• 75 • Oferta MSP: Usługa ochrony przed atakami DDoS

    PROBLEM

    Ataki typu DDoS stanowią coraz większy problem dla przedsiębiorstw. Koszt przeprowadzenia takiego ataku jest minimalny w porównaniu z potencjalnym kosztem utraty usługi, usunięcia uszkodzeń i jej odzyskania. Jest to przyczyną pojawienia się nowych grup ?haktywistów?, które atakują przedsiębiorstwa pod każdym pretekstem, który uznają za uzasadniony. Co więcej, takie ataki stają się coraz bardziej złożone. Mogą uderzać w warstwę sieci, warstwę aplikacji, poziom usługi DNS, a nawet wykorzystywać luki w logice biznesowej aplikacji.

    Stanowi to wyjątkowo poważny problem w środowiskach usług zarządzanych, ponieważ pojedyncze urządzenie klienckie może uniemożliwić dostęp wielu firmom i użytkownikom.

    ALTERNATYWY

    • Wdrażanie instalowanych lokalnie rozwiązań do zwalczania ataków DDoS, które nie wnoszą poza tym wartości dodanej.
    • Brak możliwości radzenia sobie z atakami wolumetrycznymi i konieczność powierzenia tej usługi operatorowi łącza, co powoduje wzrost kosztów i uzależnienie od operatora.
    • Brak możliwości zapobiegania atakom na warstwę aplikacji lub warstwę szyfrowania, co prowadzi do utraty dostępności usługi.

    F5 | ROZWIĄZANIE AFM + ASM + SILVERLINE

    Platforma BIG-IP może zapobiegać atakom DDoS na wielu poziomach. BIG-IP zarządza bezpośrednio atakami na warstwę sieci (zalew ICMP, SYN, UDP, DNS itd.), wykorzystując akcelerowaną sprzętowo technologię odciążania ochrony przed DDoS (niezbędne są do tego licencje na produkty AFM oraz DNS/GTM). Atakami na warstwę aplikacji można zarządzać za pomocą modułu ASM (Application Security Manager), który wykrywa destrukcyjne działania i przeprowadza kontrolę dostępu do usługi w celu zweryfikowania, czy żądanie zostało wysłane przez człowieka (wykonując identyfikację ?odcisku palca? przeglądarki, wstawiając kontrolę CAPTCHA lub niewidoczny test JavaScript itd.).

    Skutki ataków wolumetrycznych są łagodzone przez udostępnianą w hostingu platformę SilverLine, która odbiera szkodliwy ruch i przeprowadza na nim w pełni zautomatyzowane filtrowanie w chmurze z użyciem dostępnej przez całą dobę i cały tydzień usługi specjalistycznej F5. Funkcjami tymi zarządza się za pośrednictwem portalu dla użytkowników, który jest ponadto źródłem udostępnianych w czasie rzeczywistym informacji o środkach przeciwdziałania atakom oraz podjętych akcjach.

    ARCHITEKTURA REFERENCYJNA | OFERTA MSP: USŁUGA OCHRONY PRZED ATAKAMI DDOS

    Usługi zarzadzane - Księga Rozwiązań F5

  • 76 • Oferta MSP: Rozwiązanie BIG-IP DNS w formie usługi

    PROBLEM

    Ataki na infrastrukturę DNS są coraz częstsze, a ich konsekwencje dla aplikacji zyskały wymiar globalny. Uderzają zarówno bezpośrednio w protokół DNS (np. ataki typu DDoS), jak i w same usługi. Usługodawcy oferujący usługi zarządzane (MSP) muszą zarządzać usługami DNS na rzecz swoich klientów, zapewniając ich bezpieczeństwo i dostępność. Może to oznaczać równoważenie obciążenia usługi DNS, świadczenie usługi DNS w pełni zarządzanej, zapewnianie inteligentnych usług równoważenia stosownie do dostępności, a także migrację i zarządzanie ruchem pakietowym usług.

    Procesy te powinny podlegać mechanizmom umożliwiającym redukcję kosztów, implementację i monitorowanie poziomów usług (SLA), dostosowywanie usługi na poziomie poszczególnych klientów oraz koordynację tej usługi z udostępnianiem i eksploatacją innych usług.

    ALTERNATYWY

    • Procesy te powinny podlegać mechanizmom umożliwiającym redukcję kosztów, implementację i monitorowanie poziomów usług (SLA), dostosowywanie usługi na poziomie poszczególnych klientów oraz koordynację tej usługi z udostępnianiem i eksploatacją innych usług.
    • Rozwiązania oparte na produktach GNU/BIND, które wymagają ciągłego instalowania poprawek i mają powszechnie znane luki zabezpieczeń.
    • Bardzo mała skalowalność oparta o równoważenie obciążeń.
    • Brak możliwości generowania usług wnoszących wartość dodaną lub korelacji informacji o dostępności usługi DNS.

    F5 | ROZWIĄZANIE DNS

    Platforma F5 BIG-IP DNS umożliwia wdrażanie usług DNS dla wielu użytkowników w modelu dostępności na żądanie, oferując przez to wyjątkowy zestaw możliwości z zakresu bezpieczeństwa i inteligentnego tłumaczenia nazw domen na bazie wielu parametrów, takich jak dostępność, lokalizacja, ciągłość usługi lub migracja usług do innych firm lub do chmury.

    Otwarte interfejsy API REST umożliwiają integrację usługi z ofertami innych producentów, ułatwiając jej naturalne wbudowywanie do środowisk SDN/SDDC opartych na takich technologiach, jak Cisco APIC, VMWare NSX lub OpenStack.

    Dzięki konsolidacji funkcji DNS, zapory, VPNaaS (sieci VPN jako usługi) i LBaaS (równoważenia obciążenia jako usługi) na jednej platformie, rozwiązanie F5 pozwala także na redukcję kosztów operacyjnych i ogromny wzrost wydajności, znacznie przewyższający ofertę konkurencji.

    ARCHITEKTURA REFERENCYJNA | OFERTA MSP: ROZWIĄZANIE DNS W FORMIE USŁUGI

    Usługi zarzadzane - Księga Rozwiązań F5

  • 77 • Oferta MSP: Rozwiązanie rozszerzonej zapory WAF w formie usługi

    PROBLEM

    Chociaż zapora WAF chroni aplikacje przed destrukcyjnym użyciem w wyniku ataku DDoS lub innych ataków w warstwie aplikacji, nie może zapewnić ochrony użytkowników przed takimi atakami, jak phishing, konie trojańskie typu RAT, ataki MITB (?człowiek w przeglądarce?), keyloggery i tym podobne.

    Zapewnienie ochrony tego typu jest wyjątkowo skomplikowane, ponieważ przedsiębiorstwo nie ma dostępu do urządzeń stacjonarnych i mobilnych używanych przez jego klientów, zatem nie może na nich instalować oprogramowania klienckiego. Co więcej, urządzenia takie korzystają z szeregu różnych systemów operacyjnych i przeglądarek.

    Kradzież danych uwierzytelniających użytkowników, phishing i oszustwa finansowe to ataki poważnie naruszające reputację przedsiębiorstw i instytucji, które mogą prowadzić do dużych strat ekonomicznych i konsekwencji prawnych. Usługa E-WAFaaS (rozszerzona zapora aplikacji internetowej udostępniana w formie usługi) to bardzo interesująca propozycja biznesowa dla usługodawców MSP, umożliwiająca przygotowanie bardziej wartościowej oferty dla klientów, zdobycie ich lojalności i wygenerowanie dodatkowych przychodów.

    ALTERNATYWY

    • RRozwiązania innych dostawców wymagają instalowania produktów klienckich na serwerze i/lub na urządzeniach-klientach, co w większości przypadków jest niewykonalne ze względu na interakcje między tym produktem klienckim a samą aplikacją (w przypadku serwerów) lub ze względu na to, że takie urządzenia pozostają poza kontrolą przedsiębiorstwa.
    • Zastosowanie samego modułu WAF nie zapewnia ochrony użytkowników aplikacji przedsiębiorstwa.

    F5 | ROZWIĄZANIE ROZWIĄZANIE ASM + WEBSAFE

    Moduł F5 ASM (Application Security Manager) umożliwia szybkie i łatwe wdrożenie zapory WAF w sposób przezroczysty dla aplikacji i zapewnienie im w ten sposób ochrony przed takimi atakami, jak XSS i wstrzyknięcie kodu SQL (które stanowią dwie najpowszechniej stosowane metody naruszenia bezpieczeństwa danych). Ponadto moduł ten umożliwia generowanie raportów wymaganych przez standardy PCI-DSS.

    Kombinacja modułów F5 ASM oraz WebSafe zapewnia ochronę zarówno aplikacji korporacyjnych, jak i użytkowników tych aplikacji bez potrzeby instalowania programów klienckich, modyfikowania aplikacji lub zarządzania stacjonarnymi lub mobilnymi urządzeniami dostępowymi.

    ARCHITEKTURA REFERENCYJNA | OFERTA MSP: ROZWIĄZANIE ROZSZERZONEJ ZAPORY WAF W FORMIE USŁUGI

    Usługi zarzadzane - Księga Rozwiązań F5

  • 78 • Oferta MSP: Zapora WAF w formie usługi

    PROBLEM

    W wielu przypadkach bezpieczeństwo przedsiębiorstw zależy od bezpieczeństwa ich aplikacji internetowych, opracowanych przez podmioty zewnętrzne i podatnych na znane formy ataków (wstrzyknięcie kodu SQL, ataki XSS itp.), które mogą doprowadzić do wycieku cennych informacji przedsiębiorstwa, pociągając za sobą poważne konsekwencje ekonomiczne, a nawet skutki prawne. Również ataki DDoS w warstwie 7 mogą spowodować wyłączenie usługi dla klientów. Co więcej, regulacje PCI-DSS wymagają stosowania urządzeń zabezpieczających treści internetowe w celu maskowania danych wrażliwych.

    Usługa E-WAFaaS (rozszerzona zapora aplikacji internetowej udostępniana w formie usługi) to bardzo interesująca propozycja biznesowa dla usługodawców MSP, umożliwiająca przygotowanie bardziej wartościowej oferty dla klientów, zdobycie ich lojalności i wygenerowanie dodatkowych przychodów.

    ALTERNATYWY

    • Wdrażanie dodatkowych polityk bezpieczeństwa w procesie tworzenia aplikacji, co może prowadzić do konfliktów organizacyjnych, długich opóźnień w powstawaniu programów i znacznego zwiększenia kosztów tego procesu.
    • Niepodjęcie żadnych działań stwarza ogromne ryzyko i oznacza naruszenie wymagań określonych w regulacjach.

    F5 | ROZWIĄZANIE ASM/SILVERLINE

    Moduł F5 ASM (Application Security Manager) umożliwia szybkie i łatwe wdrożenie zapory WAF w sposób przezroczysty dla aplikacji i zapewnienie im w ten sposób ochrony przed atakami w warstwie aplikacji internetowych, takimi jak ataki z listy OWASP i ataki typu DDoS. Ponadto moduł ten oferuje funkcję monitorowania zgodności z regulacjami PCI-DSS.

    Po początkowym okresie “uczenia się”, kiedy ASM rozpoznaje normalne wzorce działania aplikacji internetowej, aktywowana jest ochrona przez zaporę WAF. Jest to ochrona specyficzna dla każdego adresu URL; użytkownik może określić wartość progową, po przekroczeniu której jest aktywowana automatyczna ochrona.

    Urządzenie to można skonfigurować do obsługi białych list albo czarnych list.

    Inną opcją zapewnienia ochrony aplikacji jest skorzystanie z usługi SILVERLINE. Jest to usługa zarządzana, świadczona zdalnie przez całą dobę i 7 dni w tygodniu, obsługiwana przez specjalistów z F5.

    ARCHITEKTURA REFERENCYJNA | OFERTA MSP: ROZWIĄZANIE WAF W FORMIE USŁUGI

    Usługi zarzadzane - Księga Rozwiązań F5

  • 79 • Oferta MSP: Usługa federacji identyfikatorów

    PROBLEM

    Obecnie coraz częściej mamy do czynienia z outsourcingiem usług w formie oferty platform SaaS (Software as a Service), takich jak Office 365, SalesForce, Concur, Workday, aplikacje Google itd.

    Integracja wszystkich tych usług wymaga stosowania kontroli dostępu oraz weryfikowania tożsamości użytkowników, którzy z nich korzystają. Pozwolenie użytkownikom na samodzielne zarządzanie dostępem oraz hasłem do usługi stworzy liczne problemy związane z bezpieczeństwem (wielokrotne używanie tych samych haseł, kwestie zarządzania zmianami, zróżnicowane zasady itp.).

    Natomiast zsynchronizowanie usług katalogowych przedsiębiorstwa oznacza umożliwienie wszystkim usługodawcom wglądu w wewnętrzne dane uwierzytelniające, co nie jest opcją ani bezpieczną ani odpowiednio skalowalną.

    ALTERNATYWY

    • Udostępnienie wewnętrznego katalogu kont zewnętrznym usługodawcom.
    • Rozwiązania biznesowe niezapewniające zgodności pomiędzy różnymi producentami (np. ADFS) i pozbawione zaawansowanych mechanizmów uwierzytelniania (np. uwierzytelniania dwuskładnikowego).
    • Zezwolenie użytkownikom na konfigurowanie i używanie usług zewnętrznych na podstawie osobnego hasła do każdej usługi, z różnymi zasadami dotyczącymi zmiany haseł i ich złożoności.

    F5 | ROZWIĄZANIE APM

    Platforma BIG-IP Access Policy Manager (APM) umożliwia federacyjną obsługę identyfikatorów z wielu różnych serwisów. W świadczeniu usług wyróżnia się dwie role: systemu dostarczającego usługę (SP) oraz systemu przeprowadzającego identyfikację (IdP). Federacja tych dwóch środowisk umożliwia weryfikację tożsamości użytkowników bez potrzeby dostępu do ich danych uwierzytelniających.

    Platforma BIG-IP AM może pełnić obie te role. Po pierwsze, może zapewniać kontrolę dostępu do usługi zewnętrznej (w przypadku usługodawcy MSP świadczącego usługę zarządzaną dla swoich klientów). Po drugie zaś może pełnić rolę lokalnego rozwiązanie IdP, tworząc zaawansowany system uwierzytelniania na potrzeby usług SaaS, niezależny od wybranej platformy tych usług. Dzięki temu można uniknąć ujawniania lokalnego katalogu kont usługodawcom MSP / SaaS, a jednocześnie oferować funkcję jednokrotnego logowania (SSO).

    ARCHITEKTURA REFERENCYJNA | OFERTA MSP: USŁUGA FEDERACJI IDENTYFIKATORÓW

    Usługi zarzadzane - Księga Rozwiązań F5

  • 80 • Oferta MSP: Usługa równoważenia obciążenia (LBaaS)

    PROBLEM

    Usługodawcy MSP muszą mieć możliwość oferowania swoim klientom usług wnoszących wartość dodaną, zapewniając jednocześnie dostępność i skalowalność swoich rozwiązań oraz wdrożonej infrastruktury.

    Procesy te powinny podlegać mechanizmom umożliwiającym redukcję kosztów, implementację i monitorowanie poziomów usług (SLA), dostosowywanie usługi na poziomie poszczególnych klientów oraz koordynację tej usługi z udostępnianiem i eksploatacją innych usług.

    ALTERNATYWY

    • Rozwiązania doraźne, tworzone na podstawie własnych prac programistycznych lub oparte na kodzie GNU, nie mają takich możliwości i mocy obliczeniowej, jak platforma BIG-IP. Dotyczy to zarówno kwestii wydajności, jak i wielu ukrytych kosztów związanych z obsługą techniczną i modernizacją tych platform.
    • Inne rozwiązania komercyjne nie oferują takiej elastyczności, jaką zapewnia oferta F5 w kategoriach integracji, modeli licencjonowania i możliwości obsługi wielu klientów. Są to cechy bezpośrednio wynikające z konstrukcji platformy BIG-IP.

    F5 | ROZWIĄZANIE LTM + BIG-IQ

    Platforma F5 BIG-IP umożliwia wdrażanie usług równoważenia obciążenia dostępnych na żądanie z inteligentną analizą warstwy 7, przeznaczonych do obsługi środowisk wielu klientów i dostępne w formie pojedynczej platformy.

    Otwarte interfejsy API REST umożliwiają integrację usługi z ofertami innych producentów, ułatwiając jej naturalne wbudowywanie do środowisk SDN/SDDC opartych na takich technologiach, jak Cisco APIC, VMWare NSX lub OpenStack. Wdrażanie usług na podstawie szablonów iApp umożliwia przygotowanie katalogu aplikacji, który będzie ułatwiać świadczenie usług dla wielu różnych klientów, redukując zarówno koszty operacyjne, jak i ryzyko błędu ludzkiego.

    Opcje licencjonowania tej oferty są bardzo wszechstronne. Oprócz modeli tradycyjnych dostępne są rozwiązania alternatywne, takie jak subskrypcja albo tworzenie puli licencji.

    BIG-IQ dodatkowo rozszerza możliwości scentralizowanego zarządzania wieloma platformami F5.

    ARCHITEKTURA REFERENCYJNA | OFERTA MSP: ROZWIĄZANIE LBaaS

    Usługi zarzadzane - Księga Rozwiązań F5