Usługi zarządzane

PROBLEM

Ataki na infrastrukturę DNS są coraz częstsze, a ich konsekwencje dla aplikacji zyskały wymiar globalny. Uderzają zarówno bezpośrednio w protokół DNS (np. ataki typu DDoS), jak i w same usługi. Usługodawcy oferujący usługi zarządzane (MSP) muszą zarządzać usługami DNS na rzecz swoich klientów, zapewniając ich bezpieczeństwo i dostępność. Może to oznaczać równoważenie obciążenia usługi DNS, świadczenie usługi DNS w pełni zarządzanej, zapewnianie inteligentnych usług równoważenia stosownie do dostępności, a także migrację i zarządzanie ruchem pakietowym usług.

Procesy te powinny podlegać mechanizmom umożliwiającym redukcję kosztów, implementację i monitorowanie poziomów usług (SLA), dostosowywanie usługi na poziomie poszczególnych klientów oraz koordynację tej usługi z udostępnianiem i eksploatacją innych usług.

ALTERNATYWY

• Procesy te powinny podlegać mechanizmom umożliwiającym redukcję kosztów, implementację i monitorowanie poziomów usług (SLA), dostosowywanie usługi na poziomie poszczególnych klientów oraz koordynację tej usługi z udostępnianiem i eksploatacją innych usług.
• Rozwiązania oparte na produktach GNU/BIND, które wymagają ciągłego instalowania poprawek i mają powszechnie znane luki zabezpieczeń.
• Bardzo mała skalowalność oparta o równoważenie obciążeń.
• Brak możliwości generowania usług wnoszących wartość dodaną lub korelacji informacji o dostępności usługi DNS.

F5 | ROZWIĄZANIE DNS

Platforma F5 BIG-IP DNS umożliwia wdrażanie usług DNS dla wielu użytkowników w modelu dostępności na żądanie, oferując przez to wyjątkowy zestaw możliwości z zakresu bezpieczeństwa i inteligentnego tłumaczenia nazw domen na bazie wielu parametrów, takich jak dostępność, lokalizacja, ciągłość usługi lub migracja usług do innych firm lub do chmury.

Otwarte interfejsy API REST umożliwiają integrację usługi z ofertami innych producentów, ułatwiając jej naturalne wbudowywanie do środowisk SDN/SDDC opartych na takich technologiach, jak Cisco APIC, VMWare NSX lub OpenStack.

Dzięki konsolidacji funkcji DNS, zapory, VPNaaS (sieci VPN jako usługi) i LBaaS (równoważenia obciążenia jako usługi) na jednej platformie, rozwiązanie F5 pozwala także na redukcję kosztów operacyjnych i ogromny wzrost wydajności, znacznie przewyższający ofertę konkurencji.

ARCHITEKTURA REFERENCYJNA | OFERTA MSP: ROZWIĄZANIE DNS W FORMIE USŁUGI

PROBLEM

Chociaż zapora WAF chroni aplikacje przed destrukcyjnym użyciem w wyniku ataku DDoS lub innych ataków w warstwie aplikacji, nie może zapewnić ochrony użytkowników przed takimi atakami, jak phishing, konie trojańskie typu RAT, ataki MITB (?człowiek w przeglądarce?), keyloggery i tym podobne.

Zapewnienie ochrony tego typu jest wyjątkowo skomplikowane, ponieważ przedsiębiorstwo nie ma dostępu do urządzeń stacjonarnych i mobilnych używanych przez jego klientów, zatem nie może na nich instalować oprogramowania klienckiego. Co więcej, urządzenia takie korzystają z szeregu różnych systemów operacyjnych i przeglądarek.

Kradzież danych uwierzytelniających użytkowników, phishing i oszustwa finansowe to ataki poważnie naruszające reputację przedsiębiorstw i instytucji, które mogą prowadzić do dużych strat ekonomicznych i konsekwencji prawnych. Usługa E-WAFaaS (rozszerzona zapora aplikacji internetowej udostępniana w formie usługi) to bardzo interesująca propozycja biznesowa dla usługodawców MSP, umożliwiająca przygotowanie bardziej wartościowej oferty dla klientów, zdobycie ich lojalności i wygenerowanie dodatkowych przychodów.

ALTERNATYWY

• RRozwiązania innych dostawców wymagają instalowania produktów klienckich na serwerze i/lub na urządzeniach-klientach, co w większości przypadków jest niewykonalne ze względu na interakcje między tym produktem klienckim a samą aplikacją (w przypadku serwerów) lub ze względu na to, że takie urządzenia pozostają poza kontrolą przedsiębiorstwa.
• Zastosowanie samego modułu WAF nie zapewnia ochrony użytkowników aplikacji przedsiębiorstwa.

F5 | ROZWIĄZANIE ROZWIĄZANIE ASM + WEBSAFE

Moduł F5 ASM (Application Security Manager) umożliwia szybkie i łatwe wdrożenie zapory WAF w sposób przezroczysty dla aplikacji i zapewnienie im w ten sposób ochrony przed takimi atakami, jak XSS i wstrzyknięcie kodu SQL (które stanowią dwie najpowszechniej stosowane metody naruszenia bezpieczeństwa danych). Ponadto moduł ten umożliwia generowanie raportów wymaganych przez standardy PCI-DSS.

Kombinacja modułów F5 ASM oraz WebSafe zapewnia ochronę zarówno aplikacji korporacyjnych, jak i użytkowników tych aplikacji bez potrzeby instalowania programów klienckich, modyfikowania aplikacji lub zarządzania stacjonarnymi lub mobilnymi urządzeniami dostępowymi.

ARCHITEKTURA REFERENCYJNA | OFERTA MSP: ROZWIĄZANIE ROZSZERZONEJ ZAPORY WAF W FORMIE USŁUGI

PROBLEM

W wielu przypadkach bezpieczeństwo przedsiębiorstw zależy od bezpieczeństwa ich aplikacji internetowych, opracowanych przez podmioty zewnętrzne i podatnych na znane formy ataków (wstrzyknięcie kodu SQL, ataki XSS itp.), które mogą doprowadzić do wycieku cennych informacji przedsiębiorstwa, pociągając za sobą poważne konsekwencje ekonomiczne, a nawet skutki prawne. Również ataki DDoS w warstwie 7 mogą spowodować wyłączenie usługi dla klientów. Co więcej, regulacje PCI-DSS wymagają stosowania urządzeń zabezpieczających treści internetowe w celu maskowania danych wrażliwych.

Usługa E-WAFaaS (rozszerzona zapora aplikacji internetowej udostępniana w formie usługi) to bardzo interesująca propozycja biznesowa dla usługodawców MSP, umożliwiająca przygotowanie bardziej wartościowej oferty dla klientów, zdobycie ich lojalności i wygenerowanie dodatkowych przychodów.

ALTERNATYWY

• Wdrażanie dodatkowych polityk bezpieczeństwa w procesie tworzenia aplikacji, co może prowadzić do konfliktów organizacyjnych, długich opóźnień w powstawaniu programów i znacznego zwiększenia kosztów tego procesu.
• Niepodjęcie żadnych działań stwarza ogromne ryzyko i oznacza naruszenie wymagań określonych w regulacjach.

F5 | ROZWIĄZANIE ASM/SILVERLINE

Moduł F5 ASM (Application Security Manager) umożliwia szybkie i łatwe wdrożenie zapory WAF w sposób przezroczysty dla aplikacji i zapewnienie im w ten sposób ochrony przed atakami w warstwie aplikacji internetowych, takimi jak ataki z listy OWASP i ataki typu DDoS. Ponadto moduł ten oferuje funkcję monitorowania zgodności z regulacjami PCI-DSS.

Po początkowym okresie „uczenia się”, kiedy ASM rozpoznaje normalne wzorce działania aplikacji internetowej, aktywowana jest ochrona przez zaporę WAF. Jest to ochrona specyficzna dla każdego adresu URL; użytkownik może określić wartość progową, po przekroczeniu której jest aktywowana automatyczna ochrona.

Urządzenie to można skonfigurować do obsługi białych list albo czarnych list.

Inną opcją zapewnienia ochrony aplikacji jest skorzystanie z usługi SILVERLINE. Jest to usługa zarządzana, świadczona zdalnie przez całą dobę i 7 dni w tygodniu, obsługiwana przez specjalistów z F5.

ARCHITEKTURA REFERENCYJNA | OFERTA MSP: ROZWIĄZANIE WAF W FORMIE USŁUGI

PROBLEM

Obecnie coraz częściej mamy do czynienia z outsourcingiem usług w formie oferty platform SaaS (Software as a Service), takich jak Office 365, SalesForce, Concur, Workday, aplikacje Google itd.

Integracja wszystkich tych usług wymaga stosowania kontroli dostępu oraz weryfikowania tożsamości użytkowników, którzy z nich korzystają. Pozwolenie użytkownikom na samodzielne zarządzanie dostępem oraz hasłem do usługi stworzy liczne problemy związane z bezpieczeństwem (wielokrotne używanie tych samych haseł, kwestie zarządzania zmianami, zróżnicowane zasady itp.).

Natomiast zsynchronizowanie usług katalogowych przedsiębiorstwa oznacza umożliwienie wszystkim usługodawcom wglądu w wewnętrzne dane uwierzytelniające, co nie jest opcją ani bezpieczną ani odpowiednio skalowalną.

ALTERNATYWY

• Udostępnienie wewnętrznego katalogu kont zewnętrznym usługodawcom.
• Rozwiązania biznesowe niezapewniające zgodności pomiędzy różnymi producentami (np. ADFS) i pozbawione zaawansowanych mechanizmów uwierzytelniania (np. uwierzytelniania dwuskładnikowego).
• Zezwolenie użytkownikom na konfigurowanie i używanie usług zewnętrznych na podstawie osobnego hasła do każdej usługi, z różnymi zasadami dotyczącymi zmiany haseł i ich złożoności.

F5 | ROZWIĄZANIE APM

Platforma BIG-IP Access Policy Manager (APM) umożliwia federacyjną obsługę identyfikatorów z wielu różnych serwisów. W świadczeniu usług wyróżnia się dwie role: systemu dostarczającego usługę (SP) oraz systemu przeprowadzającego identyfikację (IdP). Federacja tych dwóch środowisk umożliwia weryfikację tożsamości użytkowników bez potrzeby dostępu do ich danych uwierzytelniających.

Platforma BIG-IP AM może pełnić obie te role. Po pierwsze, może zapewniać kontrolę dostępu do usługi zewnętrznej (w przypadku usługodawcy MSP świadczącego usługę zarządzaną dla swoich klientów). Po drugie zaś może pełnić rolę lokalnego rozwiązanie IdP, tworząc zaawansowany system uwierzytelniania na potrzeby usług SaaS, niezależny od wybranej platformy tych usług. Dzięki temu można uniknąć ujawniania lokalnego katalogu kont usługodawcom MSP / SaaS, a jednocześnie oferować funkcję jednokrotnego logowania (SSO).

ARCHITEKTURA REFERENCYJNA | OFERTA MSP: USŁUGA FEDERACJI IDENTYFIKATORÓW

PROBLEM

Usługodawcy MSP muszą mieć możliwość oferowania swoim klientom usług wnoszących wartość dodaną, zapewniając jednocześnie dostępność i skalowalność swoich rozwiązań oraz wdrożonej infrastruktury.

Procesy te powinny podlegać mechanizmom umożliwiającym redukcję kosztów, implementację i monitorowanie poziomów usług (SLA), dostosowywanie usługi na poziomie poszczególnych klientów oraz koordynację tej usługi z udostępnianiem i eksploatacją innych usług.

ALTERNATYWY

• Rozwiązania doraźne, tworzone na podstawie własnych prac programistycznych lub oparte na kodzie GNU, nie mają takich możliwości i mocy obliczeniowej, jak platforma BIG-IP. Dotyczy to zarówno kwestii wydajności, jak i wielu ukrytych kosztów związanych z obsługą techniczną i modernizacją tych platform.
• Inne rozwiązania komercyjne nie oferują takiej elastyczności, jaką zapewnia oferta F5 w kategoriach integracji, modeli licencjonowania i możliwości obsługi wielu klientów. Są to cechy bezpośrednio wynikające z konstrukcji platformy BIG-IP.

F5 | ROZWIĄZANIE LTM + BIG-IQ

Platforma F5 BIG-IP umożliwia wdrażanie usług równoważenia obciążenia dostępnych na żądanie z inteligentną analizą warstwy 7, przeznaczonych do obsługi środowisk wielu klientów i dostępne w formie pojedynczej platformy.

Otwarte interfejsy API REST umożliwiają integrację usługi z ofertami innych producentów, ułatwiając jej naturalne wbudowywanie do środowisk SDN/SDDC opartych na takich technologiach, jak Cisco APIC, VMWare NSX lub OpenStack. Wdrażanie usług na podstawie szablonów iApp umożliwia przygotowanie katalogu aplikacji, który będzie ułatwiać świadczenie usług dla wielu różnych klientów, redukując zarówno koszty operacyjne, jak i ryzyko błędu ludzkiego.

Opcje licencjonowania tej oferty są bardzo wszechstronne. Oprócz modeli tradycyjnych dostępne są rozwiązania alternatywne, takie jak subskrypcja albo tworzenie puli licencji.

BIG-IQ dodatkowo rozszerza możliwości scentralizowanego zarządzania wieloma platformami F5.

ARCHITEKTURA REFERENCYJNA | OFERTA MSP: ROZWIĄZANIE LBaaS