Technická příloha | Login 3/2019

Bezpečnost aplikací a dat

Home ― Řešení ― Témata ― Bezpečnost aplikací a dat

Využijte bezpečnostní technologie v rámci K-net Cloud - netDispatcher

V Loginu v roce 2017 jsme psali o technikách ochrany vnitřní sítě a webových portálů. Představili jsme proto zařízení typu Next Generation FirewallKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… More, Web Application FirewallFirewall, který se zaměřuje na web (http). More a podobně.
Tato zařízení jsou pro zajištění ochrany sítě velmi účinná, ale také velmi nákladná na pořízení a náročná na správu. Nemalé peníze stojí roční aktualizace SW a databází a velmi podobné peníze stojí také jejich fyzická správa a monitoring.
Tato zařízení zachytávají velkou řadu událostí a je vhodné tyto události monitorovat, vyhodnocovat a případně dle potřeby upravovat nastavení.
Efektivním řešením může být pronájem těchto služeb v rámci clouduJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… More, kde je možné se o náklady dělit s více subjekty a velmi tak snížit celkové náklady.
V tomto čísle bychom se podívali na možná řešení v rámci služeb K-net CloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… More.

Oblast IT bezpečnosti:

Bezpečnostní infrastruktura K-net Cloud

Jakým způsobem je postavená infrastruktura cloudového řešení?

K-net má v České republice 3 datová centra ve 3 lokalitách (Praha, Brno, Olešnice), která jsou vzájemně propojená L2 konektivitou od společnosti O2. Spojení L2 je vyhrazené a oddělené od internetu, čímž je bezpečnější, spolehlivější a rychlejší než běžné spojení přes internet. Připojení do internetu je ze dvou datových center (Praha a Brno). Díky tomu je možné při připojení do kteréhokoli z našich datových center využívat prostředků ostatních datových center K-net prakticky stejně, jako byste byli připojeni do každého z nich zvlášť. To je užitečné pro služby vyžadující vysokou dostupnost, kdy je možné např. využít rozšíření Global Load BalancingObecně platí, že vyrovnávač pošle požadavek klienta na server, který je blíže klientovi, snižuje tím latenci a zvyšuje výkon. V případě výpadku internetové konektivity nebo… More, které v případě výpadku internetové konektivity nebo serveru v jedné lokalitě umožní přístup ke službám přes druhou lokalitu. Přístup do internetu je chráněn enterprise-levelSoftwary a služby se liší svými vlastnostmi. Dle jejich parametrů rozlišujeme úrovně vlastností, např. Standard, Advanced a Enterpise. Kdy Enterprise bývá většinou nejvyšší úrovní s… More bezpečnostními technologiemi Forcepoint Next Generation FirewallKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… More, Citrix ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… More a Citrix WAFFirewall, který se zaměřuje na web (http). More s možností dalších bezpečnostních rozšíření.

V rámci K-net CloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… More je možné využít ve všech lokalitách pronájmu cloudových služebJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… More, jako je pronájem virtuálních serverů (PaaSVirtuální server PaaS je úplné prostředí pro vývoj a/nebo nasazení a provozování aplikací v cloudu. Jedná se tedy o pronájem zařízení (serverů) vč. software nutného… More), pronájem aplikací (SaaSV modelu SaaS – software jako služba uživatel software nekupuje. Neplatí za jednorázovou licenci, která by ho opravňovala využívat software navždy, naopak si software pronajme… More), služby zálohování či disaster recoveryObnova provozu – Plán nebo služba pro zajištění obnovy IT služeb po živelných či jiných pohromách (například napadení kryptovirem). Příkladem takové služby je služba K-net… More a podobně.

Tématem dnešního článku jsou však možnosti využití našich nových cloudových bezpečnostních služeb netDispatcher v případě, že máte svoji serverovou infrastrukturu ve své serverovně, ale chcete ji chránit pokročilými bezpečnostními technologiemi formou pronájmu z clouduJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… More.

Jaké jsou možnosti připojení do K-net Cloud?

Pro využití bezpečnostních služeb netDispatcher v rámci K-net CloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… More je nezbytné, aby klienti a síťové služby využívali přístup do internetu v rámci datových center K-net, které chrání bezpečnostní řešení.

Je tedy nutné místní infrastrukturu přesunout do clouduJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… More nebo vlastní serverovnu propojit přímou konektivitou do některého cloudového centra K-net. Přístupových bodů, které je v tuto chvíli možné využít, je v České republice několik. Způsoby připojení jsou následující:

Vyhrazený optický kabel
Pronajatá L2 konektivitaPřipojení L2 (layer 2, tedy po tzv. 2. síťové vrstvě) je propojení mezi 2 body v rámci stejné sítě. Počítače a servery v rámci interní… More O2
MPLSJedná se o způsob propojení počítačů v síti, obvykle používaný pro propojení poboček s centrálou z důvodu vyšší spolehlivosti a výkonnosti přenosu dat, než v… More síť od O2 nebo jiného poskytovatele
VPNPřístup přes virtuální privátní síť se uplatní např. pokud existují dvě lokální sítě na dvou místech (třeba Praha/Brno). Pak je možné využít tuto technologii a… More

Nejlepším možným způsobem je samozřejmě pronajatý vyhrazený optický kabel do některého přípojného bodu v rámci K-net CloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… More. To však není vždy technicky proveditelné a ve spoustě případů to ani nemusí být cenově dostupné. Druhou velmi dobrou variantou je pronájem L2 konektivity, která zajistí přímé propojení do některého datového centraje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… More K-net (většinou Praha nebo Brno). Cena se zde odvíjí už pouze od propustnosti linky, ale velkou výhodou je, že jde o spoj na druhé síťové vrstvě, linka tedy není zatížena další režií jako třeba u VPNPřístup přes virtuální privátní síť se uplatní např. pokud existují dvě lokální sítě na dvou místech (třeba Praha/Brno). Pak je možné využít tuto technologii a… More. Třetí možností je začlenění některého přípojného bodu K-net CloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… More do vlastní MPLSJedná se o způsob propojení počítačů v síti, obvykle používaný pro propojení poboček s centrálou z důvodu vyšší spolehlivosti a výkonnosti přenosu dat, než v… More sítě od O2 či jiného poskytovatele a následná konfigurace internetové brány v rámci této sítě. Toto je varianta zajímavá v případě, že je na straně zákazníka rozsáhlejší síť lokalit (poboček), kde interní komunikaci zajišťuje i jiný operátor než O2. Poslední variantou, a také asi nejméně cenově náročnou, je konfigurace transparentní VPNPřístup přes virtuální privátní síť se uplatní např. pokud existují dvě lokální sítě na dvou místech (třeba Praha/Brno). Pak je možné využít tuto technologii a… More z lokality zákazníka do datového centraje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… More K-net. Zde je však nutné počítat s režijními náklady v rámci propustnosti linky, kterou si vezme šifrování komunikace přes běžnou internetovou síť. Tato varianta je také o něco méně bezpečná, protože je komunikace sestavována přes internetovou linku a je vhodné mít dobrý routerRouter je v počítačových sítích aktivní síťové zařízení, které procesem zvaným routování přeposílá datagramy směrem k jejich cíli…. More na straně lokality zákazníka (viz rozšíření služby netDispatcher NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… More). Tato varianta je tedy vhodná pouze v případech, kdy se neočekává velký datový provoz do internetu (případně mezi lokalitou zákazníka a datovým centrem K-net).

Služba netDispatcher NGFW

netDispatcher NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… More je služba, která nabízí ochranu vnitřní sítě pomocí Next Generation FirewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. More. Tato služba je postavená na technologii Forcepoint (dříve Stonesoft). Jedná se o robustní systémový firewallSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. More, který nabízí flexibilní řešení pro ochranu sítě před útoky zvenčí pro podniky všech velikostí.

Díky své hloubkové analýze datového provozu dokáže odhalit i ty nejskrytější hrozby internetového světa, včetně pokročilých metod útoku (tzv. AETÚtok na zařízení, který kombinuje více druhů útoků (třeba slovníkové prolamování hesla a vytížení sítě). More – Advanced Evasion TechniquesÚtok na zařízení, který kombinuje více druhů útoků (třeba slovníkové prolamování hesla a vytížení sítě). More), které jsou aktuálně velkou hrozbou. Řešení nabízí také filtrování webového provozu, ochrany e-mailové komunikace a ochrany před únikem citlivých informací. Útočníci stále více používají techniky pokročilého útoku (AETÚtok na zařízení, který kombinuje více druhů útoků (třeba slovníkové prolamování hesla a vytížení sítě). More), které jsou schopny obcházet většinu dnešních bezpečnostních síťových zařízení. AETÚtok na zařízení, který kombinuje více druhů útoků (třeba slovníkové prolamování hesla a vytížení sítě). More například dostane malwareObecný název pro škodlivý software. Jedná se o program určený k poškození nebo vniknutí do počítačového systému. Výraz malware vznikl složením anglických slov „malicious“ (zlovolný,… More mezi síťovými vrstvami nebo protokoly pomocí technik, jako je maskování. Toto vše dokáže Next Generation FirewallKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… More zastavit. Systém obsahuje antivirový systém, nebo i webový filtrJe softwarové, nebo i hardwarové řešení, které pomocí své neustále aktualizované databáze webových stránek dokáže určit, o jaký typ webu se jedná. Zařadí ho do… More. Vše je postavené na pravidelně aktualizovaných databázích škodlivých kódů a škodlivých chování, které jsou neustále aktualizovány. NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… More tak dokáže rozpoznat potencionální hrozbu a tu automaticky zablokovat nebo informovat bezpečnostního správce o případném potencionálním problému. Velmi efektivně je tak možné odstínit i hackerský útokHacker je programátor s velmi dobrými znalostmi stavby operačních systémů, konstrukci počítačových systémů a sítí. Zdokonaluje systémy a hledá chyby k opravě. Tzv. zákeřný hacker využívá své… More pocházející z konkrétní lokality.

Příkladem může být jednoduché zablokování přístupu k serveru přes RDPVzdálená plocha, nebo taky program, kterým se lze vzdáleně připojit na počítač. More protokol mimo lokalitu České republiky. Aktuálně se totiž jedná o velmi rozšířenou hackerskou aktivitu, kdy se útočník snaží přes tzv. «slovníkový útok» získat přístup k serveru a z něj pak přístup do celé sítě, ať už za účelem získání citlivých údajů či napadení sítě například kryptoviremDruh ransomware (vyděračský software) je druh škodlivého programu, který šifruje data v něm zapsaná, a pak požaduje od oběti výkupné za obnovení přístupu. Více na… More.

Službu je také možné rozšířit o pronájem vlastního fyzického firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. More, který může být nasazen do vlastního datového centraje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… More či na pobočku. Toto rozšíření umožní například vytvoření VPNPřístup přes virtuální privátní síť se uplatní např. pokud existují dvě lokální sítě na dvou místech (třeba Praha/Brno). Pak je možné využít tuto technologii a… More konektivity do datového centraje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… More nebo i bezpečný přístup do internetu přes vlastní internetovou přípojku.

NetDispatcher NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… More se dá takto velmi efektivně využít i v rámci tzv. «hybridních řešeních», kdy má zákazník část infrastruktury u sebe ve vlastním datovém centru a část infrastruktury v datovém centru K-net. Přístup do internetu pak může být směrován primárně přes vlastní internetový spoj, ale v případě výpadku této konektivity je komunikace nasměrována přes datové centrumje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… More K-net. Tato funkcionalita však už v případě výpadku nevyřeší přesměrování datové komunikace z internetu na servery zákazníka. Zde už je nutné použít další nabízenou službu, a tou je netDispatcher ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… More.

Služba netDispatcher NGFW v sobě obsahuje následující:

Přístup do internetu z datového centraje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… More K-NET dle pořízené datové propustnosti
Pronájem výkonu sdíleného NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… More firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. More v clouduJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… More (případně pronájem vlastního NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… More firewallSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. More zařízení)
Pravidelně aktualizované databáze signatur, antimalwareje software zabraňující průchodu malware do počítače (Malware – škodlivý software, který způsobuje škody v počítačových datech)…. More, případně web filtru
Monitoring a dohled nad systémem v režimu 24×7 včetně dostupnosti technika na telefonu
Pravidelný reporting a informace o potencionálních síťových hrozbách.

Schéma: služby netDispatcher na perimetru K-net CloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… More (uvnitř kruhu) chránící vaše uživatele, aplikace a weby od vnějších nástrah.

Služba netDispatcher ADC

Služba netDispatcher ADC (Application Delivery Controller)Služba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… More je velmi zajímavé řešení pro zvýšení dostupnosti, rychlosti a bezpečnosti vlastních či hybridních cloudových řešení. Služba je postavená na systému Citrix ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… More a případně Citrix Gateway.

Velmi důležitou funkcionalitou celého řešení je možnost zajištění tzv. «Global Load Balancing» mezi různými datovými centry při přístupu z internetu. Tato funkcionalita zajistí, že v případě výpadku jednoho datového centraje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… More či jeho konektivity je provoz automaticky a bezvýpadkově přesměrován na druhé datové centrumje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… More. Systém umožňuje i například balancování výkonu některých služeb (například webových serverů), a tím zvyšuje i výkon a odezvu z pohledu uživatele.
ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… More dále nabízí optimalizaci komunikačních protokolů pro rychlou odezvu aplikací, jako jsou HTTP/2HTTP/2 je druhá verze (nástupce) protokolu HTTP. Protokol HTTP je hlavním protokolem webu, je používán pro přenos webových stránek mezi webovým serverem a klientem (webovým… More a TCP multiplexingTCP multiplexing je sloučení několika samostatných přenosů do jedné společné přenosové cesty. Tuto funkcionalitu umí nabídnout služba K-net netDispatcher ADC nebo zařízení Citrix ADC…. More, statický a dynamický web content cachingOptimalizace výkonu webu využitím mezipaměti. Obsah webových stránek je uložen do mezipaměti a je uložen na různých serverech. Když uživatel klikne na odkaz webové stránky,… More, optimalizaci obrázků pro koncová zařízení, akceleraci protokolů TCPTCP je nejpoužívanějším protokolem transportní vrstvy v sadě protokolů TCP/IP používaných v síti Internet. Použitím TCP mohou aplikace na počítačích propojených do sítě vytvořit mezi… More a HTTPHTTP (Hypertext Transfer Protocol) je internetový protokol určený pro komunikaci s WWW servery. Slouží pro přenos hypertextových dokumentů ve formátu HTML, XML, i jiných typů… More a TCPTCP je nejpoužívanějším protokolem transportní vrstvy v sadě protokolů TCP/IP používaných v síti Internet. Použitím TCP mohou aplikace na počítačích propojených do sítě vytvořit mezi… More optimalizaci pro mobilní sítě.
Umožňuje také velmi bezpečně řešit přístup ke špatně zabezpečeným aplikacím díky převzetí autorizaceje určení oprávnění uživatele v daném kontextu. Autentizace nám řekne, kdo je uživatelem a autorizace pomocí tzv. ACL pak souborovému systému řekne, co uživatel může… More uživatele přes protokol HTTPSProtokol pro bezpečný, šifrovaný provoz na webu. More.

Příkladem může být protokol RDPVzdálená plocha, nebo taky program, kterým se lze vzdáleně připojit na počítač. More, který tato služba dokáže zabezpečit přes protokol HTTPSProtokol pro bezpečný, šifrovaný provoz na webu. More. Funguje to tak, že uživatel se přihlásí přes webovou zabezpečenou stránku, systém provede autorizaci s interními autorizačními servery Active DirectoryActive Directory je v informatice název adresářových služeb LDAP implementované firmou Microsoft pro řadu systémů Windows. Databáze Active Directory je uložená na řadiči domény, který… More a následně je komunikace propuštěna přes protokol RDPVzdálená plocha, nebo taky program, kterým se lze vzdáleně připojit na počítač. More. Takto se dá efektivně odstranit problém s hackerskými útoky na otevřený RDPVzdálená plocha, nebo taky program, kterým se lze vzdáleně připojit na počítač. More port. Pro další zvýšení zabezpečení je možné doplnit druhý faktor ověření (SMS kód, token v aplikaci, uživatelský certifikát).

Systém je možné rozšířit také o bezpečnostní ochranu webových portálů netDispatcher WAF (Web Application Firewall)Firewall, který se zaměřuje na web (http). More. Ten umožňuje ochránit interní aplikace před DDoSJedná se o stejný útok jako DoS, jen útočník využívá více zařízení najednou. More útoky, nastavit funkcionality jako TLSProtokol Transport Layer Security a jeho předchůdce Secure Sockets Layer (SSL) jsou kryptografické protokoly, poskytující možnost zabezpečené komunikace na internetu pro služby jako web, elektronická… More/SSL, content inspectionKontrola obsahu je technika, která se často používá v řešeních prevence ztráty dat v síti. Kontrola obsahu zahrnuje prozkoumání údajů za účelem zjištění pravidelných výrazů… More, a rate limitingPoužívá se k řízení množství příchozích a odchozích dat v síťovém provozu. Důvodem implementace omezení rychlosti je umožnit lepší tok dat a zvýšit bezpečnost zmírněním… More.
Služba dále umožňuje rozšířit funkčnost i o SSLProtokol, který poskytuje zabezpečení komunikace šifrováním a autentizaci komunikujících stran. Vkládá se mezi vrstvu transportní (např. TCP/IP) a aplikační (např. HTTP). Nejčastěji se využívá pro… More VPNPřístup přes virtuální privátní síť se uplatní např. pokud existují dvě lokální sítě na dvou místech (třeba Praha/Brno). Pak je možné využít tuto technologii a… More pro uživatele z internetu. Jedná se o velmi bezpečný a jednoduchý přístup uživatelů z internetu k interním aplikacím a datům společnosti.

Služba netDispatcher ADC v sobě obsahuje následující:

Přístup z internetu do datového centraje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… More K-net (či infrastruktury zákazníka) dle pořízené datové propustnosti
Pronájem výkonu Citrix ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… More
Zajištění Global Load BalancingObecně platí, že vyrovnávač pošle požadavek klienta na server, který je blíže klientovi, snižuje tím latenci a zvyšuje výkon. V případě výpadku internetové konektivity nebo… More v rámci internetových přípojek K-net CloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… More (případně s internetovou konektivitou na straně zákazníka)
Možnost rozšíření funkcionality o SSLProtokol, který poskytuje zabezpečení komunikace šifrováním a autentizaci komunikujících stran. Vkládá se mezi vrstvu transportní (např. TCP/IP) a aplikační (např. HTTP). Nejčastěji se využívá pro… More VPNPřístup přes virtuální privátní síť se uplatní např. pokud existují dvě lokální sítě na dvou místech (třeba Praha/Brno). Pak je možné využít tuto technologii a… More pro uživatele přistupující z internetu
Monitoring funkcionality v režimu 24×7 včetně dostupnosti technika na telefonu
Pravidelný reporting a informace o potencionálních kritických událostech.

Služba netDispatcher WAF

Služba netDispatcher WAFFirewall, který se zaměřuje na web (http). More (Web App FirewallSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. More) je specializované řešení ochrany webových portálů a aplikací. Je postavená na aplikačním firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. More Citrix WAFFirewall, který se zaměřuje na web (http). More. Citrix Web App FirewallSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. More je jeden z nejlepších WAFFirewall, který se zaměřuje na web (http). More firewallů, který chrání webové aplikace a webové stránky před známými i neznámými útoky, včetně celé aplikační vrstvy a «zero-day» hrozeb.

Hlavní vlastnosti Citrix WAFFirewall, který se zaměřuje na web (http). More jsou:

Hybridní bezpečnostní model zabezpečuje ochranu proti novým nepublikovaným hrozbám. Tzv. „positive-model policy engineNástroj firewallu NetScaler AppFirewall, který zná přípustné formy komunikace mezi uživateli a aplikací a automaticky blokuje veškerý provoz nespadající do této oblasti. Opačným nástrojem je… More“ kontroluje přípustné interakce mezi uživateli a aplikacemi a automaticky blokuje veškerou komunikaci mimo tuto oblast. Jako doplněk je používán tzv. «negative model engine», který využívá databázi známých útoků a tím chrání weby proti známým aplikačním hrozbám.
Ochrana XMLOchrana skryptů, které jsou v rámci webu. More blokuje nejen běžné hrozby, které mohou být přizpůsobeny pro útoky na aplikace založené na XMLXML je rozšiřitelný značkovací jazyk. XML je formát dokumentů, který nám předepisuje, jak zapsat data společně s jejich významem. Díky tomu, že XML je jednoduchý… More (např. cross-site scriptingNapadení stránky pomocí chyby, která je v kódu stránky. Např. wordpress vytváří stránky v určité struktuře a díky chybě, kterou se povede odhalit útočníkovi, se… More, command injectionÚtočník může zadat operačnímu systému jakýkoli příkaz pomocí aplikace, která je nainstalována v operačním systému oběti. Tato aplikace nemusí být jen prostý škodlivý kód, ale… More), ale také zahrnuje bohatou sadu specifických ochran pro XMLXML je rozšiřitelný značkovací jazyk. XML je formát dokumentů, který nám předepisuje, jak zapsat data společně s jejich významem. Díky tomu, že XML je jednoduchý… More, včetně komplexní validace schémat a schopnosti zabránit DoSV podstatě se jedná o útok, kdy dojde k přesměrování veškerého možného síťového provozu přes počítač (zařízení), na který se útočí. Tím se jednak zahltí… More útokům.
Systém zajišťuje vícenásobnou ochranu dynamických prvků v rámci webových aplikací, jako jsou soubory cookie, pole formuláře a URL adresy, a tím potlačuje útoky, které jsou zaměřeny na vztah důvěryhodnosti mezi klientem a serverem (např. tzv. cross-site request forgeryMetoda útoku do internetových aplikací (typicky implementovaných skriptovacími jazyky nebo CGI) pracující na bázi nezamýšleného požadavku pro vykonání určité akce v této aplikaci, který ovšem… More).
Vyspělý automaticky se učící systém určuje očekávané chování podnikových webových aplikací a generuje doporučení pro politiky, které jsou čitelné pro lidi. Administrátoři pak mohou přizpůsobit bezpečnostní pravidla jedinečným požadavkům každé aplikace, aby se zabránilo detekování «false-positive» událostí.
Citrix WAFFirewall, který se zaměřuje na web (http). More umožňuje podnikům splnit požadavky na zabezpečení dat, jako je PCI DSSSoubor mezinárodních bezpečnostních standardů (norem), jejichž cílem je zamezit únikům citlivých dat o držitelích platebních karet. Ve své podstatě se jedná o 12 požadavků, které… More, který výslovně podporuje použití WAFFirewall, který se zaměřuje na web (http). More pro aplikace orientované na veřejnost, které zpracovávají informace o kreditních kartách. Lze také generovat podrobné reporty, aby dokumentovaly všechny ochrany definované v zásadách firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. More, které se vztahují k mandátům PCI.
Nejvýkonnější řešení zabezpečení webových aplikací na trhu poskytuje až 12 GbpsJednotka rychlosti síťového provozu. Značí počet přenesených gigabitů za 1 sekundu. Platí čím vyšší, tím lepší. More komplexní ochrany bez degradace doby odezvy aplikace.

Služba netDispatcher WAFFirewall, který se zaměřuje na web (http). More je efektivní bezpečnostní webová brána, snadno použitelná a vysoce výkonná pro zabezpečení webu. Brána je použitelná pro webové portály běžící v rámci K-net CloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… More nebo v infrastruktuře zákazníka. Systém umožňuje také sledovat a analyzovat chování uživatelů.
Zákazník tak v rámci služby dostává pravidelný report o bezpečnostních rizicích nejen ze strany případného napadení z internetu, ale také ze strany uživatelů.
NetDispatcher WAFFirewall, který se zaměřuje na web (http). More je čistá webová proxyBrána, přes kterou se vstupuje do internetu. Ta může být v jiné lokalitě, čili může se zdát, že se z hlediska internetu nacházíte třeba v… More, tedy velkou výhodou je, že uživatel nekončí až na webovém serveru, ale už na tomto bezpečnostním zařízení.
V případě nějakého bezpečnostního incidentu se tak problém nedostane do vnitřní sítě, ale skončí někde v DMZDMZ je v počítačové bezpečnosti fyzická nebo logická podsíť, která je z bezpečnostních důvodů oddělena od ostatních zařízení. Jsou v ní umístěny služby, které jsou… More. Umí také řešit některé standardní bezpečnostní chyby v rámci webových aplikací.

Dobrým příkladem využití služby WAFFirewall, který se zaměřuje na web (http). More je zabezpečení webů na populárních, avšak zranitelných a hackery oblíbených webových platformách WordPress nebo Joomla. Systém dokáže například zablokovat pokus o změnu ceny v rámci objednávky na e-shopu, což je rozdíl oproti firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. More na 7. síťové vrstvě (jako je například i netDispatcher NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… More).

Služba netDispatcher WAF v sobě obsahuje následující:

Přístup z internetu k webovým portálům dle pořízené datové propustnosti
Pronájem výkonu Citrix WAFFirewall, který se zaměřuje na web (http). More
Ochrana webových portálu před útoky zvenčí
Monitoring a dohled nad systémem v režimu 24×7 včetně dostupnosti technika na telefonu
Pravidelný reporting a informace o potencionálních síťových hrozbách.

Máte zájem zvýšit bezpečnost vašeho IT bez velkých investic?

Kontaktujte nás pro nezávaznou konzultaci.

Petr Nepustil

Vystudoval VUT v Brně obor Sdělovací technika. Ve firmě K-net je už více než 20 let, začal s ní spolupracovat už na vysoké škole. Závěr studií na vysoké škole strávil na univerzitě v Paříži, kde psal půl roku diplomovou práci na téma kódování řečových signálů. V K-net si prošel pozicemi IT Specialista, vedoucí oddělení, vedoucí divize produkce a kvality. Aktuálně se zaměřuje hlavně na obchod a vedení divize produkce. Baví ho pomáhat našim zákazníkům s návrhem a budováním jejich IT infrastruktury.

Cookie	Délka	Popis
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
NSC_ESNS	past	This cookie is set by the provider Netscaler load balancing service from Citrix. This cookie is used for ensuring traffic and user data is routed to the correct location where a site is hosted on multiple servers, inorder to get a consistent experience for the end user.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Délka	Popis
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
ss	session	This cookie is set by the provider Eventbrite. This cookie is used for the functionality of website chat-box function.
TawkConnectionTime	session	Tawk.to, a live chat functionality, sets this cookie. For improved service, this cookie helps remember users so that previous chats can be linked together.

Cookie	Délka	Popis
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-26032567-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
leady_session_id	session	No description available.

Cookie	Délka	Popis
c	16 years 25 days 13 hours 24 minutes	This cookie is set by Rubicon Project to control synchronization of user identification and exchange of user data between various ad services.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Technická příloha | Login 3/2019

Bezpečnost aplikací a dat

Využijte bezpečnostní technologie v rámci K-net Cloud - netDispatcher

Oblast IT bezpečnosti:

Bezpečnostní infrastruktura K-net Cloud

Jaké jsou možnosti připojení do K-net Cloud?

Služba netDispatcher NGFW

Služba netDispatcher ADC

Služba netDispatcher WAF

Máte zájem zvýšit bezpečnost vašeho IT bez velkých investic?

Petr Nepustil

Více služeb

Doporučená řešení

netDispatcher

Objevujte

Více o nás

Novinky

Potkejme se!

Milujete tipy?

Rychlý kontakt

Technická příloha | Login 3/2019

Bezpečnost aplikací a dat

Využijte bezpečnostní technologie v rámci K-net Cloud - netDispatcher

Oblast IT bezpečnosti:

Bezpečnostní infrastruktura K-net Cloud

Jaké jsou možnosti připojení do K-net Cloud?

Služba netDispatcher NGFW

Služba netDispatcher ADC

Služba netDispatcher WAF

Máte zájem zvýšit bezpečnost vašeho IT bez velkých investic?

Petr Nepustil

Více služeb

Doporučená řešení

netDispatcher

Obje­vujte

Více o nás

Novinky

Potkejme se!

Milujete tipy?

Rychlý kontakt

Informace o cookies

Objevujte