Ataki typu DDoS stanowią coraz większy problem dla przedsiębiorstw. Koszt przeprowadzenia takiego ataku jest minimalny w porównaniu z potencjalnym kosztem utraty usługi, usunięcia uszkodzeń i jej odzyskania. Jest to przyczyną pojawienia się nowych grup ?haktywistów?, które atakują przedsiębiorstwa pod każdym pretekstem, który uznają za uzasadniony. Co więcej, takie ataki stają się coraz bardziej złożone. Mogą uderzać w warstwę sieci, warstwę aplikacji, poziom usługi DNS, a nawet wykorzystywać luki w logice biznesowej aplikacji.
Stanowi to wyjątkowo poważny problem w środowiskach usług zarządzanych, ponieważ pojedyncze urządzenie klienckie może uniemożliwić dostęp wielu firmom i użytkownikom.
Platforma BIG-IP może zapobiegać atakom DDoS na wielu poziomach. BIG-IP zarządza bezpośrednio atakami na warstwę sieci (zalew ICMP, SYN, UDP, DNS itd.), wykorzystując akcelerowaną sprzętowo technologię odciążania ochrony przed DDoS (niezbędne są do tego licencje na produkty AFM oraz DNS/GTM). Atakami na warstwę aplikacji można zarządzać za pomocą modułu ASM (Application Security Manager), który wykrywa destrukcyjne działania i przeprowadza kontrolę dostępu do usługi w celu zweryfikowania, czy żądanie zostało wysłane przez człowieka (wykonując identyfikację ?odcisku palca? przeglądarki, wstawiając kontrolę CAPTCHA lub niewidoczny test JavaScript itd.).
Skutki ataków wolumetrycznych są łagodzone przez udostępnianą w hostingu platformę SilverLine, która odbiera szkodliwy ruch i przeprowadza na nim w pełni zautomatyzowane filtrowanie w chmurze z użyciem dostępnej przez całą dobę i cały tydzień usługi specjalistycznej F5. Funkcjami tymi zarządza się za pośrednictwem portalu dla użytkowników, który jest ponadto źródłem udostępnianych w czasie rzeczywistym informacji o środkach przeciwdziałania atakom oraz podjętych akcjach.
Ataki na infrastrukturę DNS są coraz częstsze, a ich konsekwencje dla aplikacji zyskały wymiar globalny. Uderzają zarówno bezpośrednio w protokół DNS (np. ataki typu DDoS), jak i w same usługi. Usługodawcy oferujący usługi zarządzane (MSP) muszą zarządzać usługami DNS na rzecz swoich klientów, zapewniając ich bezpieczeństwo i dostępność. Może to oznaczać równoważenie obciążenia usługi DNS, świadczenie usługi DNS w pełni zarządzanej, zapewnianie inteligentnych usług równoważenia stosownie do dostępności, a także migrację i zarządzanie ruchem pakietowym usług.
Procesy te powinny podlegać mechanizmom umożliwiającym redukcję kosztów, implementację i monitorowanie poziomów usług (SLA), dostosowywanie usługi na poziomie poszczególnych klientów oraz koordynację tej usługi z udostępnianiem i eksploatacją innych usług.
Platforma F5 BIG-IP DNS umożliwia wdrażanie usług DNS dla wielu użytkowników w modelu dostępności na żądanie, oferując przez to wyjątkowy zestaw możliwości z zakresu bezpieczeństwa i inteligentnego tłumaczenia nazw domen na bazie wielu parametrów, takich jak dostępność, lokalizacja, ciągłość usługi lub migracja usług do innych firm lub do chmury.
Otwarte interfejsy API REST umożliwiają integrację usługi z ofertami innych producentów, ułatwiając jej naturalne wbudowywanie do środowisk SDN/SDDC opartych na takich technologiach, jak Cisco APIC, VMWare NSX lub OpenStack.
Dzięki konsolidacji funkcji DNS, zapory, VPNaaS (sieci VPN jako usługi) i LBaaS (równoważenia obciążenia jako usługi) na jednej platformie, rozwiązanie F5 pozwala także na redukcję kosztów operacyjnych i ogromny wzrost wydajności, znacznie przewyższający ofertę konkurencji.
Chociaż zapora WAF chroni aplikacje przed destrukcyjnym użyciem w wyniku ataku DDoS lub innych ataków w warstwie aplikacji, nie może zapewnić ochrony użytkowników przed takimi atakami, jak phishing, konie trojańskie typu RAT, ataki MITB (?człowiek w przeglądarce?), keyloggery i tym podobne.
Zapewnienie ochrony tego typu jest wyjątkowo skomplikowane, ponieważ przedsiębiorstwo nie ma dostępu do urządzeń stacjonarnych i mobilnych używanych przez jego klientów, zatem nie może na nich instalować oprogramowania klienckiego. Co więcej, urządzenia takie korzystają z szeregu różnych systemów operacyjnych i przeglądarek.
Kradzież danych uwierzytelniających użytkowników, phishing i oszustwa finansowe to ataki poważnie naruszające reputację przedsiębiorstw i instytucji, które mogą prowadzić do dużych strat ekonomicznych i konsekwencji prawnych. Usługa E-WAFaaS (rozszerzona zapora aplikacji internetowej udostępniana w formie usługi) to bardzo interesująca propozycja biznesowa dla usługodawców MSP, umożliwiająca przygotowanie bardziej wartościowej oferty dla klientów, zdobycie ich lojalności i wygenerowanie dodatkowych przychodów.
Moduł F5 ASM (Application Security Manager) umożliwia szybkie i łatwe wdrożenie zapory WAF w sposób przezroczysty dla aplikacji i zapewnienie im w ten sposób ochrony przed takimi atakami, jak XSS i wstrzyknięcie kodu SQL (które stanowią dwie najpowszechniej stosowane metody naruszenia bezpieczeństwa danych). Ponadto moduł ten umożliwia generowanie raportów wymaganych przez standardy PCI-DSS.
Kombinacja modułów F5 ASM oraz WebSafe zapewnia ochronę zarówno aplikacji korporacyjnych, jak i użytkowników tych aplikacji bez potrzeby instalowania programów klienckich, modyfikowania aplikacji lub zarządzania stacjonarnymi lub mobilnymi urządzeniami dostępowymi.
W wielu przypadkach bezpieczeństwo przedsiębiorstw zależy od bezpieczeństwa ich aplikacji internetowych, opracowanych przez podmioty zewnętrzne i podatnych na znane formy ataków (wstrzyknięcie kodu SQL, ataki XSS itp.), które mogą doprowadzić do wycieku cennych informacji przedsiębiorstwa, pociągając za sobą poważne konsekwencje ekonomiczne, a nawet skutki prawne. Również ataki DDoS w warstwie 7 mogą spowodować wyłączenie usługi dla klientów. Co więcej, regulacje PCI-DSS wymagają stosowania urządzeń zabezpieczających treści internetowe w celu maskowania danych wrażliwych.
Usługa E-WAFaaS (rozszerzona zapora aplikacji internetowej udostępniana w formie usługi) to bardzo interesująca propozycja biznesowa dla usługodawców MSP, umożliwiająca przygotowanie bardziej wartościowej oferty dla klientów, zdobycie ich lojalności i wygenerowanie dodatkowych przychodów.
Moduł F5 ASM (Application Security Manager) umożliwia szybkie i łatwe wdrożenie zapory WAF w sposób przezroczysty dla aplikacji i zapewnienie im w ten sposób ochrony przed atakami w warstwie aplikacji internetowych, takimi jak ataki z listy OWASP i ataki typu DDoS. Ponadto moduł ten oferuje funkcję monitorowania zgodności z regulacjami PCI-DSS.
Po początkowym okresie „uczenia się”, kiedy ASM rozpoznaje normalne wzorce działania aplikacji internetowej, aktywowana jest ochrona przez zaporę WAF. Jest to ochrona specyficzna dla każdego adresu URL; użytkownik może określić wartość progową, po przekroczeniu której jest aktywowana automatyczna ochrona.
Urządzenie to można skonfigurować do obsługi białych list albo czarnych list.
Inną opcją zapewnienia ochrony aplikacji jest skorzystanie z usługi SILVERLINE. Jest to usługa zarządzana, świadczona zdalnie przez całą dobę i 7 dni w tygodniu, obsługiwana przez specjalistów z F5.
Obecnie coraz częściej mamy do czynienia z outsourcingiem usług w formie oferty platform SaaS (Software as a Service), takich jak Office 365, SalesForce, Concur, Workday, aplikacje Google itd.
Integracja wszystkich tych usług wymaga stosowania kontroli dostępu oraz weryfikowania tożsamości użytkowników, którzy z nich korzystają. Pozwolenie użytkownikom na samodzielne zarządzanie dostępem oraz hasłem do usługi stworzy liczne problemy związane z bezpieczeństwem (wielokrotne używanie tych samych haseł, kwestie zarządzania zmianami, zróżnicowane zasady itp.).
Natomiast zsynchronizowanie usług katalogowych przedsiębiorstwa oznacza umożliwienie wszystkim usługodawcom wglądu w wewnętrzne dane uwierzytelniające, co nie jest opcją ani bezpieczną ani odpowiednio skalowalną.
Platforma BIG-IP Access Policy Manager (APM) umożliwia federacyjną obsługę identyfikatorów z wielu różnych serwisów. W świadczeniu usług wyróżnia się dwie role: systemu dostarczającego usługę (SP) oraz systemu przeprowadzającego identyfikację (IdP). Federacja tych dwóch środowisk umożliwia weryfikację tożsamości użytkowników bez potrzeby dostępu do ich danych uwierzytelniających.
Platforma BIG-IP AM może pełnić obie te role. Po pierwsze, może zapewniać kontrolę dostępu do usługi zewnętrznej (w przypadku usługodawcy MSP świadczącego usługę zarządzaną dla swoich klientów). Po drugie zaś może pełnić rolę lokalnego rozwiązanie IdP, tworząc zaawansowany system uwierzytelniania na potrzeby usług SaaS, niezależny od wybranej platformy tych usług. Dzięki temu można uniknąć ujawniania lokalnego katalogu kont usługodawcom MSP / SaaS, a jednocześnie oferować funkcję jednokrotnego logowania (SSO).
Usługodawcy MSP muszą mieć możliwość oferowania swoim klientom usług wnoszących wartość dodaną, zapewniając jednocześnie dostępność i skalowalność swoich rozwiązań oraz wdrożonej infrastruktury.
Procesy te powinny podlegać mechanizmom umożliwiającym redukcję kosztów, implementację i monitorowanie poziomów usług (SLA), dostosowywanie usługi na poziomie poszczególnych klientów oraz koordynację tej usługi z udostępnianiem i eksploatacją innych usług.
Platforma F5 BIG-IP umożliwia wdrażanie usług równoważenia obciążenia dostępnych na żądanie z inteligentną analizą warstwy 7, przeznaczonych do obsługi środowisk wielu klientów i dostępne w formie pojedynczej platformy.
Otwarte interfejsy API REST umożliwiają integrację usługi z ofertami innych producentów, ułatwiając jej naturalne wbudowywanie do środowisk SDN/SDDC opartych na takich technologiach, jak Cisco APIC, VMWare NSX lub OpenStack. Wdrażanie usług na podstawie szablonów iApp umożliwia przygotowanie katalogu aplikacji, który będzie ułatwiać świadczenie usług dla wielu różnych klientów, redukując zarówno koszty operacyjne, jak i ryzyko błędu ludzkiego.
Opcje licencjonowania tej oferty są bardzo wszechstronne. Oprócz modeli tradycyjnych dostępne są rozwiązania alternatywne, takie jak subskrypcja albo tworzenie puli licencji.
BIG-IQ dodatkowo rozszerza możliwości scentralizowanego zarządzania wieloma platformami F5.