F5 czyli ochrona, wydajność i dostepność informacji w DC Łukasz Formas FSE EE l.formas@f5.com Bartek Kryński Dział Usług Profesjonalnych, Clico LTD bartosz.krynski@clico.pl
2 Plan wystąpienia Wprowadzenie Problemy wydajnościowe DC, linków, aplikacji + jak możemy pomóc Brak dostępu do usług może przytrafić się każdemu - jak zaplanować reakcje na tego typu zdarzenie. Problemy związane z ochroną aplikacji / jak zabezpieczyć dostęp do aplikacji
3 Wprowadzenie - Tradycyjny model DC Cell phone Web Server NetApp PC - Home Web Server App. Server MS SQL Server EMC Laptop coffee shot Web Server App. Server PC - LAN Web Server Oracle Windows file storage App. Server PC - WAN Web Server Web Server App. Server mysql Server Windows file storage
4 Konsolidacja przez wirtualizację Cell Web Server PC - Home Remote - WAN Data Center & Link Virtualization Web Server Virtualization Web Server Web Server Web Server Application Server Virtualization App. Server App. Server App. Server File Storage Virtualization NetApp EMC Windows file storage PC - LAN Web Server App. Server Windows file storage WLAN Web Server GTM & LC LTM LTM ARX
5 Kto powinien się martwić o działanie aplikacji w sieci? Dziury w bezpieczeństwie Wysokie koszty skalowania Słaba wydajność? Aplikacja Administrator sieci Deweloper aplikacji Tradycyjne sieci skoncentrowane są na zapewnieniu połączenia Dla aplikacji ważna jest logika biznesowa i funkcjonalność
6 Jak sprostać wymaganiom? Wiele pojedynczych rozwiązań Application Większe pasmo Administrator sieci Deweloper aplikacji Dodać kolejne elementy infrastruktury? Zatrudnić armię deweloperów?
7 Użytkownicy Zintegrowane rozwiązanie F5 Rozwiązanie F5 Aplikacje Mobile Phone PDA Laptop Desktop Application Delivery Network TMOS CRM Database Siebel BEA Legacy.NET SAP PeopleSoft IBM ERP SFA Custom Co-location
Rozwiązanie zbudowane jest na systemie TMOS integrującym wszystkie narzędzia 8 irules and icontrol Programmable Network Language GUI-Based Application Profiles Repeatable Policies Unified Application Infrastructure Services Programmable Application Network Targeted and Adaptable Functions Security Optimisation Delivery New Service Universal Inspection Engine (UIE) Complete Visibility and Control of Application Flows TMOS Fast Application Proxy Client Side Server Side
9 Rozwiązania dostarczania aplikacji International Data Center Users Enterprise Manager Applications & Storage BIG-IP Local Traffic Manager BIG-IP Global Traffic Manager BIG-IP Link Controller BIG-IP Web- Accelerator BIG-IP WAN Optimization Module BIG-IP Application Security Manager BIG-IP Access Policy Manager BIG-IP Edge Gateway FirePass SSL VPN ARX File Virtualization icontrol TMOS
F5 w Centrum Danych 10 Branch 1 Remote User Branch 2 WOM DMZ Munich GTM / Link Controller Firewalls Edge VIPRION BIG-IP LTM WebAccelerator Users WOM GTM/LC Edge Internet or WAN BIG-IP LTM / WA VIPRION App Servers Munich ARX ARX File Storage Supplier Home User Distributor
Informacje o firmie 11
12 F5 informacje Revenue Kwatera główna w Seattle, USA > 10.000 klientów oraz > 30.000 zainstalowanych systemów > 2000 pracowników 1Q10 Revenue: $191.2M FY09 Revenue: $653M NASDAQ: FFIV
Pozycja wg analityków 13 Magic Quadrant for Application Delivery Controllers, 2009 F5 Networks - Strengths F5 Networks has a broad and comprehensive vision with industry-leading understanding of the needs of application development, deployment and management. The vendor has a comprehensive feature set with a full range of extensibility delivered through irules and icontrol, and integration with popular integrated development environments (IDEs), such as Eclipse and.net/visual Basic. F5 has developed a very large community of committed users (using F5's DevCentral portal) that helps fuel the use of irules to solve unique data center application challenges, creating a loyal and engaged user base. F5 has a solid financial position and continued market-leading position. SOURCE: Gartner, Inc.
14 Plan wystąpienia Wprowadzenie Problemy wydajnościowe DC, linków, aplikacji - jak możemy pomóc Brak dostępu do usług może przytrafić się każdemu - jak zaplanować reakcje na tego typu zdarzenie. Problemy związane z ochroną aplikacji / jak zabezpieczyć dostęp do aplikacji
Akceleracja 15
16 Wrażenia użytkownika Akceleracja czy wydajność Klient Serwis Remote User Application Network OWS WAN 10%
17 Wrażenia użytkownika Akceleracja czy wydajność Klient Serwis Remote User Application Network OWS DTLS oraz kompresja Darmowy klient Wybór site u przez GTM QoS dla klienta
18 Wrażenia użytkownika Akceleracja czy wydajność Klient Serwis Remote User Application Network OWS Akceleracja webowa Szybkie wyświetlanie strony Jeśli jest w przeglądarce nie wysyłaj ponownie - IBR do 90% ponownie użytych obiektów
19 Wrażenia użytkownika Akceleracja czy wydajność Klient Serwis Remote User Application Network OWS DeDuplikacja danych Akceleracja 1 przejścia Nie tylko web apps DC do DC W AN
20 Wrażenia użytkownika Akceleracja czy wydajność Klient Serwis Remote User Application Network OWS Odciążenie serwera Pozwólny działać serwerom Optymalizacja protokołu TCP 10%
21 Akceleracja czy wydajność Klient Serwis Remote User Application Network OWS Przeźroczyste upgrady aplikacji Mobilność użytkownika Raportowanie W AN 10%
22 Remote User Cisco Juniper F5 Citrix End User Experience Citrix F5 Remote Access MS, SAP Oracle RB BlueCoat Cisco Network Application RB F5 Sliver P Cisco Wan Optimisation controller Application MS, SAP Oracle F5 BlueCoat
23 End User Experience or Performance User Service + + + Remote User Application Network OWS WAN 10%
24 Opcje akceleracji LTM WAM WOM Optymalizacja TCP IBR DeDuplikacja Kompresja Kompresja Proxy aplikacyjne Cache Cache Kompresja Agregacja sesji Parsowanie http Optymalizacja TCP Terminacja SSL Optymalizacja obr. Szyfrowanie ruchu Multiconnect Optymalizacja http
25 Plan wystąpienia Wprowadzenie Problemy wydajnościowe DC, linków, aplikacji + jak możemy pomóc Brak dostępu do usług może przytrafić się każdemu - jak zaplanować reakcje na tego typu zdarzenie. Problemy związane z ochroną aplikacji / jak zabezpieczyć dostęp do aplikacji
Local Traffic Manager (LTM) 26 Wydajne platformy sprzętowe Metody równoważenia obciążenia Monitoring stanu aplikacji Bezpieczeństwo transakcji Mechanizmy utrzymywania sesji LTM umożliwia równoważenie obciążenia na poziomie aplikacji Optymalnie wybiera zasoby serwerowe wg. algorytmów statycznego lub dynamicznego rozdziału ruchu Monitoruje stan działania aplikacji wykorzystując zdefiniowane wtyczki monitorujące lub zewnętrzne skrypty Urządzenie potrafi identyfikować ruch pochodzący z nawiązanych już sesji na podstawie np. adresów IP, ID sesji, nazwy użytkownika lub innych, dowolnych parametrów znajdujących się w URI NIE LICZ NA SZCZĘŚCIE, ZABEZPIECZ SIĘ NA WYPADEK AWARII
27
28 Jak to działa? LB VIP: virtual Server Address LoadBalancer przekierowuje pakiety przychodzące z sieci do serwerów zdefiniowanych w puli (pool members) Transparentnie lub z wykorzystaniem translacji NAT Full Proxy Mode : LB Terminuje wszystkie sesje klientów i nawiązuje nowe sesje z serwerami Optymalizacja TCP Możliwość inspekcji i modyfikacji pakietów w L7 Ochrona przed atakami Syn Flood
29 irules irules: język skryptowy kontrolujący zachowanie BIG-IP. irules bazują na standardzie języka TCL. Pozwalają na inspekcję pakietu (zarówno nagłówek jak i payload) Kodowane wokół Zdarzeń (HTTP_REQUEST, HTTP_RESPONSE, CLIENT_ACCEPTED etc.) Granularna kontrola podejmowanej akcji, inspekcji, przekierowania Zapytanie irule wyzwalana zdarzeniami HTTP Zmodyfykowana odpowiedź BIG-IP działa jako pełne proxy zatem umożliwia inspekcję, modyfikację i przekierowanie ruchu bez kierunkowych ograniczeń
30 Integracja F5 i VmWare Klienci www Klienci www Monitoring & Management vcenter icontrol icontrol BIG-IP LTM BIG-IP LTM Wirtualizacja warstwy prezentacji Serwer www Serwer www Serwer www Wirtualizacja serwerów aplikacji Serwer aplikacji Serwer aplikacji Serwer aplikacji Wirtualizacja serwerów aplikacji
31 Plan wystąpienia Wprowadzenie Problemy wydajnościowe DC, linków, aplikacji + jak możemy pomóc Brak dostępu do usług może przytrafić się każdemu - jak zaplanować reakcje na tego typu zdarzenie. Problemy związane z ochroną aplikacji / jak zabezpieczyć dostęp do aplikacji
32 Wyzwania dla konwencjonalnych systemów zabezpieczeń Ataki HTTP są poprawnymi zapytaniami do aplikacji, nie do wykrycia przez zapory sieciowe i systemy IPS Protokół HTTP jest bezstanowy, aplikacje są stanowe Zróżnicowanie aplikacji nie ma przygotowanych sygnatur stricte dla TWOJEJ aplikacji Dobry system zabezpieczeń musi analizować nie tylko zapytania, ale również odpowiedzi Paradoks zabezpieczenie komunikacji (poprzez szyfrowanie ruchu) dodatkowo ułatwia przeprowadzenie bez śladu ataku na aplikację Niewiedza nie jest błogosławieństwem brak narzędzi w korporacjach analizy/rejestrowania/raportowania ataków dotyczących HTTP
33 Czym jest WAF? Web Application Firewall (WAF): zabezpieczenia dedykowane do ochrony aplikacji Web System zabezpieczeń WAF bazuje w głównej mierze na automatycznie tworzonym i aktualizowanym profilu aplikacji Web. Tworzenie profilu ma na celu niezależne odwzorowanie oczekiwanych, poprawnych zachowań użytkowników przy dostępie do aplikacji/serwisu web
34 Wiele warstw ochrony F5 ASM Profilowanie oczekiwanych zachowań: Definicja listy dopuszczalnych typów plików, URI, parametrów Każdy parametr analizowany oddzielnie pod kontem: Wartości predefiniowanych Długości wyrażenia Dopuszczalnych typów znaków Przypisanych wzorców, sygnatur Analiza również odpowiedzi w poszukiwaniu np. wycieku informacji Zgodność z dokumentami RFC Egzekwowanie limitów zapytań HTTP
35 Ochrona przed włamaniami do aplikacji Web Technika ataku na aplikację Web Prosty XSS Reflected XSS Reflected z enkodowaniem znaków Prosty XSS Stored Kombinacje XSS Stored XSS Stored z enkodowanie znaków Prosty SQL-Injection SQL-Injection z kombinacją zapytania SQL Manipulacja parametru aplikacji Web Forceful Browsing Information Leakage Wyniki testów na stronie www.clico.pl WAF IPS x x x x x x x x
36 Korzyści z wdrożenia WAF dla firmy Innowacyjna ochrona aplikacji oraz gwarancja zgodności z wymaganiami / regulacjami: Redukcja kosztów Zapewnienia zgodności z PCI oraz innymi regulacjami Związanych z zabezpieczeniem serwisów i aplikacji web Wzrost wydajności pracy aplikacji przy wysokim poziomie ochrony usług Bezkompromisowa ochrona przed atakami, m.in. zdefiniowanymi w OWASP TOP 10 Ułatwienie pracy departamentu bezpieczeństwa Szczegółowe, przydatne dane o incydentach, wymagane przez dział bezpieczeństwa do dalszej analizy Łatwe wprowadzanie nowych usług Zwiększenie satysfakcji klientów oraz wiarygodności transakcji Podwyższenie konkurencji rynkowej
BIG-IP LTM + APM 37 Uwierzytelnienie użytkowników Proxy Serwery www Zalety BIG-IP: LTM + APM Policy Manager Directory App 1 App 2 App 3 App n Redukcja kosztów i złożoności Zapewnienie skalowalności architektury i stałej dostępności usług Lepsza ochrona przez dynamiczne ACLs L4 L7 z szybkością LTM Integracja z OAM
38 BIG-IP Access Policy Manager Visual Policy Editor (VPE) Elastyczny Łatwy do zrozumienia obraz polityki VPE Rules (oparte na TCL) dla zaawansowanych funkcji Może wyzwalać zdarzenia TMM irules Makra Wizualne wskazówki pomocne w konfiguracji
39 Podsumowanie Bezprzerwowe i wydajne działanie serwisów Wprowadzenie inteligencji aplikacyjnej do infrastruktury Bezpieczeństwo, dostępność, HA aplikacji Prostota zarządzania wląd w infrastrukturę