Bezpečnost aplikací a dat
Využijte bezpečnostní technologie v rámci K-net Cloud - netDispatcher
V Loginu v roce 2017 jsme psali o technikách ochrany vnitřní sítě a webových portálů. Představili jsme proto zařízení typu Next Generation FirewallKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint…, Web Application FirewallFirewall, který se zaměřuje na web (http). a podobně.
Tato zařízení jsou pro zajištění ochrany sítě velmi účinná, ale také velmi nákladná na pořízení a náročná na správu. Nemalé peníze stojí roční aktualizace SW a databází a velmi podobné peníze stojí také jejich fyzická správa a monitoring.
Tato zařízení zachytávají velkou řadu událostí a je vhodné tyto události monitorovat, vyhodnocovat a případně dle potřeby upravovat nastavení.
Efektivním řešením může být pronájem těchto služeb v rámci clouduJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré…, kde je možné se o náklady dělit s více subjekty a velmi tak snížit celkové náklady.
V tomto čísle bychom se podívali na možná řešení v rámci služeb K-net CloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré….
Oblast IT bezpečnosti:
Bezpečnostní infrastruktura K-net Cloud
Jakým způsobem je postavená infrastruktura cloudového řešení?
K-net má v České republice 3 datová centra ve 3 lokalitách (Praha, Brno, Olešnice), která jsou vzájemně propojená L2 konektivitou od společnosti O2. Spojení L2 je vyhrazené a oddělené od internetu, čímž je bezpečnější, spolehlivější a rychlejší než běžné spojení přes internet. Připojení do internetu je ze dvou datových center (Praha a Brno). Díky tomu je možné při připojení do kteréhokoli z našich datových center využívat prostředků ostatních datových center K-net prakticky stejně, jako byste byli připojeni do každého z nich zvlášť. To je užitečné pro služby vyžadující vysokou dostupnost, kdy je možné např. využít rozšíření Global Load BalancingObecně platí, že vyrovnávač pošle požadavek klienta na server, který je blíže klientovi, snižuje tím latenci a zvyšuje výkon. V případě výpadku internetové konektivity nebo…, které v případě výpadku internetové konektivity nebo serveru v jedné lokalitě umožní přístup ke službám přes druhou lokalitu. Přístup do internetu je chráněn enterprise-levelSoftwary a služby se liší svými vlastnostmi. Dle jejich parametrů rozlišujeme úrovně vlastností, např. Standard, Advanced a Enterpise. Kdy Enterprise bývá většinou nejvyšší úrovní s… bezpečnostními technologiemi Forcepoint Next Generation FirewallKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint…, Citrix ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… a Citrix WAFFirewall, který se zaměřuje na web (http). s možností dalších bezpečnostních rozšíření.
V rámci K-net CloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… je možné využít ve všech lokalitách pronájmu cloudových služebJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré…, jako je pronájem virtuálních serverů (PaaSVirtuální server PaaS je úplné prostředí pro vývoj a/nebo nasazení a provozování aplikací v cloudu. Jedná se tedy o pronájem zařízení (serverů) vč. software nutného…), pronájem aplikací (SaaSV modelu SaaS – software jako služba uživatel software nekupuje. Neplatí za jednorázovou licenci, která by ho opravňovala využívat software navždy, naopak si software pronajme… More), služby zálohování či disaster recoveryObnova provozu – Plán nebo služba pro zajištění obnovy IT služeb po živelných či jiných pohromách (například napadení kryptovirem). Příkladem takové služby je služba K-net… a podobně.
Tématem dnešního článku jsou však možnosti využití našich nových cloudových bezpečnostních služeb netDispatcher v případě, že máte svoji serverovou infrastrukturu ve své serverovně, ale chcete ji chránit pokročilými bezpečnostními technologiemi formou pronájmu z clouduJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré….
Jaké jsou možnosti připojení do K-net Cloud?
Pro využití bezpečnostních služeb netDispatcher v rámci K-net CloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… je nezbytné, aby klienti a síťové služby využívali přístup do internetu v rámci datových center K-net, které chrání bezpečnostní řešení.
Je tedy nutné místní infrastrukturu přesunout do clouduJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… nebo vlastní serverovnu propojit přímou konektivitou do některého cloudového centra K-net. Přístupových bodů, které je v tuto chvíli možné využít, je v České republice několik. Způsoby připojení jsou následující:
- Vyhrazený optický kabel
- Pronajatá L2 konektivitaPřipojení L2 (layer 2, tedy po tzv. 2. síťové vrstvě) je propojení mezi 2 body v rámci stejné sítě. Počítače a servery v rámci interní… O2
- MPLSJedná se o způsob propojení počítačů v síti, obvykle používaný pro propojení poboček s centrálou z důvodu vyšší spolehlivosti a výkonnosti přenosu dat, než v… síť od O2 nebo jiného poskytovatele
- VPNPřístup přes virtuální privátní síť se uplatní např. pokud existují dvě lokální sítě na dvou místech (třeba Praha/Brno). Pak je možné využít tuto technologii a…
Nejlepším možným způsobem je samozřejmě pronajatý vyhrazený optický kabel do některého přípojného bodu v rámci K-net CloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré…. To však není vždy technicky proveditelné a ve spoustě případů to ani nemusí být cenově dostupné. Druhou velmi dobrou variantou je pronájem L2 konektivity, která zajistí přímé propojení do některého datového centra K-net (většinou Praha nebo Brno). Cena se zde odvíjí už pouze od propustnosti linky, ale velkou výhodou je, že jde o spoj na druhé síťové vrstvě, linka tedy není zatížena další režií jako třeba u VPNPřístup přes virtuální privátní síť se uplatní např. pokud existují dvě lokální sítě na dvou místech (třeba Praha/Brno). Pak je možné využít tuto technologii a…. Třetí možností je začlenění některého přípojného bodu K-net Cloud do vlastní MPLSJedná se o způsob propojení počítačů v síti, obvykle používaný pro propojení poboček s centrálou z důvodu vyšší spolehlivosti a výkonnosti přenosu dat, než v… sítě od O2 či jiného poskytovatele a následná konfigurace internetové brány v rámci této sítě. Toto je varianta zajímavá v případě, že je na straně zákazníka rozsáhlejší síť lokalit (poboček), kde interní komunikaci zajišťuje i jiný operátor než O2. Poslední variantou, a také asi nejméně cenově náročnou, je konfigurace transparentní VPNPřístup přes virtuální privátní síť se uplatní např. pokud existují dvě lokální sítě na dvou místech (třeba Praha/Brno). Pak je možné využít tuto technologii a… z lokality zákazníka do datového centraje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… K-net. Zde je však nutné počítat s režijními náklady v rámci propustnosti linky, kterou si vezme šifrování komunikace přes běžnou internetovou síť. Tato varianta je také o něco méně bezpečná, protože je komunikace sestavována přes internetovou linku a je vhodné mít dobrý routerRouter je v počítačových sítích aktivní síťové zařízení, které procesem zvaným routování přeposílá datagramy směrem k jejich cíli…. na straně lokality zákazníka (viz rozšíření služby netDispatcher NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint…). Tato varianta je tedy vhodná pouze v případech, kdy se neočekává velký datový provoz do internetu (případně mezi lokalitou zákazníka a datovým centrem K-net).
Služba netDispatcher NGFW
netDispatcher NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… je služba, která nabízí ochranu vnitřní sítě pomocí Next Generation FirewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače….. Tato služba je postavená na technologii Forcepoint (dříve Stonesoft). Jedná se o robustní systémový firewallSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…., který nabízí flexibilní řešení pro ochranu sítě před útoky zvenčí pro podniky všech velikostí.
Díky své hloubkové analýze datového provozu dokáže odhalit i ty nejskrytější hrozby internetového světa, včetně pokročilých metod útoku (tzv. AET – Advanced Evasion TechniquesÚtok na zařízení, který kombinuje více druhů útoků (třeba slovníkové prolamování hesla a vytížení sítě).), které jsou aktuálně velkou hrozbou. Řešení nabízí také filtrování webového provozu, ochrany e-mailové komunikace a ochrany před únikem citlivých informací. Útočníci stále více používají techniky pokročilého útoku (AET), které jsou schopny obcházet většinu dnešních bezpečnostních síťových zařízení. AETÚtok na zařízení, který kombinuje více druhů útoků (třeba slovníkové prolamování hesla a vytížení sítě). například dostane malwareObecný název pro škodlivý software. Jedná se o program určený k poškození nebo vniknutí do počítačového systému. Výraz malware vznikl složením anglických slov „malicious“ (zlovolný,… mezi síťovými vrstvami nebo protokoly pomocí technik, jako je maskování. Toto vše dokáže Next Generation FirewallKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… zastavit. Systém obsahuje antivirový systém, nebo i webový filtrJe softwarové, nebo i hardwarové řešení, které pomocí své neustále aktualizované databáze webových stránek dokáže určit, o jaký typ webu se jedná. Zařadí ho do…. Vše je postavené na pravidelně aktualizovaných databázích škodlivých kódů a škodlivých chování, které jsou neustále aktualizovány. NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… tak dokáže rozpoznat potencionální hrozbu a tu automaticky zablokovat nebo informovat bezpečnostního správce o případném potencionálním problému. Velmi efektivně je tak možné odstínit i hackerský útokHacker je programátor s velmi dobrými znalostmi stavby operačních systémů, konstrukci počítačových systémů a sítí. Zdokonaluje systémy a hledá chyby k opravě. Tzv. zákeřný hacker využívá své… pocházející z konkrétní lokality.
Příkladem může být jednoduché zablokování přístupu k serveru přes RDPVzdálená plocha, nebo taky program, kterým se lze vzdáleně připojit na počítač. protokol mimo lokalitu České republiky. Aktuálně se totiž jedná o velmi rozšířenou hackerskou aktivitu, kdy se útočník snaží přes tzv. «slovníkový útok» získat přístup k serveru a z něj pak přístup do celé sítě, ať už za účelem získání citlivých údajů či napadení sítě například kryptoviremDruh ransomware (vyděračský software) je druh škodlivého programu, který šifruje data v něm zapsaná, a pak požaduje od oběti výkupné za obnovení přístupu. Více na….
Službu je také možné rozšířit o pronájem vlastního fyzického firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…., který může být nasazen do vlastního datového centraje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… či na pobočku. Toto rozšíření umožní například vytvoření VPNPřístup přes virtuální privátní síť se uplatní např. pokud existují dvě lokální sítě na dvou místech (třeba Praha/Brno). Pak je možné využít tuto technologii a… konektivity do datového centraje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… nebo i bezpečný přístup do internetu přes vlastní internetovou přípojku.
NetDispatcher NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… se dá takto velmi efektivně využít i v rámci tzv. «hybridních řešeních», kdy má zákazník část infrastruktury u sebe ve vlastním datovém centru a část infrastruktury v datovém centru K-net. Přístup do internetu pak může být směrován primárně přes vlastní internetový spoj, ale v případě výpadku této konektivity je komunikace nasměrována přes datové centrumje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… K-net. Tato funkcionalita však už v případě výpadku nevyřeší přesměrování datové komunikace z internetu na servery zákazníka. Zde už je nutné použít další nabízenou službu, a tou je netDispatcher ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího….
Služba netDispatcher NGFW v sobě obsahuje následující:
- Přístup do internetu z datového centraje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… K-NET dle pořízené datové propustnosti
- Pronájem výkonu sdíleného NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. v clouduJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… (případně pronájem vlastního NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… firewallSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. zařízení)
- Pravidelně aktualizované databáze signatur, antimalwareje software zabraňující průchodu malware do počítače (Malware – škodlivý software, který způsobuje škody v počítačových datech)…., případně web filtru
- Monitoring a dohled nad systémem v režimu 24×7 včetně dostupnosti technika na telefonu
- Pravidelný reporting a informace o potencionálních síťových hrozbách.
Schéma: služby netDispatcher na perimetru K-net CloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… (uvnitř kruhu) chránící vaše uživatele, aplikace a weby od vnějších nástrah.
Služba netDispatcher ADC
Služba netDispatcher ADC (Application Delivery Controller)Služba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… je velmi zajímavé řešení pro zvýšení dostupnosti, rychlosti a bezpečnosti vlastních či hybridních cloudových řešení. Služba je postavená na systému Citrix ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… a případně Citrix Gateway.
Velmi důležitou funkcionalitou celého řešení je možnost zajištění tzv. «Global Load Balancing» mezi různými datovými centry při přístupu z internetu. Tato funkcionalita zajistí, že v případě výpadku jednoho datového centraje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… či jeho konektivity je provoz automaticky a bezvýpadkově přesměrován na druhé datové centrumje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak…. Systém umožňuje i například balancování výkonu některých služeb (například webových serverů), a tím zvyšuje i výkon a odezvu z pohledu uživatele.
ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… dále nabízí optimalizaci komunikačních protokolů pro rychlou odezvu aplikací, jako jsou HTTP/2HTTP/2 je druhá verze (nástupce) protokolu HTTP. Protokol HTTP je hlavním protokolem webu, je používán pro přenos webových stránek mezi webovým serverem a klientem (webovým… a TCP multiplexingTCP multiplexing je sloučení několika samostatných přenosů do jedné společné přenosové cesty. Tuto funkcionalitu umí nabídnout služba K-net netDispatcher ADC nebo zařízení Citrix ADC…., statický a dynamický web content cachingOptimalizace výkonu webu využitím mezipaměti. Obsah webových stránek je uložen do mezipaměti a je uložen na různých serverech. Když uživatel klikne na odkaz webové stránky,…, optimalizaci obrázků pro koncová zařízení, akceleraci protokolů TCPTCP je nejpoužívanějším protokolem transportní vrstvy v sadě protokolů TCP/IP používaných v síti Internet. Použitím TCP mohou aplikace na počítačích propojených do sítě vytvořit mezi… a HTTP a TCP optimalizaci pro mobilní sítě.
Umožňuje také velmi bezpečně řešit přístup ke špatně zabezpečeným aplikacím díky převzetí autorizaceje určení oprávnění uživatele v daném kontextu. Autentizace nám řekne, kdo je uživatelem a autorizace pomocí tzv. ACL pak souborovému systému řekne, co uživatel může… uživatele přes protokol HTTPSProtokol pro bezpečný, šifrovaný provoz na webu..
Příkladem může být protokol RDPVzdálená plocha, nebo taky program, kterým se lze vzdáleně připojit na počítač., který tato služba dokáže zabezpečit přes protokol HTTPSProtokol pro bezpečný, šifrovaný provoz na webu.. Funguje to tak, že uživatel se přihlásí přes webovou zabezpečenou stránku, systém provede autorizaci s interními autorizačními servery Active DirectoryActive Directory je v informatice název adresářových služeb LDAP implementované firmou Microsoft pro řadu systémů Windows. Databáze Active Directory je uložená na řadiči domény, který… a následně je komunikace propuštěna přes protokol RDPVzdálená plocha, nebo taky program, kterým se lze vzdáleně připojit na počítač.. Takto se dá efektivně odstranit problém s hackerskými útoky na otevřený RDPVzdálená plocha, nebo taky program, kterým se lze vzdáleně připojit na počítač. port. Pro další zvýšení zabezpečení je možné doplnit druhý faktor ověření (SMS kód, token v aplikaci, uživatelský certifikát).
Systém je možné rozšířit také o bezpečnostní ochranu webových portálů netDispatcher WAF (Web Application Firewall)Firewall, který se zaměřuje na web (http).. Ten umožňuje ochránit interní aplikace před DDoS útoky, nastavit funkcionality jako TLSProtokol Transport Layer Security a jeho předchůdce Secure Sockets Layer (SSL) jsou kryptografické protokoly, poskytující možnost zabezpečené komunikace na internetu pro služby jako web, elektronická…/SSL, content inspectionKontrola obsahu je technika, která se často používá v řešeních prevence ztráty dat v síti. Kontrola obsahu zahrnuje prozkoumání údajů za účelem zjištění pravidelných výrazů…, a rate limitingPoužívá se k řízení množství příchozích a odchozích dat v síťovém provozu. Důvodem implementace omezení rychlosti je umožnit lepší tok dat a zvýšit bezpečnost zmírněním….
Služba dále umožňuje rozšířit funkčnost i o SSLProtokol, který poskytuje zabezpečení komunikace šifrováním a autentizaci komunikujících stran. Vkládá se mezi vrstvu transportní (např. TCP/IP) a aplikační (např. HTTP). Nejčastěji se využívá pro… VPN pro uživatele z internetu. Jedná se o velmi bezpečný a jednoduchý přístup uživatelů z internetu k interním aplikacím a datům společnosti.
Služba netDispatcher ADC v sobě obsahuje následující:
- Přístup z internetu do datového centraje speciální prostor, kde se nachází počítačové servery a další informační technologie. Datové centrum zajišťuje jejich nepřetržitý provoz a maximální bezpečí dat zde uložených jak… K-net (či infrastruktury zákazníka) dle pořízené datové propustnosti
- Pronájem výkonu Citrix ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího…
- Zajištění Global Load BalancingObecně platí, že vyrovnávač pošle požadavek klienta na server, který je blíže klientovi, snižuje tím latenci a zvyšuje výkon. V případě výpadku internetové konektivity nebo… v rámci internetových přípojek K-net CloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… (případně s internetovou konektivitou na straně zákazníka)
- Možnost rozšíření funkcionality o SSLProtokol, který poskytuje zabezpečení komunikace šifrováním a autentizaci komunikujících stran. Vkládá se mezi vrstvu transportní (např. TCP/IP) a aplikační (např. HTTP). Nejčastěji se využívá pro… VPNPřístup přes virtuální privátní síť se uplatní např. pokud existují dvě lokální sítě na dvou místech (třeba Praha/Brno). Pak je možné využít tuto technologii a… pro uživatele přistupující z internetu
- Monitoring funkcionality v režimu 24×7 včetně dostupnosti technika na telefonu
- Pravidelný reporting a informace o potencionálních kritických událostech.
Služba netDispatcher WAF
Služba netDispatcher WAF (Web App Firewall) je specializované řešení ochrany webových portálů a aplikací. Je postavená na aplikačním firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. Citrix WAF. Citrix Web App Firewall je jeden z nejlepších WAF firewallů, který chrání webové aplikace a webové stránky před známými i neznámými útoky, včetně celé aplikační vrstvy a «zero-day» hrozeb.
Hlavní vlastnosti Citrix WAFFirewall, který se zaměřuje na web (http). jsou:
- Hybridní bezpečnostní model zabezpečuje ochranu proti novým nepublikovaným hrozbám. Tzv. „positive-model policy engineNástroj firewallu NetScaler AppFirewall, který zná přípustné formy komunikace mezi uživateli a aplikací a automaticky blokuje veškerý provoz nespadající do této oblasti. Opačným nástrojem je…“ kontroluje přípustné interakce mezi uživateli a aplikacemi a automaticky blokuje veškerou komunikaci mimo tuto oblast. Jako doplněk je používán tzv. «negative model engine», který využívá databázi známých útoků a tím chrání weby proti známým aplikačním hrozbám.
- Ochrana XMLOchrana skryptů, které jsou v rámci webu. blokuje nejen běžné hrozby, které mohou být přizpůsobeny pro útoky na aplikace založené na XMLXML je rozšiřitelný značkovací jazyk. XML je formát dokumentů, který nám předepisuje, jak zapsat data společně s jejich významem. Díky tomu, že XML je jednoduchý… (např. cross-site scriptingNapadení stránky pomocí chyby, která je v kódu stránky. Např. wordpress vytváří stránky v určité struktuře a díky chybě, kterou se povede odhalit útočníkovi, se…, command injectionÚtočník může zadat operačnímu systému jakýkoli příkaz pomocí aplikace, která je nainstalována v operačním systému oběti. Tato aplikace nemusí být jen prostý škodlivý kód, ale…), ale také zahrnuje bohatou sadu specifických ochran pro XMLXML je rozšiřitelný značkovací jazyk. XML je formát dokumentů, který nám předepisuje, jak zapsat data společně s jejich významem. Díky tomu, že XML je jednoduchý…, včetně komplexní validace schémat a schopnosti zabránit DoSV podstatě se jedná o útok, kdy dojde k přesměrování veškerého možného síťového provozu přes počítač (zařízení), na který se útočí. Tím se jednak zahltí… útokům.
- Systém zajišťuje vícenásobnou ochranu dynamických prvků v rámci webových aplikací, jako jsou soubory cookie, pole formuláře a URL adresy, a tím potlačuje útoky, které jsou zaměřeny na vztah důvěryhodnosti mezi klientem a serverem (např. tzv. cross-site request forgeryMetoda útoku do internetových aplikací (typicky implementovaných skriptovacími jazyky nebo CGI) pracující na bázi nezamýšleného požadavku pro vykonání určité akce v této aplikaci, který ovšem…).
- Vyspělý automaticky se učící systém určuje očekávané chování podnikových webových aplikací a generuje doporučení pro politiky, které jsou čitelné pro lidi. Administrátoři pak mohou přizpůsobit bezpečnostní pravidla jedinečným požadavkům každé aplikace, aby se zabránilo detekování «false-positive» událostí.
- Citrix WAFFirewall, který se zaměřuje na web (http). umožňuje podnikům splnit požadavky na zabezpečení dat, jako je PCI DSSSoubor mezinárodních bezpečnostních standardů (norem), jejichž cílem je zamezit únikům citlivých dat o držitelích platebních karet. Ve své podstatě se jedná o 12 požadavků, které…, který výslovně podporuje použití WAFFirewall, který se zaměřuje na web (http). pro aplikace orientované na veřejnost, které zpracovávají informace o kreditních kartách. Lze také generovat podrobné reporty, aby dokumentovaly všechny ochrany definované v zásadách firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…., které se vztahují k mandátům PCI.
- Nejvýkonnější řešení zabezpečení webových aplikací na trhu poskytuje až 12 GbpsJednotka rychlosti síťového provozu. Značí počet přenesených gigabitů za 1 sekundu. Platí čím vyšší, tím lepší. komplexní ochrany bez degradace doby odezvy aplikace.
Služba netDispatcher WAFFirewall, který se zaměřuje na web (http). je efektivní bezpečnostní webová brána, snadno použitelná a vysoce výkonná pro zabezpečení webu. Brána je použitelná pro webové portály běžící v rámci K-net CloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… nebo v infrastruktuře zákazníka. Systém umožňuje také sledovat a analyzovat chování uživatelů.
Zákazník tak v rámci služby dostává pravidelný report o bezpečnostních rizicích nejen ze strany případného napadení z internetu, ale také ze strany uživatelů.
NetDispatcher WAFFirewall, který se zaměřuje na web (http). je čistá webová proxyBrána, přes kterou se vstupuje do internetu. Ta může být v jiné lokalitě, čili může se zdát, že se z hlediska internetu nacházíte třeba v…, tedy velkou výhodou je, že uživatel nekončí až na webovém serveru, ale už na tomto bezpečnostním zařízení.
V případě nějakého bezpečnostního incidentu se tak problém nedostane do vnitřní sítě, ale skončí někde v DMZDMZ je v počítačové bezpečnosti fyzická nebo logická podsíť, která je z bezpečnostních důvodů oddělena od ostatních zařízení. Jsou v ní umístěny služby, které jsou…. Umí také řešit některé standardní bezpečnostní chyby v rámci webových aplikací.
Dobrým příkladem využití služby WAFFirewall, který se zaměřuje na web (http). je zabezpečení webů na populárních, avšak zranitelných a hackery oblíbených webových platformách WordPress nebo Joomla. Systém dokáže například zablokovat pokus o změnu ceny v rámci objednávky na e-shopu, což je rozdíl oproti firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. na 7. síťové vrstvě (jako je například i netDispatcher NGFWKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint…).
Služba netDispatcher WAF v sobě obsahuje následující:
- Přístup z internetu k webovým portálům dle pořízené datové propustnosti
- Pronájem výkonu Citrix WAFFirewall, který se zaměřuje na web (http).
- Ochrana webových portálu před útoky zvenčí
- Monitoring a dohled nad systémem v režimu 24×7 včetně dostupnosti technika na telefonu
- Pravidelný reporting a informace o potencionálních síťových hrozbách.
Máte zájem zvýšit bezpečnost vašeho IT bez velkých investic?
Kontaktujte nás pro nezávaznou konzultaci.
Petr Nepustil
Vystudoval VUT v Brně obor Sdělovací technika. Ve firmě K-net je už více než 20 let, začal s ní spolupracovat už na vysoké škole. Závěr studií na vysoké škole strávil na univerzitě v Paříži, kde psal půl roku diplomovou práci na téma kódování řečových signálů. V K-net si prošel pozicemi IT Specialista, vedoucí oddělení, vedoucí divize produkce a kvality. Aktuálně se zaměřuje hlavně na obchod a vedení divize produkce. Baví ho pomáhat našim zákazníkům s návrhem a budováním jejich IT infrastruktury.