Technická příloha | Login 3/2019

Bezpečnost aplikací a dat

Home ― Řešení ― Témata ― Bezpečnost aplikací a dat

Využijte bezpečnostní technologie v rámci K-net Cloud - netDispatcher

V Loginu v roce 2017 jsme psali o technikách ochrany vnitřní sítě a webových portálů. Představili jsme proto zařízení typu Next Generation Firewall, Web Application Firewall a podobně.
Tato zařízení jsou pro zajištění ochrany sítě velmi účinná, ale také velmi nákladná na pořízení a náročná na správu. Nemalé peníze stojí roční aktualizace SW a databází a velmi podobné peníze stojí také jejich fyzická správa a monitoring.
Tato zařízení zachytávají velkou řadu událostí a je vhodné tyto události monitorovat, vyhodnocovat a případně dle potřeby upravovat nastavení.
Efektivním řešením může být pronájem těchto služeb v rámci cloudu, kde je možné se o náklady dělit s více subjekty a velmi tak snížit celkové náklady.
V tomto čísle bychom se podívali na možná řešení v rámci služeb K-net Cloud.

Oblast IT bezpečnosti:

Bezpečnostní infrastruktura K-net Cloud

Jakým způsobem je postavená infrastruktura cloudového řešení?

K-net má v České republice 3 datová centra ve 3 lokalitách (Praha, Brno, Olešnice), která jsou vzájemně propojená L2 konektivitou od společnosti O2. Spojení L2 je vyhrazené a oddělené od internetu, čímž je bezpečnější, spolehlivější a rychlejší než běžné spojení přes internet. Připojení do internetu je ze dvou datových center (Praha a Brno). Díky tomu je možné při připojení do kteréhokoli z našich datových center využívat prostředků ostatních datových center K-net prakticky stejně, jako byste byli připojeni do každého z nich zvlášť. To je užitečné pro služby vyžadující vysokou dostupnost, kdy je možné např. využít rozšíření Global Load Balancing, které v případě výpadku internetové konektivity nebo serveru v jedné lokalitě umožní přístup ke službám přes druhou lokalitu. Přístup do internetu je chráněn enterprise-level bezpečnostními technologiemi Forcepoint Next Generation Firewall, Citrix ADC a Citrix WAF s možností dalších bezpečnostních rozšíření.

V rámci K-net Cloud je možné využít ve všech lokalitách pronájmu cloudových služeb, jako je pronájem virtuálních serverů (PaaS), pronájem aplikací (SaaS), služby zálohování či disaster recovery a podobně.

Tématem dnešního článku jsou však možnosti využití našich nových cloudových bezpečnostních služeb netDispatcher v případě, že máte svoji serverovou infrastrukturu ve své serverovně, ale chcete ji chránit pokročilými bezpečnostními technologiemi formou pronájmu z cloudu.

Jaké jsou možnosti připojení do K-net Cloud?

Pro využití bezpečnostních služeb netDispatcher v rámci K-net Cloud je nezbytné, aby klienti a síťové služby využívali přístup do internetu v rámci datových center K-net, které chrání bezpečnostní řešení.

Je tedy nutné místní infrastrukturu přesunout do cloudu nebo vlastní serverovnu propojit přímou konektivitou do některého cloudového centra K-net. Přístupových bodů, které je v tuto chvíli možné využít, je v České republice několik. Způsoby připojení jsou následující:

Vyhrazený optický kabel
Pronajatá L2 konektivita O2
MPLS síť od O2 nebo jiného poskytovatele
VPN

Nejlepším možným způsobem je samozřejmě pronajatý vyhrazený optický kabel do některého přípojného bodu v rámci K-net Cloud. To však není vždy technicky proveditelné a ve spoustě případů to ani nemusí být cenově dostupné. Druhou velmi dobrou variantou je pronájem L2 konektivity, která zajistí přímé propojení do některého datového centra K-net (většinou Praha nebo Brno). Cena se zde odvíjí už pouze od propustnosti linky, ale velkou výhodou je, že jde o spoj na druhé síťové vrstvě, linka tedy není zatížena další režií jako třeba u VPN. Třetí možností je začlenění některého přípojného bodu K-net Cloud do vlastní MPLS sítě od O2 či jiného poskytovatele a následná konfigurace internetové brány v rámci této sítě. Toto je varianta zajímavá v případě, že je na straně zákazníka rozsáhlejší síť lokalit (poboček), kde interní komunikaci zajišťuje i jiný operátor než O2. Poslední variantou, a také asi nejméně cenově náročnou, je konfigurace transparentní VPN z lokality zákazníka do datového centra K-net. Zde je však nutné počítat s režijními náklady v rámci propustnosti linky, kterou si vezme šifrování komunikace přes běžnou internetovou síť. Tato varianta je také o něco méně bezpečná, protože je komunikace sestavována přes internetovou linku a je vhodné mít dobrý router na straně lokality zákazníka (viz rozšíření služby netDispatcher NGFW). Tato varianta je tedy vhodná pouze v případech, kdy se neočekává velký datový provoz do internetu (případně mezi lokalitou zákazníka a datovým centrem K-net).

Služba netDispatcher NGFW

netDispatcher NGFW je služba, která nabízí ochranu vnitřní sítě pomocí Next Generation Firewallu. Tato služba je postavená na technologii Forcepoint (dříve Stonesoft). Jedná se o robustní systémový firewall, který nabízí flexibilní řešení pro ochranu sítě před útoky zvenčí pro podniky všech velikostí.

Díky své hloubkové analýze datového provozu dokáže odhalit i ty nejskrytější hrozby internetového světa, včetně pokročilých metod útoku (tzv. AET – Advanced Evasion Techniques), které jsou aktuálně velkou hrozbou. Řešení nabízí také filtrování webového provozu, ochrany e-mailové komunikace a ochrany před únikem citlivých informací. Útočníci stále více používají techniky pokročilého útoku (AET), které jsou schopny obcházet většinu dnešních bezpečnostních síťových zařízení. AET například dostane malware mezi síťovými vrstvami nebo protokoly pomocí technik, jako je maskování. Toto vše dokáže Next Generation Firewall zastavit. Systém obsahuje antivirový systém, nebo i webový filtr. Vše je postavené na pravidelně aktualizovaných databázích škodlivých kódů a škodlivých chování, které jsou neustále aktualizovány. NGFW tak dokáže rozpoznat potencionální hrozbu a tu automaticky zablokovat nebo informovat bezpečnostního správce o případném potencionálním problému. Velmi efektivně je tak možné odstínit i hackerský útok pocházející z konkrétní lokality.

Příkladem může být jednoduché zablokování přístupu k serveru přes RDP protokol mimo lokalitu České republiky. Aktuálně se totiž jedná o velmi rozšířenou hackerskou aktivitu, kdy se útočník snaží přes tzv. «slovníkový útok» získat přístup k serveru a z něj pak přístup do celé sítě, ať už za účelem získání citlivých údajů či napadení sítě například kryptovirem.

Službu je také možné rozšířit o pronájem vlastního fyzického firewallu, který může být nasazen do vlastního datového centra či na pobočku. Toto rozšíření umožní například vytvoření VPN konektivity do datového centra nebo i bezpečný přístup do internetu přes vlastní internetovou přípojku.

NetDispatcher NGFW se dá takto velmi efektivně využít i v rámci tzv. «hybridních řešeních», kdy má zákazník část infrastruktury u sebe ve vlastním datovém centru a část infrastruktury v datovém centru K-net. Přístup do internetu pak může být směrován primárně přes vlastní internetový spoj, ale v případě výpadku této konektivity je komunikace nasměrována přes datové centrum K-net. Tato funkcionalita však už v případě výpadku nevyřeší přesměrování datové komunikace z internetu na servery zákazníka. Zde už je nutné použít další nabízenou službu, a tou je netDispatcher ADC.

Služba netDispatcher NGFW v sobě obsahuje následující:

Přístup do internetu z datového centra K-NET dle pořízené datové propustnosti
Pronájem výkonu sdíleného NGFW firewallu v cloudu (případně pronájem vlastního NGFW firewall zařízení)
Pravidelně aktualizované databáze signatur, antimalware, případně web filtru
Monitoring a dohled nad systémem v režimu 24×7 včetně dostupnosti technika na telefonu
Pravidelný reporting a informace o potencionálních síťových hrozbách.

Schéma: služby netDispatcher na perimetru K-net Cloud (uvnitř kruhu) chránící vaše uživatele, aplikace a weby od vnějších nástrah.

Služba netDispatcher ADC

Služba netDispatcher ADC (Application Delivery Controller) je velmi zajímavé řešení pro zvýšení dostupnosti, rychlosti a bezpečnosti vlastních či hybridních cloudových řešení. Služba je postavená na systému Citrix ADC a případně Citrix Gateway.

Velmi důležitou funkcionalitou celého řešení je možnost zajištění tzv. «Global Load Balancing» mezi různými datovými centry při přístupu z internetu. Tato funkcionalita zajistí, že v případě výpadku jednoho datového centra či jeho konektivity je provoz automaticky a bezvýpadkově přesměrován na druhé datové centrum. Systém umožňuje i například balancování výkonu některých služeb (například webových serverů), a tím zvyšuje i výkon a odezvu z pohledu uživatele.
ADC dále nabízí optimalizaci komunikačních protokolů pro rychlou odezvu aplikací, jako jsou HTTP/2 a TCP multiplexing, statický a dynamický web content caching, optimalizaci obrázků pro koncová zařízení, akceleraci protokolů TCP a HTTP a TCP optimalizaci pro mobilní sítě.
Umožňuje také velmi bezpečně řešit přístup ke špatně zabezpečeným aplikacím díky převzetí autorizace uživatele přes protokol HTTPS.

Příkladem může být protokol RDP, který tato služba dokáže zabezpečit přes protokol HTTPS. Funguje to tak, že uživatel se přihlásí přes webovou zabezpečenou stránku, systém provede autorizaci s interními autorizačními servery Active Directory a následně je komunikace propuštěna přes protokol RDP. Takto se dá efektivně odstranit problém s hackerskými útoky na otevřený RDP port. Pro další zvýšení zabezpečení je možné doplnit druhý faktor ověření (SMS kód, token v aplikaci, uživatelský certifikát).

Systém je možné rozšířit také o bezpečnostní ochranu webových portálů netDispatcher WAF (Web Application Firewall). Ten umožňuje ochránit interní aplikace před DDoS útoky, nastavit funkcionality jako TLS/SSL, content inspection, a rate limiting.
Služba dále umožňuje rozšířit funkčnost i o SSL VPN pro uživatele z internetu. Jedná se o velmi bezpečný a jednoduchý přístup uživatelů z internetu k interním aplikacím a datům společnosti.

Služba netDispatcher ADC v sobě obsahuje následující:

Přístup z internetu do datového centra K-net (či infrastruktury zákazníka) dle pořízené datové propustnosti
Pronájem výkonu Citrix ADC
Zajištění Global Load Balancing v rámci internetových přípojek K-net Cloud (případně s internetovou konektivitou na straně zákazníka)
Možnost rozšíření funkcionality o SSL VPN pro uživatele přistupující z internetu
Monitoring funkcionality v režimu 24×7 včetně dostupnosti technika na telefonu
Pravidelný reporting a informace o potencionálních kritických událostech.

Služba netDispatcher WAF

Služba netDispatcher WAF (Web App Firewall) je specializované řešení ochrany webových portálů a aplikací. Je postavená na aplikačním firewallu Citrix WAF. Citrix Web App Firewall je jeden z nejlepších WAF firewallů, který chrání webové aplikace a webové stránky před známými i neznámými útoky, včetně celé aplikační vrstvy a «zero-day» hrozeb.

Hlavní vlastnosti Citrix WAF jsou:

Hybridní bezpečnostní model zabezpečuje ochranu proti novým nepublikovaným hrozbám. Tzv. „positive-model policy engine“ kontroluje přípustné interakce mezi uživateli a aplikacemi a automaticky blokuje veškerou komunikaci mimo tuto oblast. Jako doplněk je používán tzv. «negative model engine», který využívá databázi známých útoků a tím chrání weby proti známým aplikačním hrozbám.
Ochrana XML blokuje nejen běžné hrozby, které mohou být přizpůsobeny pro útoky na aplikace založené na XML (např. cross-site scripting, command injection), ale také zahrnuje bohatou sadu specifických ochran pro XML, včetně komplexní validace schémat a schopnosti zabránit DoS útokům.
Systém zajišťuje vícenásobnou ochranu dynamických prvků v rámci webových aplikací, jako jsou soubory cookie, pole formuláře a URL adresy, a tím potlačuje útoky, které jsou zaměřeny na vztah důvěryhodnosti mezi klientem a serverem (např. tzv. cross-site request forgery).
Vyspělý automaticky se učící systém určuje očekávané chování podnikových webových aplikací a generuje doporučení pro politiky, které jsou čitelné pro lidi. Administrátoři pak mohou přizpůsobit bezpečnostní pravidla jedinečným požadavkům každé aplikace, aby se zabránilo detekování «false-positive» událostí.
Citrix WAF umožňuje podnikům splnit požadavky na zabezpečení dat, jako je PCI DSS, který výslovně podporuje použití WAF pro aplikace orientované na veřejnost, které zpracovávají informace o kreditních kartách. Lze také generovat podrobné reporty, aby dokumentovaly všechny ochrany definované v zásadách firewallu, které se vztahují k mandátům PCI.
Nejvýkonnější řešení zabezpečení webových aplikací na trhu poskytuje až 12 Gbps komplexní ochrany bez degradace doby odezvy aplikace.

Služba netDispatcher WAF je efektivní bezpečnostní webová brána, snadno použitelná a vysoce výkonná pro zabezpečení webu. Brána je použitelná pro webové portály běžící v rámci K-net Cloud nebo v infrastruktuře zákazníka. Systém umožňuje také sledovat a analyzovat chování uživatelů.
Zákazník tak v rámci služby dostává pravidelný report o bezpečnostních rizicích nejen ze strany případného napadení z internetu, ale také ze strany uživatelů.
NetDispatcher WAF je čistá webová proxy, tedy velkou výhodou je, že uživatel nekončí až na webovém serveru, ale už na tomto bezpečnostním zařízení.
V případě nějakého bezpečnostního incidentu se tak problém nedostane do vnitřní sítě, ale skončí někde v DMZ. Umí také řešit některé standardní bezpečnostní chyby v rámci webových aplikací.

Dobrým příkladem využití služby WAF je zabezpečení webů na populárních, avšak zranitelných a hackery oblíbených webových platformách WordPress nebo Joomla. Systém dokáže například zablokovat pokus o změnu ceny v rámci objednávky na e-shopu, což je rozdíl oproti firewallu na 7. síťové vrstvě (jako je například i netDispatcher NGFW).

Služba netDispatcher WAF v sobě obsahuje následující:

Přístup z internetu k webovým portálům dle pořízené datové propustnosti
Pronájem výkonu Citrix WAF
Ochrana webových portálu před útoky zvenčí
Monitoring a dohled nad systémem v režimu 24×7 včetně dostupnosti technika na telefonu
Pravidelný reporting a informace o potencionálních síťových hrozbách.

Máte zájem zvýšit bezpečnost vašeho IT bez velkých investic?

Kontaktujte nás pro nezávaznou konzultaci.

Petr Nepustil

Vystudoval VUT v Brně obor Sdělovací technika. Ve firmě K-net je už více než 20 let, začal s ní spolupracovat už na vysoké škole. Závěr studií na vysoké škole strávil na univerzitě v Paříži, kde psal půl roku diplomovou práci na téma kódování řečových signálů. V K-net si prošel pozicemi IT Specialista, vedoucí oddělení, vedoucí divize produkce a kvality. Aktuálně se zaměřuje hlavně na obchod a vedení divize produkce. Baví ho pomáhat našim zákazníkům s návrhem a budováním jejich IT infrastruktury.

Cookie	Délka	Popis
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
NSC_ESNS	past	This cookie is set by the provider Netscaler load balancing service from Citrix. This cookie is used for ensuring traffic and user data is routed to the correct location where a site is hosted on multiple servers, inorder to get a consistent experience for the end user.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Délka	Popis
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
ss	session	This cookie is set by the provider Eventbrite. This cookie is used for the functionality of website chat-box function.
TawkConnectionTime	session	Tawk.to, a live chat functionality, sets this cookie. For improved service, this cookie helps remember users so that previous chats can be linked together.

Cookie	Délka	Popis
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-26032567-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
leady_session_id	session	No description available.

Cookie	Délka	Popis
c	16 years 25 days 13 hours 24 minutes	This cookie is set by Rubicon Project to control synchronization of user identification and exchange of user data between various ad services.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Technická příloha | Login 3/2019

Bezpečnost aplikací a dat

Využijte bezpečnostní technologie v rámci K-net Cloud - netDispatcher

Oblast IT bezpečnosti:

Bezpečnostní infrastruktura K-net Cloud

Jaké jsou možnosti připojení do K-net Cloud?

Služba netDispatcher NGFW

Služba netDispatcher ADC

Služba netDispatcher WAF

Máte zájem zvýšit bezpečnost vašeho IT bez velkých investic?

Petr Nepustil

Více služeb

Doporučená řešení

netDispatcher

Objevujte

Více o nás

Novinky

Potkejme se!

Milujete tipy?

Rychlý kontakt

Technická příloha | Login 3/2019

Bezpečnost aplikací a dat

Využijte bezpečnostní technologie v rámci K-net Cloud - netDispatcher

Oblast IT bezpečnosti:

Bezpečnostní infrastruktura K-net Cloud

Jaké jsou možnosti připojení do K-net Cloud?

Služba netDispatcher NGFW

Služba netDispatcher ADC

Služba netDispatcher WAF

Máte zájem zvýšit bezpečnost vašeho IT bez velkých investic?

Petr Nepustil

Více služeb

Doporučená řešení

netDispatcher

Obje­vujte

Více o nás

Novinky

Potkejme se!

Milujete tipy?

Rychlý kontakt

Informace o cookies

Objevujte