozwiązania MDM gwarantują zgodność urządzeń mobilnych łączących się z zasobami korporacyjnymi ze zdefiniowanym zbiorem strategii bezpieczeństwa, a jednocześnie udostępniają przedsiębiorstwu mechanizmy zarządzania tymi urządzeniami w celu zachowania poufności danych i usuwania informacji poufnych w razie kradzieży. Chociaż produkty MDM zapewniają ochronę urządzeń mobilnych, nie udostępniają obsługi dostępu do sieci z takich urządzeń.
Moduł F5 APM (Access Policy Manager) pozwala na konwergencję wszystkich mechanizmów uwierzytelniania w jednym punkcie (na platformie BIG-IP), który następnie zapewnia zgodność ze strategiami bezpieczeństwa w całej sieci.
Z modułem APM można zintegrować rozwiązania MDM (takie jak MobileIron). Dzięki temu po zidentyfikowaniu urządzenia APM odpytuje MDM w celu sprawdzenia, czy dane urządzenie spełnia wymagania strategii bezpieczeństwa niezbędne do uzyskania dostępu.
Rozwiązanie to umożliwia stosowanie mechanizmów jednokrotnego logowania (SSO) do aplikacji korporacyjnych.
Jeśli urządzenie nie spełnia wymaganych standardów bezpieczeństwa, platforma może odmówić udzielenia dostępu lub zażądać ponownego zarejestrowania w rozwiązaniu MDM.
Technologie WAF można wdrażać w centrum przetwarzania danych na różne sposoby. Może to być w pełni zautomatyzowana usługa oparta na 'czarnych listach’ (które z kolei opierają się na sygnaturach); można również wybrać najbardziej zaawansowaną opcję, polegającą na udzielaniu dostępu na podstawie ?białych list? opartych na regułach, starannie dostosowywanych dla każdej aplikacji. W przypadku wielu klientów, szukających ochrony nie tylko przed atakami z listy OWASP, opcja pierwsza nie zapewnia dostatecznego bezpieczeństwa. Natomiast opcja druga wiąże się z wyższymi kosztami operacyjnymi, na które wielu klientów nie może sobie pozwolić.
Podobnie wygląda sytuacja po wykryciu luk w zabezpieczeniach, gdy przedziały czasowe implementacji nowych reguł na korporacyjnych urządzeniach bezpieczeństwa wydłużają się bardzo ze względu na wewnętrzne procesy przedsiębiorstwa. Często prowadzi to do bardzo dużych opóźnień w reakcji na takie zdarzenia.
Istnieje jednak rozwiązanie pośrednie, o niższych kosztach i wyższym poziomie bezpieczeństwa, które oferuje ochronę na podstawie sygnatur dzięki automatycznej integracji z narzędziami skanującymi typu DAST (Dynamic Application Security Test), takimi jak Rapid7, Qualys, Faast, Tenable, WhiteHat, a także z funkcją automatycznego i dynamicznego importowania nowych reguł do zapory WAF.
Moduł F5 ASM (Application Security Manager) umożliwia szybkie i łatwe wdrożenie zapory WAF w sposób przezroczysty dla aplikacji i zapewnienie im w ten sposób ochrony przed atakami w warstwie 7, takimi jak ataki z listy OWASP i ataki typu DDoS. Ponadto moduł ten oferuje funkcję monitorowania zgodności z regulacjami PCI-DSS.
ASM obsługuje importowanie raportów o lukach zabezpieczeń z narzędzi DAST innych firm w celu uzupełnienia strategii ochrony.
Udostępniane przez F5 funkcje planowania zadań umożliwiają automatyzację procesu analizy raportu z narzędzia DAST, generowania nowych zalecanych sygnatur i implementacji nowych mechanizmów bezpieczeństwa w środowisku produkcyjnym
W sytuacjach, w których kwestie bezpieczeństwa mają najwyższe znaczenie, wiele przedsiębiorstw korzysta z zewnętrznych repozytoriów certyfikatów (HSM), oferowanych przez takich producentów, jak Thales lub SafeNet. Takie rozwiązania chronią klucz prywatny certyfikatów, który zawsze pozostaje w ich obrębie. Zapobiega to naruszeniu bezpieczeństwa kluczy prywatnych. W takim scenariuszu zespoły korzystające z usług, które używają tych certyfikatów, muszą mieć możliwość integracji z repozytoriami, aby móc szyfrować i deszyfrować ruch bez użycia klucza prywatnego.
Repozytoria HSM nie tylko poprawiają bezpieczeństwo, ale też upraszczają zarządzanie certyfikatami i umożliwiają uzyskanie certyfikatu bezpieczeństwa FIPS 140-2, wymaganego w niektórych środowiskach o newralgicznym znaczeniu.
Wszystkie urządzenia BIG-IP, w tym instancje wirtualne (VE), mogą integrować się z urządzeniami HSM w celu spełnienia wymagań standardu FIPS 140-2.
Niektóre urządzenia jednofunkcyjne, takie jak BIG-IP seria 7000 oraz seria 10000, mają już certyfikat FIPS, ponieważ zawierają wbudowane repozytorium HSM do bezpiecznego przechowywania kluczy.
SSL to protokół szyfrowania, który zabezpiecza połączenia internetowe za pomoc algorytmu klucza publicznego, szyfrując dane przesyłane pomiędzy nadawcą a odbiorcą i w ten sposób gwarantując ich poufność
Jednym z jego typowych zastosowań jest szyfrowanie ruchu HTTP do postaci HTTPS. Taki mechanizm szyfrowania jest używany przez ponad 70% transakcji WWW w Internecie.
Starsze wersje protokołu SSL mają bardzo liczne luki zabezpieczeń. Natomiast kolejny etap ewolucji SSL (o nazwie TLS) oferuje znacznie wyższe bezpieczeństwo, szczególnie w przypadku najnowszych wersji. Jest to jedno z kryteriów używanych przez Google przy tworzeniu rankingu stron WWW, gdzie pod uwagę brany jest wynik ?oceny SSL?*. Niestety aż połowa przedsiębiorstw dostaje ocenę C, czyli bardzo niską. Wdrożenie technologii TLS na starej infrastrukturze WWW nie jest rzeczą prostą. Https://www.ssllabs.com/ssltest/index.php.
Rozwiązanie F5 BIG-IP LTM oferuje architekturę pełnego systemu proxy, która obejmuje akcelerację sprzętową i obsługuje większą liczbę protokołów szyfrowania, niż jakakolwiek inna platforma na rynku.
Jest to idealne rozwiązanie do wdrożenia między użytkownikami a aplikacjami, które zapewnia komunikację z użytkownikiem z użyciem najnowszych standardów szyfrowania. Aby zagwarantować bezpieczeństwo połączeń i utrzymać niezmienione szyfrowanie po stronie serwera, F5 LTM staje się bramą SSL/TLS.
Rozwiązanie BIG-IP LTM znacznie zwiększa bezpieczeństwo usługi, czego korzystnym efektem ubocznym jest również lepsze pozycjonowanie serwisu w wyszukiwarkach (SEO) bez potrzeby inwestowania dużych sum. Działa przy tym w sposób niemal natychmiastowy i jednocześnie przezroczysty dla większości współczesnych aplikacji.
PBram lub odwrotnych proxy często używa się w celu zapewnienia użytkownikom zewnętrznym dostępu do niektórych rodzajów aplikacji przeznaczonych do użytku wewnętrznego. Typowe przykłady takich zastosowań to np. użycie produktu MSFT TMG lub ISA Server w celu zapewnienia dostępu do platformy Exchange/SharePoint lub wykorzystanie serwerów Apache w celu rekonfiguracji adresów URL. Jednak wiele firm używa takich rozwiązań w celu poprawy bezpieczeństwa dostępu; ruch HTTPS jest deszyfrowany przez te urządzenia i przekazywany jawnie do serwerów lub usług uwierzytelniających. Ma to zastosowanie szczególnie w przypadku korzystania z certyfikatów cyfrowych.
Patrząc na powyższe przykłady łatwo zauważyć, że stosuje się specyficzne rozwiązania dostosowane do konkretnego typu aplikacji, co prowadzi do powstania środowisk w dużym stopniu heterogenicznych i komponentów, których nikt regularnie nie rozwija ani nimi nie zarządza. To zaś generuje kolejne punkty podatności na awarię i zwiększa złożoność środowiska.
Moduł F5 APM (Access Policy Manager) można zastosować we wszystkich scenariuszach konfiguracji, w których wymagane jest użycie bramy dostępowej lub odwrotnego proxy.
Uwierzytelnianie użytkowników. Bezpośrednia obsługa zarówno typowych, jak i większości zróżnicowanych metod uwierzytelniania.
Publikowanie usług i rekonfiguracja adresów URL. Usługi można publikować na zewnątrz i przekazywać do wewnętrznych usług i serwerów, ukrywając ich faktyczne adresy wewnętrzne.
Szyfrowanie i deszyfrowanie ruchu SSL. Urządzenia sprzętowe F5 zawierają karty akceleratorów SSL, które w optymalny sposób realizują te funkcje.
Publikowanie usług MSFT. Rozwiązanie F5 optymalizuje, przyspiesza i zabezpiecza wydawanie usług Microsoft, zastępując i udoskonalając architekturę rozwiązań TMG lub ISA Server.
Wdrażanie rozwiązań SSL-VPN w celu umożliwienia użytkownikom dostępu do aplikacji i zasobów korporacyjnych z dowolnego miejsca i za pomocą dowolnego urządzenia.
BPoczta elektroniczna to jedna z najczęściej używanych (i najbardziej podatnych na ataki) aplikacji w środowiskach korporacyjnych. Ataki typu DoS lub DDoS na portale WWW platformy Exchange (OWA) opierają się na koncepcji uniemożliwienia dostępu wszystkim użytkownikom uwierzytelnianym z użyciem usługi Active Directory (AD). Taki atak podejmuje próbę uwierzytelnienia użytkownika i wprowadza nieprawidłowe hasło więcej niż trzy razy, co powoduje automatyczną aktywację mechanizmu blokady dostępu dla tego użytkownika przez usługę AD. W przypadku ataku typu DDoS takie działanie obejmuje oczywiście bardzo wielu użytkowników (zdarzają się ataki dotykające wszystkich użytkowników zarejestrowanych w korporacyjnym katalogu AD).
Istotnym problemem w zwalczaniu takich ataków jest fakt, że zakładają one, iż żadne przedsiębiorstwo nie jest w stanie analizować wszystkich informacji zawartych w systemie Exchange i zarządzać nimi. Co więcej, towarzyszy im również ryzyko ujawnienia informacji znajdujących się w skrzynkach pocztowych.
F5 proponuje dodanie kolejnego poziomu zarządzania z zaawansowanym uwierzytelnianiem użytkowników. Zastosowany w tym celu moduł APM (Access Policy Manager) będzie konsolidować wszystkich użytkowników aplikacji (zarówno wewnętrznych, jak i zewnętrznych).
RAPM może wyświetlać ekran dostępowy dla użytkownika o wyglądzie dostosowanym do potrzeb aplikacji (np. Exchange) oraz zarządzać całokształtem uwierzytelniania użytkowników dla tej aplikacji. Pozwala to kontrolować liczbę dozwolonych dla użytkownika prób uwierzytelnienia (która będzie mniejsza, niż liczba prób dozwolonych w AD), aby zapobiegać blokowaniu użytkowników w usłudze AD. W przypadku przekroczenia liczby dozwolonych prób logowania można zaprezentować użytkownikowi inne mechanizmy zabezpieczeń, takie jak uwierzytelnianie dwuskładnikowe, hasła jednorazowe (OTP), kody Captcha itd.
Korporacyjne serwery aplikacji są dzień w dzień atakowane zarówno przez botnety (na przykład skanujące), jak i phishing. Jednocześnie przedsiębiorstwa muszą eliminować połączenia wychodzące do serwerów sterowania i kontroli (C&C) oraz serwisów zawierających szkodliwe oprogramowanie. Wykrywanie i blokowanie tych zagrożeń staje się coraz trudniejsze ze względu na konieczność zachowania wysokiej dostępności aplikacji.
Oznacza to, że aplikacje i serwisy WWW muszą pozostać dostępne dla uprawnionych użytkowników, ale jednocześnie musi istnieć możliwość blokowania dostępu nieuprawnionego lub szkodliwego. Zainfekowane punkty końcowe podejmują próby połączenia się z sieciami korporacyjnymi, co prowadzi do utraty dostępności zasobów sieciowych. W rezultacie użytkownicy mogą połączyć się z serwisami zawierającymi szkodliwe oprogramowanie. Przedsiębiorstwa muszą więc zapobiegać infekcji swoich punktów końcowych, biorąc przy tym pod uwagę coraz wyższy poziom zaawansowania i stałe utrzymywanie się zagrożeń typu APT.
Jednym z najbardziej skutecznych i opłacalnych mechanizmów ograniczania spamu jest blokowanie w czasie rzeczywistym określonych rodzajów ruchu pocztowego na podstawie list reputacji.
Rozwiązanie F5 IP Intelligence wprowadza dodatkową warstwę zabezpieczeń, przeprowadzając przegląd adresów IP komunikacji przychodzącej i wychodzącej na podstawie aktualnych danych. Przedsiębiorstwa mogą chronić zasoby swoich centrów przetwarzania danych, wykrywając w czasie rzeczywistym szkodliwe lub niepożądane adresy IP i konfigurując reguły BIG-IP w celu zablokowania ich dostępu. Zmniejsza to obciążenie zasobów zaplecza, w tym zapór i serwerów.
Rozwiązanie IP Intelligence można wdrożyć na dowolnym urządzeniu BIG-IP lub zintegrować z modułem ASM (zaporą WAF oferowaną przez F5), aby uzyskać dokładny wgląd w działania podejrzanych adresów IP.
Przedsiębiorstwa wykorzystują usługę DNS, aby umożliwić użytkownikom dostęp do aplikacji internetowych. Jeśli usługa DNS jest wyłączona (lub jej wydajność została ograniczona), nie można zapewnić dostępu do takich zasobów.
Dlatego też konieczne jest zoptymalizowanie i zabezpieczenie infrastruktury DNS, aby zagwarantować możliwość świadczenia usług dla użytkowników. Eksploatacja takiej infrastruktury DNS wiąże się z koniecznością odpowiadania na bardzo wiele żądań na sekundę; gdy trzeba obsługiwać tysiące nazw domen, krytyczne znaczenie zyskuje także możliwość szybkiej rozbudowy skali usługi.
Ponadto trzeba zapewnić ochronę użytkowników i integralność usługi, zabezpieczając ją przed atakami DDoS, zatruciem bufora DNS i tunelowaniem.
Rozwiązanie BIG-IP DNS + AFM (Advanced Firewall Manager) umożliwia przedsiębiorstwom optymalizację, zabezpieczanie i monetyzację infrastruktury DNS. Udostępnia usługi buforowania LDNS, tłumacząc adresy na poziomie klasy operatorskiej i z ogromną wydajnością, i stanowi wyjątkowo dobrze skalowalny system rozstrzygającego DNS (Authoritative DNS). Jest ponadto wyposażone w usługi zapory DNS, w tym rozwiązania sprzętowe łagodzące skutki ataków DDoS na usługę DNS. BIG-IP DNS + AFM udostępnia inteligentną i skalowalną infrastrukturę DNS, która umożliwia szybkie udzielanie odpowiedzi na żądania użytkowników urządzeń mobilnych. Stosując moduły monitorujące, które można dostosowywać, oraz usługi GSLB, przedsiębiorstwa mogą przydzielać odpowiednie zasoby niezbędne do odpowiadania na żądania DNS i zapewnienia najlepszej obsługi użytkowników. Ponadto rozwiązanie BIG-IP DNS umożliwia również korzystanie z formatu DNS64 dla środowisk IPv6 z infrastrukturą odporną na uszkodzenia, optymalizacją ruchu i wyższą jakością usługi dla użytkowników, co chroni wizerunek marki i reputację przedsiębiorstwa.
BIG-IP DNS + AFM chroni również infrastrukturę DNS przed destrukcyjnymi atakami generowanymi przez zainfekowanych użytkowników oraz niepożądanymi zapytaniami i odpowiedziami DNS. Inteligentne rozwiązanie DNS oferowane przez F5 jest wyposażone w zaporę, która kontroluje i weryfikuje protokoły, odrzucając odpowiedzi niepożądane i łagodząc skutki ataków przez blokowanie dostępu do szkodliwych domen.
Co więcej, BIG-IP DNS udostępnia statystyki i raporty oraz funkcje szybkiego rejestrowania dzienników DNS, ułatwiając planowanie pojemności usługi, jej optymalizację oraz monetyzację.
Miasta mające ponad 20 000 mieszkańców często udostępniają usługi publiczne w postaci centralnego portalu usługowego. Transakcje online (takie jak wpłacanie podatku od nieruchomości) wymagają zastosowania systemu transakcyjnego. Płatności elektroniczne i dane osobowe wpłacającego stanowią dane wrażliwe, zatem służby administracyjne miasta muszą podjąć działania w celu zapewnienia bezpieczeństwa i poufności tych transakcji. Ponadto instytucje miejskie korzystają z systemu umożliwiającego dostęp pracownikom wewnętrznym i zewnętrznym, a niekiedy także obywatelom. Taka usługa wymaga identyfikacji użytkowników w celu uniemożliwienia dostępu osobom nieupoważnionym. Konieczna jest także kontrola dostępu do poszczególnych usług i aplikacji zgodnie z profilem użytkownika. Coraz większa częstotliwość ataków hakerskich oznacza, że aplikacje muszą być wyposażone w inteligentne funkcje sterujące dostępem użytkownika do konkretnego zasobu. Samo hasło już nie wystarczy. Trzeba wziąć pod uwagę również kontekstu użytkownika (gdzie, jak i kiedy uzyskuje dostęp itp.). Ten sam problem mają rady miejskie oferujące usługi publiczne w mniejszych gminach.
Dwa powiązane ze sobą problemy – zabezpieczenie aplikacji internetowej i ochrona dostępu użytkowników – można rozwiązać przez uzupełnienie infrastruktury dwoma rozwiązaniami F5.
Moduł F5 ASM (Application Security Manager) umożliwia wdrożenie zapory WAF w sposób przezroczysty dla aplikacji i zapewnienie im w ten sposób ochrony przed atakami OWASP i DDoS. Stosując ten moduł, rady miejskie i gminne mogą zagwarantować swoim obywatelom, że wszystkie informacje podawane przez nich za pośrednictwem aplikacji internetowych będą bezpieczne i chronione przed przejęciem przez hakerów. Co więcej, jego użycie pozwala chronić sieć WWW przed atakami typu DDoS w warstwie 7, co sprzyja zachowaniu dobrego wizerunku organów administracji. Moduł ASM udostępnia raporty z dokładnymi informacjami o poziomie bezpieczeństwa aplikacji. F5 obsługuje również integrację z rozwiązaniami czołowych dostawców narzędzi DAST, co oznacza, że dane z raportów można szybko uwzględnić w zabezpieczeniach, unikając w ten sposób większości ataków z listy OWASP.
Moduł APM (Access Policy Manager) umożliwia definiowanie szczegółowych reguł dostępu do poszczególnych usług. Pozwala to na dostosowanie kontroli dostępu dla każdej aplikacji i każdej grupy osób. Dostęp do aplikacji jest udzielany z uwzględnieniem kontekstu użytkownika (kim jest, skąd żąda dostępu i do jakiej grupy należy). Rozwiązanie przeprowadza weryfikację użytkownika na podstawie wielu typów repozytoriów (LDAP, RADIUS, AD itp.), sprawdza status bezpieczeństwa urządzenia, przeprowadza uwierzytelnianie z użyciem zaawansowanych mechanizmów (takich jak SAML, Kerberos, NTLM itd.), a także obsługuje uwierzytelnianie wieloskładnikowe na potrzeby aplikacji z uwzględnieniem kontekstu użytkownika.
W swojej oryginalnej wersji protokół DNS (Domain Name Service) nie miał żadnych zabezpieczeń.
Oznaczało to, że niezwykle istotna usługa DNS była narażona na ataki, takie jak zatrucie buforów, polegające w ogólnym ujęciu na wysyłaniu fałszywych odpowiedzi na zapytania DNS w celu kierowania użytkowników do szkodliwych domen. Istnieje kilka form ataków wykorzystujących lukę w zabezpieczeniach umożliwiającą zatruwanie bufora, np. „atak dnia urodzin”. Celem ataku jest zmodyfikowanie zawartości bufora DNS w taki sposób, że nie będzie on zwracać adresu IP właściwej nazwy FQDN, lecz inny adres IP – zazwyczaj adres serwera kontrolowanego przez atakujących, na którym znajduje się szkodliwa zawartość.
Moduł BIG-IP DNS ma wbudowane bezpośrednie rozszerzenie protokołu DNSSEC, co umożliwia korzystanie z sygnatur cyfrowych w celu uwierzytelniania odpowiedzi przesyłanych przez usługę DNS, a także podpisywanie taką sygnaturą własnych odpowiedzi DNS.
Chociaż protokół DNSSEC nie szyfruje danych, uwierzytelnianie kryptograficzne chroni użytkowników/klientów przed atakami polegającymi na zatruciu buforów w zabezpieczonej strefie DNS.
BIG-IP generuje sygnatury DNSSEC sprzętowo, co zapewnia bardzo dużą skalowalność rozwiązania.
Ponadto platforma ta umożliwia offloading (odciążanie) obsługi certyfikatów z użyciem jej własnych kart kryptograficznych. Można ją także zintegrować z zewnętrznymi repozytoriami HSM, które będą potwierdzać ważność certyfikatów.
Poziom oszustw gospodarczych w transakcjach handlu elektronicznego wzrasta z każdym dniem. Oszustwa takie są możliwe dzięki dwóm czynnikom: lukom w zabezpieczeniach aplikacji internetowych (na poziomie ich kodu) oraz szkodliwemu oprogramowaniu internetowemu zainstalowanemu w przeglądarkach użytkowników.
W obliczu takich ataków użytkownicy i przedsiębiorstwa doświadczają dwóch problemów: po pierwsze konsekwencji ekonomicznych ataku (zarówno na poziomie użytkownika, jak i przedsiębiorstwa), a po drugie negatywnego wpływu ataku na reputację (w przypadku przedsiębiorstw).
F5 to jedyny producent oferujący kompletne i przezroczyste rozwiązanie chroniące przed oszustwami ekonomicznymi w środowisku internetowym oraz zabezpieczające użytkowników i aplikacje internetowe. ASM (Application Security Manager) to rozwiązanie typu WAF, które chroni przed atakami na wszystkie słabe punkty zabezpieczeń oraz atakami typu DDoS na poziomie aplikacji internetowej. Jest to moduł zabezpieczający infrastrukturę WWW przed problemami wynikającymi ze specyfiki tworzenia oprogramowania oraz lukami w zabezpieczeniach innych platform (Apache, IIS, Tomcat, MySQL itd.).
WebSafe to rozwiązanie przeciwdziałające oszustwom, które nie wymaga instalowania klientów i umożliwia bezproblemową integrację z istniejącymi aplikacjami internetowymi oraz wszystkimi dostępnymi przeglądarkami Internetu. Takie rozwiązanie zapewnia ochronę zwrotu z inwestycji, pozwalając uniknąć zarówno strat ekonomicznych, jak i utraty informacji o użytkownikach, aplikacjach i platformach WWW, dzięki czemu chroni reputację przedsiębiorstwa.
Firma Juniper sprzedała część swojej działalności przedsiębiorstwu Pulse Secure, co doprowadziło do dwóch problemów:
Rozwiązanie SSL VPN oferowane przez Pulse ma ograniczone możliwości integracji z narzędziami innych firm, np. systemami uwierzytelniania takimi jak Latch, MDM itd.
BIG-IP APM (Access Policy Manager) to rozwiązanie o czołowej pozycji na rynku, które konsoliduje usługi VPN w protokole SSL z zarządzaniem procesami uwierzytelniania i dostępu użytkowników, integrując w jednym rozwiązaniu usługi jednokrotnego logowania (SSO) i federacji identyfikatorów.
Jest to produkt zapewniający widoczność ruchu użytkowników i aplikacji oraz kontrolę nad tym ruchem, który obsługuje wszystkie typy urządzeń i systemów operacyjnych.
Rozwiązanie to oferuje znacznie większą skalowalność niż oferta konkurencji (do 200 000 jednoczesnych klientów VPN SSL na obudowę). Zapewnia bezpośrednią obsługę VDI (Microsoft, VMWare, Citrix) i większości mechanizmów uwierzytelniania, w tym uwierzytelniania silnego (NTLM, Kerberos, SAML, certyfikaty cyfrowe, tokeny, hasła jednorazowe itp.).
Umożliwia również pełną integrację z rozwiązaniami MDM, takimi jak AirWatch i MobileIron.
We wrześniu 2012 r. firma Microsoft poinformowała o wycofaniu produktu Forefront Threat Management Gateway (TMG), poprzednio zwanego Microsoft Proxy Server lub Microsoft ISA Server.
Rozwiązanie TMG pełni rolę odwrotnego proxy, umożliwiając publikowanie aplikacji (przede wszystkim Exchange, Lync, SharePoint itd.) dla użytkowników zdalnych. Składa się z dwóch komponentów: pierwszym z nich jest bardzo prosty menedżer ruchu, który równoważy ruch HTTP i HTTPS; drugi to klient uwierzytelniania, który komunikuje się z różnymi katalogami danych użytkowników (LDAP, Radius, Kerberos itd.).
Z punktu widzenia przedsiębiorstwa korzystanie w środowisku produkcyjnym z rozwiązania, które nie ma gwarancji ciągłości ani wsparcia, to problem o krytycznym znaczeniu i dlatego konieczne jest rozważenie wymiany takich produktów.
Microsoft rekomenduje swoim klientom rozwiązanie F5 jako czołowy produkt na rynku.
F5 BIG-IP Local Traffic Manager (LTM) to czołowe rozwiązanie na rynku produktów ADC (kontrolerów dostarczania aplikacji). BIG-IP LTM przekształca sieć w prężną infrastrukturę służącą do dostarczania aplikacji, zapewniającą dużą skalowalność, wysoką dostępność i doskonałą wydajność. APM (Access Policy Manager) umożliwia konfigurowanie polityk bezpieczeństwa niezbędnych do zapewnienia szczegółowej kontroli dostępu użytkowników oraz urządzeń zdalnych.
Jedną z korzyści wynikających z zakupu rozwiązania F5 jest możliwość konsolidacji wszystkich funkcji w jednym urządzeniu, co pozwala uprościć infrastrukturę i udostępnić funkcjonalność równoważenia obciążenia i uwierzytelniania dostępu użytkowników.
BIND to najczęściej wdrażane oprogramowanie DNS w Internecie, które stanowi standard w wielu systemach Unix. Produkt ten powstał w 1980 r., a obecnie dostępna jest jego wersja 9. Oprogramowanie BIND opiera się na rozwiązaniu o otwartym dostępie do kodu źródłowego, a jego lista luk w zabezpieczeniach jest udostępniana publicznie. Pozwala to hakerom na wykorzystywanie tych luk i atakowanie usługi DNS. W związku z tym administratorzy platformy BIND muszą bezustannie wdrażać jej poprawki, co powoduje przerwy w dostępności usługi i w ostatecznym rozrachunku sprawia, że nie jest to rozwiązanie niezawodne.
W 2013 i 2014 r. luki w zabezpieczeniach, takie jak 'DNS Amplification’, doprowadziły do wyjątkowo poważnych problemów z usługami DNS opartymi na oprogramowaniu BIND, ponieważ wiele z nich wdrożono w środowiskach produkcyjnych z parametrami domyślnymi. BIND opiera się na systemie operacyjnym ogólnego przeznaczenia, co oznacza, że takie rozwiązanie trudno się skaluje, a jego wydajność jest ograniczona. Z tego powodu jest wyjątkowo podatne na ataki typu DDoS.
Rozwiązanie F5 DNS jest oparte na własnym, zastrzeżonym oprogramowaniu, dlatego nie ma luk w zabezpieczeniach, które są stale wykrywane w kodzie BIND.
Ze względu na użytą akcelerację sprzętową F5 DNS stanowi rozwiązanie o ogromnej skalowalności, oferując szybkość rzędu 40 mln RPS (odpowiedzi na sekundę) i chroniąc przedsiębiorstwa i instytucje przed atakami typu DDoS.
F5 DNS obsługuje i przyspiesza protokół DNSSEC, przenosząc intensywne obciążenia związane z jego weryfikacjami na moduły akceleracji sprzętowej, gwarantując dużą szybkość odpowiedzi.
Użytkownicy urządzeń mobilnych pracujący w roamingu muszą mieć możliwość korzystania ze stabilnych i bezpiecznych połączeń VPN. Jednym z największych problemów napotykanych przez użytkowników jest utrata połączenia, co zdarza się szczególnie często właśnie podczas roamingu, czyli przełączania się między różnymi sieciami. Użytkownik próbujący uzyskać dostęp z urządzenia mobilnego może być w jednym momencie połączony z siecią WiFi, a za chwilę przeskoczyć na łącze 3G/4G. Klient VPN musi za każdym razem ponownie nawiązywać połączenie.
Moduł F5 APM (Access Policy Manager) umożliwia wdrażanie rozwiązań dostępowych VPN-SSL, które umożliwiają dostęp użytkowników do aplikacji i zasobów korporacyjnych z dowolnego miejsca i na dowolnym urządzeniu.
Wdrażając klienta F5 Edge dla sieci VPN na urządzeniach mobilnych i komputerach stacjonarnych, użytkownicy APM mogą skonfigurować połączenie, które zawsze pozostaje dostępne. Taka funkcja umożliwia automatyczne łączenie się z siecią korporacyjną z urządzenia klienckiego bez potrzeby wykonywania żadnych działań przez tego klienta. Gdy tylko pojawi się aktywne łącze transmisji danych, klient Edge Gateway automatycznie tworzy tunel do sieci korporacyjnej.
Kerberos uznaje się za jeden z najbardziej niezawodnych i bezpiecznych protokołów uwierzytelniania, jakie są obecnie dostępne, ponieważ umożliwia on dostęp do określonych usług (SPN) przez ograniczony czas (termin ważności biletu Kerberos). Umożliwia także wdrożenie w przedsiębiorstwie jednokrotnego logowania, ponieważ nie wymaga interakcji z użytkownikiem. Dlatego też doradcy z branży bezpieczeństwa zdecydowanie rekomendują stosowanie uwierzytelniania Kerberos
Problem polega na tym, że Kerberos działa tylko na urządzeniach klienckich z systemem Microsoft, na których użytkownik loguje się bezpośrednio do domeny. Coraz liczniej pojawiające się urządzenia mobilne wymagają podobnego rozwiązania uwierzytelniającego, które pozwoli ich użytkownikom na bezpieczne zalogowanie się do usług zewnętrznych wdrożonych przez ich przedsiębiorstwo
Moduł APM (Access Policy Manager) implementuje zarówno standardowe mechanizmy uwierzytelniania Kerberos, jak i Kerberos Constrain Delegation (KCD). KCD umożliwia uwierzytelnianie Kerberos w przypadku użytkowników, którzy nie są zalogowani w wewnętrznej domenie Windows ? czyli użytkowników zewnętrznych, którzy chcą uzyskać dostęp do usług wewnętrznych.
Uwierzytelnić użytkownika, a opcjonalnie także urządzenie, z które korzysta taki użytkownik zewnętrzny. Następnie APM wysyła żądanie wewnętrzne do kontrolera KDC (Kerberos Domain Controller), aby uzyskać bilet Kerberos w imieniu użytkownika. Powszechnie stosowanym i niezawodnym rozwiązaniem jest uwierzytelnianie użytkowników zewnętrznych na podstawie certyfikatu zainstalowanego na ich urządzeniu mobilnym. APM sprawdza poprawność tego certyfikatu, wyodrębnia wymagane informacje o użytkowniku i wysyła żądanie biletu Kerberos w imieniu użytkownika (w ramach procesu Kerberos Delegation), zapewniając w ten sposób bezpieczny dostęp dla użytkowników zewnętrznych. Taka implementacja nie tylko tworzy skuteczne rozwiązanie do uwierzytelniania Kerberos na urządzeniach mobilnych, ale umożliwia również przezroczyste uwierzytelnianie użytkownika (SSO).
Przedsiębiorstwa muszą zapewnić swoim użytkownikom zdalnym dostęp do zasobów korporacyjnych (a także zasobów bardziej zewnętrznych, np. zlokalizowanych w ekstranecie), aby umożliwić im telepracę, korzystanie z aplikacji wewnętrznych, aplikacji wymagających dostępu do wielu portów, wewnętrznych adresów IP itd.
Tradycyjnie rozwiązywano ten problem, instalując na urządzeniach agenty lokalne. Wiąże się to z dodatkowymi nakładami administracyjnymi i koniecznością obsługi wersji oraz narzuca wiele ograniczeń wynikających z tradycyjnej hermetyzacji IPSEC (która jest często blokowana podczas dostępu do Internetu za pośrednictwem serwera proxy lub w środowisku osób trzecich).
Moduł F5 Access Policy Manager (APM) umożliwia przedsiębiorstwom realizowanie elastycznych modeli dostępu zdalnego, w którym każda grupa użytkowników widzi tylko te zasoby, z których ma prawo korzystać.
Takie połączenia można jeszcze dostosowywać na podstawie kontekstu użytkownika, tak aby był mu prezentowany odpowiednio portal aplikacji lub strona dostępu zdalnego. Na przykład użytkownik, który nie ma aktualnego oprogramowania antywirusowego, może zostać skierowany do portalu umożliwiającego aktualizację tego programu, ale nie dostanie pozwolenia na dostęp przez tunel IP.
Korzystając z tunelu VPN szyfrowanego przez SSL, można zapewnić dostęp zdalny nawet spoza proxy WWW lub zapory.
AP oferuje opcję użycia programowego klienta VPN, który ułatwia konfigurację procedury automatycznego nawiązywania sesji i obsługuje większość systemów operacyjnych zarówno na komputerach stacjonarnych (MS Windows, Mac OS X, Linux), jak i urządzeniach mobilnych (Android, IOS, Windows Phone itd.).
Popularność komunikacji HTTPS (HTTP przez SSL/TLS) w Internecie rośnie z każdym dniem. Usługi oferujące treści OTT (Over-The-Top), sieci społecznościowe, przeglądarki WWW, usługi komunikacji równorzędnej (peer-to-peer) – lista jest niemal nieskończona. Publikacja niezaszyfrowanych usług WWW w Internecie już teraz staje się praktyką nietypową i niebezpieczną. Nadejście standardu HTTP/2 (w którym szyfrowanie jest opcjonalne) ponownie zainicjowało debatę na ten temat. Nie ma obecnie żadnych implementacji przeglądarek z obsługą standardu HTTP/2 bez szyfrowania. Korzystanie z protokołu SSL/TLS w celu szyfrowania i deszyfrowania komunikacji jest co prawda bezpieczne, ale pochłania bardzo wiele zasobów procesora i ogranicza wydajność serwerów WWW. Migracja z kluczy 1024-bitowych na nowe klucze 2048-bitowe (zgodnie z rekomendacją NIST z 2011 r.) pięciokrotnie zwiększyła ilość zasobów obliczeniowych, jakie serwery WWW muszą poświęcić na obsługę tej samej liczby sesji SSL/TLS. Redukuje to o 80% liczbę połączeń na sekundę, którymi są teraz w stanie zarządzać te serwery. Ten model nie jest skalowalny.
Zwiększenie liczby serwerów frontonowych lub aplikacyjnych w celu dodania zasobów niezbędnych do obsługi zwiększonych wymagań przetwarzania ruchu SSL/TLS to alternatywa kosztowna zarówno w ujęciu ekonomicznym, jak i operacyjnym. Ponadto niezależne administrowanie certyfikatami na poszczególnych serwerach jest nieefektywne i zwiększa ryzyko błędów w sytuacjach, gdzie konieczne jest zarządzanie dziesiątkami certyfikatów na każdy serwer. Rozwiązania akcelerujące oparte na sprzęcie ogólnego przeznaczenia przejmuje obciążenia obliczeniowe od serwerów, ale podlega ograniczeniom wynikającym z tych samych czynników i nie zapewnia prawidłowej skalowalności.
Platforma F5 zawiera sprzęt przeznaczony specjalnie do akceleracji procesów szyfrowania i odszyfrowywania komunikacji SSL/TLS, przejmując od serwera obciążenia wynikające z wymiany kluczy kryptograficznych.
Odciążanie SSL/TLS umożliwia przedsiębiorstwom migrację całej komunikacji na ten protokół w celu zwiększenia bezpieczeństwa bez negatywnych konsekwencji dla serwerów frontonowych i aplikacyjnych. Ponadto takie rozwiązanie zapewnia wspólne repozytorium konsolidujące certyfikaty, co umożliwia scentralizowanie zarządzania nimi.
W środowiskach, w których konieczne jest szyfrowanie na całej trasie, można używać krótszych kluczy (np. 1024-bitowych) dla połączeń od platformy BIG-IP do wewnętrznych serwerów aplikacji, a dłuższych kluczy (po 2048 lub więcej bitów) dla połączeń z klientami zdalnymi.
F5 oferuje modele zgodne ze standardem FIPS i możliwość integracji z rozwiązaniami HMS innych firm.
SSL/TLS to protokół szyfrowania, który służy do zabezpieczania połączeń internetowych z użyciem algorytmu klucza publicznego oraz certyfikatów, na podstawie których szyfruje się komunikację oraz potwierdza tożsamość punktów końcowych. Pozwala to na zagwarantowanie poufności i integralności komunikacji. Jednym z najważniejszych zastosowań tego protokołu jest ochrona ruchu HTTP, który sam w sobie nie udostępnia żadnych mechanizmów szyfrowania. Z takiego rozwiązania korzystają na przykład bezpieczne strony internetowe w aplikacjach handlu elektronicznego. Z drugiej strony, mogą się nim również posłużyć hakerzy, aby obejść kontrole na urządzeniach zabezpieczających sieć.
Zadanie szyfrowania i deszyfrowania ruchu HTTPS znacznie obciąża elementy sieciowe służące do inspekcji ruchu (zapory, systemy IDS/IPS, systemy antywirusowe, narzędzia do filtrowania adresów URL, rozwiązania DPI do szczegółowej analizy pakietów itd.), zmniejszając ich wydajność. W przypadku zapory nowej generacji podczas inspekcji zaszyfrowanego ruchu wydajność spada o 81%. Mamy to więc do czynienia z dwoma problemami: widocznością ruchu i wydajnością zasobów.
Tradycyjna architektura usług bezpieczeństwa zazwyczaj nie jest optymalna i opiera się na rozwiązaniach intensywnie zużywających zasoby procesora (a zatem kosztownych). Nie jest również w stanie kontrolować ruchu zabezpieczonego przy użyciu bardziej zaawansowanych algorytmów, takich jak Elliptic Curve Diffie-Hellman (ECHDE).
Architektura pełnego proxy oferowana przez rozwiązanie F5 oznacza, że między klientem a LTM oraz między LTM a serwerem aplikacji mogą być nawiązywane odrębne połączenia. Pozwala to modułowi LTM na inspekcję wcześniej zaszyfrowanego ruchu i dostarczenie go w postaci niezaszyfrowanej do serwerów WWW lub elementów sieciowych służących do jego analiz (zapór, systemów IDS/IPS, systemów antywirusowych, narzędzi do filtrowania adresów URL, narzędzi DPI do szczegółowej analizy pakietów itd.).
Zapewnia to widoczność ruchu i w konsekwencji pozwala zredukować wielkość urządzeń służących do jego przyjmowania (FireEye, PAN, CheckPoint, SourceFire), co dodatkowo ułatwia skalowanie w poziomie.
W przeciwieństwie do innych rozwiązań na rynku, opartych na wykorzystaniu oprogramowania SSL w technice MITM (Man-In-The-Middle), F5 stosuje akcelerację sprzętową przetwarzania ruchu SSL (odciążanie SSL). Zapewnia to wyjątkowo dużą wydajność za korzystną cenę.
Jednokrotne logowanie (Single Sign-On – SSO) to koncepcja mechanizmu uwierzytelniania, który umożliwia użytkownikowi dostęp do wielu aplikacji na podstawie jednego zestawu niepowtarzalnych danych uwierzytelniających, co jest rozwiązaniem wygodnym, praktycznym i bezpiecznym. Jest to szczególnie istotne, ponieważ liczba używanych obecnie aplikacji (w tym aplikacji korporacyjnych) znacznie wzrosła. Aby uzyskać do nich dostęp, użytkownicy muszą raz za razem wprowadzać swoje dane uwierzytelniające, co zmniejsza produktywność i komfort pracy.
Pojawia także problem z bezpieczeństwem w przypadku aplikacji typu SaaS (oprogramowanie w formie usługi), takich jak Salesforce, Office 365, SharePoint Online itd., ponieważ użytkownicy do wszystkich programów ustawiają takie samo hasło lub wręcz zapisują swoje dane, żeby ich nie zapomnieć.
Moduł F5 Access Policy Manager (APM) umożliwia uwierzytelnianie użytkowników w celu udzielenia lub odmowy dostępu do aplikacji na podstawie wielu parametrów i w zależności od ich kontekstu.
Gdy użytkownik zostanie uwierzytelniony przez APM, jego dane uwierzytelniające są automatycznie przesyłane do aplikacji, z których chce skorzystać. Użytkownik nie musi ich ponownie wprowadzać. APM przesyła te dane w formacie wymaganym przez poszczególne aplikacje, w takiej samej formie, jak gdyby użytkownik sam je wprowadzał.
APM wdraża mechanizmy SSO w sposób scentralizowany i przezroczysty dla aplikacji.
Użytkownik może na przykład zostać uwierzytelniony przez APM na podstawie odczytu certyfikatu cyfrowego; następnie APM przekaże uwierzytelnienie tego użytkownika do jednej aplikacji za pomocą formularza WWW, a do innej za pomocą mechanizmu Kerberos.
W wielu przypadkach bezpieczeństwo przedsiębiorstwa zależy w ogromnym stopniu od bezpieczeństwa jego aplikacji internetowych, nad którymi nie ma ono kontroli, ponieważ są tworzone przez inne działy, lub co gorsza przez podmioty zewnętrzne, większą wagę przykładające do funkcjonalności i szybkości niż do zabezpieczeń. Typowe ataki, np. ataki z listy OWASP Top Ten (wstrzyknięcia kodu SQL, ataki typu XSS) mogą doprowadzić do wycieku cennych informacji przedsiębiorstwa, pociągając za sobą poważne konsekwencje ekonomiczne, a nawet skutki prawne. Również ataki DDoS w warstwie 7 mogą spowodować wyłączenie usługi dla klientów. Co więcej, regulacje PCI-DSS wymagają stosowania urządzeń zabezpieczających treści internetowe w celu maskowania danych wrażliwych.
Moduł F5 ASM (Application Security Manager) umożliwia szybkie i łatwe wdrożenie zapory WAF w sposób przezroczysty dla aplikacji i zapewnienie im w ten sposób ochrony przed takimi atakami, jak XSS i wstrzyknięcie kodu SQL. Ponadto moduł ten oferuje funkcję monitorowania zgodności z regulacjami PCI-DSS.
Po początkowym okresie 'uczenia się’, kiedy ASM rozpoznaje normalne wzorce działania aplikacji internetowej, aktywowana jest ochrona przez zaporę WAF. Jest to ochrona specyficzna dla każdego adresu URL; użytkownik może określić wartość progową, po przekroczeniu której jest aktywowana automatyczna ochrona.
Urządzenie to można skonfigurować do obsługi białych list albo czarnych list.
Sposób, w jaki korzystamy z Internetu, bardzo się ostatnio zmienił. Błyskawicznie rozwijają się sieci społecznościowe, komunikatory i narzędzia współpracy.
Pracownicy mogą korzystać z Internetu w sposób produktywny i z pożytkiem dla firmy, albo w celach osobistych i rozrywkowych. Wymaga to szczegółowej kontroli ich dostępu.
Kolejnym zagrożeniem jest szkodliwe oprogramowanie pojawiające się na stronach WWW lub w dokumentach otwieranych w przeglądarce.
Bardzo ważne jest także kontrolowanie sposobu korzystania z poczty WWW (Hotmail, Gmail itd.), która może być źródłem wycieku poufnych informacji firmy.
Mówiąc w skrócie, przedsiębiorstwa muszą monitorować wykorzystanie Internetu przez wszystkich ich użytkowników, aby zabezpieczyć swoje zasoby korporacyjne.
SWG (Secure Web Gateway) oferowany przez F5 to system bezpiecznego proxy WWW, który łączy wysoką wydajność i skalowalność z najbardziej zaawansowanymi technikami wykrywania szkodliwego oprogramowania w czasie rzeczywistym oraz filtrowania zawartości. Aby realizować tę ostatnią funkcję, F5 wybrał technologię Websense, czołowego dostawcy rozwiązań do analizy treści, którego baza danych klasyfikacyjnych oraz zaawansowany mechanizm inspekcji (ACE Technology by Websense) zostały wbudowane do urządzeń F5. Pozwala to przedsiębiorstwom na stosowanie bezpiecznej, precyzyjnej polityki regulującej dostęp użytkowników do sieci społecznościowych, komunikatorów, poczty WWW i tym podobnych aplikacji.
APM (Access Policy Manager) może uwierzytelniać użytkowników na różne sposoby, a także łączyć wiele technik uwierzytelniania: AD, NTLM, Kerberos, Radius, tokeny, certyfikaty, SAML itd. Technologia F5 zapewniająca widoczność ruchu SSL umożliwia inspekcję zaszyfrowanego ruchu w sposób przezroczysty. Ruch SSL do inspekcji można wybrać w precyzyjny sposób, stosując się do wymagań takich uregulowań prawnych, jak ustawa o ochronie danych osobowych (mająca zastosowanie na przykład w przypadku usług bankowych i opieki zdrowotnej).
APM i SWG udostępniają również rozbudowane funkcje rejestracji dzienników i raportowania. Można je wykorzystać do tworzenia zaawansowanych raportów na temat nawigacji użytkowników, co ułatwia jej monitorowanie.
Chociaż zapora WAF chroni aplikacje przed destrukcyjnym użyciem w wyniku ataku DDoS lub innych ataków na podatne aplikacje internetowe, nie może zapewnić ochrony użytkowników przed takimi atakami, jak phishing, konie trojańskie typu RAT, ataki MITB (’człowiek w przeglądarce’), keyloggery i tym podobne.
Zapewnienie ochrony tego typu jest wyjątkowo skomplikowane, ponieważ przedsiębiorstwo nie ma dostępu do urządzeń stacjonarnych i mobilnych używanych przez jego klientów, zatem nie może na nich instalować oprogramowania klienckiego. Co więcej, urządzenia takie korzystają z szeregu różnych systemów operacyjnych i przeglądarek.
Kradzież danych uwierzytelniających użytkowników, phishing i automatyczne szkodliwe transakcje to ataki poważnie naruszające reputację przedsiębiorstw i instytucji, które mogą prowadzić do dużych strat ekonomicznych i konsekwencji prawnych.
Kombinacja modułów F5 ASM (Application Security Manager) oraz WebSafe zapewnia ochronę zarówno aplikacji korporacyjnych, jak i użytkowników tych aplikacji bez potrzeby instalowania programów klienckich, modyfikowania aplikacji lub zarządzania stacjonarnymi lub mobilnymi punktami końcowymi.