Izvor: ItRešenja.com, 28.Mar.2021, 17:55
Modularnost F5 Big IP
Kako i sam naslov kaže, današnji cilj nam je da demistifikujemo još jedan od brandova iz portfolia kompanije Veracomp.
Veracomp, sada deo Exclusive Networks grupe, ekskluzivni je distributer za F5 brend kako u Srbiji, tako i u regionu.
Neminovno je da ste za ovaj proizvod već čuli, ali iskustveno gledajući do sada retko ko da je imao celokupnu sliku. Primarna asocijacija svima je load-balancer. Ne možemo reći da ovo nije tačno jer je F5 upravo od ovoga i počeo. >> Pročitaj celu vest na sajtu ItRešenja.com <<
Ali da krenemo redom. Prva i najbitnija stvar, bez obzira na modul, je da Big IP počiva na full-proxy arhitekturi. Šta ovo tačno znači?
Klijentske konekcije nikada ne stižu direktno do štićenog servera. BigIP prihvata konekciju klijenta, a onda nezavisno otvara konekciju ka serveru. Evo grafičkog prikaza:
Benefiti ovakvog pristupa su višestruki, a ključni su svakako:
Osim ovog, BigIP podržava i sledeće proxy modove:
Nećemo previše u tehničke detalje, stoga idemo na sledeću, već pomenutu funkcionalnost – Load Balancing.
U moru rešenja na ovu temu, F5 je izgradio svoju početnu reputaciju upravo na ovoj funkcionalnosti. Fleksibilnost u modovima balansiranja saobraćaja je još uvek neprikosnovena.
Napravićemo kratak pregled svih opcija:
Sa ovim završavamo priču oko opšte poznatih stvari. Sada da pređemo na module koje F5 izvrsno radi, a da nisu prva asocijacija.
Web Application Firewall
Sam WAF termin je postao poprilično popularan u poslednjih par godina, pa nećemo mnogo objašnjavati ovaj koncept. Ono što je zanimljivo, kada je reč o Big IP, jeste da zahvaljujući full proxy arhiktekturi, web aplikacija korisnika se praktično i ne izlaže direktno internetu. Virtuelni server (VS) je u stvari jedina tačka koja je vidljiva javno. Sama aplikacija ne. Dakle, koji OS, server, verzija, stack i sve ostalo (što je od interesa prilikom početne faze hakovanja) je prosto nedostupno. Fingerprint pokazuje da je meta F5. Ovo dosta komplikuje život hakeru, te odabir samog exploita nije tako jednostavan kao kod direktno izloženih sistema. Sledeća fina stvar je zaštita od zloupotreba. Granularnost i sveobuhvatnost su glavni aduti u ovoj priči. Ovo ne znači da je i administracija komplikovana. F5 WAF je sposoban da uči, i to tako što je dovoljno definisati jednu IP adresu kojoj se veruje i sam WAF će naučiti kakvo je očekivano ponašanje korisnika na osnovu toga. Zanimljivo je da je moguće sprečiti bot napade, zabraniti ilegalne stringove u zahtevima, sprečiti SQL injection, brute force napade (uključujući credentials stuffing), DoS napade (BigIP ume da napravi razliku između skoro svih vrsta neorganskog saobraćaja)… DataSafe je posebno interesantna komponenta koja ima primarni fokus sprečavanja Man-in-the-Browser napada. Ukratko, ovaj modul je moguće usmeriti da sa login strane brani polja za unos kredencijala (ili bilo kog drugog bitnog user-input polja), i Big-IP prema odabranom tipu zaštite sprečava čitanje podataka iz browsera tako što ih enkriptuje ili menja na 2 različita načina. Takođe, moguće je podestiti „mamce“ koje će BigIP dodavati u odgovor, a koji imaju ulogu odvlačenja pažnje sa ključnih podataka.
Ovo ne zahteva ekspertizu administratora, jer sam uređaj ima predefinisane polise. Dodatna funkcionalnost je integracija sa velikim brojem security scanner-a, kao što su WhiteHat Sentinel, IBM i Qualis. Ovo omogućava praktično instant zaštitu, jer je na samom virtuelnom serveru moguće odraditi „virtual patching“, gde će se rizike prepoznate skeniranjem zatvoriti, a onda bez pritiska odraditi patching infrastrukture. Ovim se bukvalno oslobađaju Dev/DevOps timovi pritiska, koji se mogu potpuno posvetiti rešavanju prepoznatih problema a da se ne ostavlja mogućnost/rizik kompromitovanja sistema.
Sam WAF na F5 ima više različitih software-skih modela, kao i licenciranja, te se savršeno uklapa sa svim topologijama i veličinama aplikacija koje brani. Ovo je mali deo mogućnosti samog WAF modula.
Access Policy Manager
Savremeni trendovi podrazumevaju svakodnevno korišćenje aplikacija. I on-prem i cloud lociranih. Upravo ove aplikacije su put do kritično bitnih informacija kompanijama i njihovim klijentima. Neovlašćen pristup ili gubitak informacija znači gubitak poverenja, prekid poslovanja i na kraju zakonsku odgovornost. Ukoliko je kompaniji važno da sa jednog mesta upravlja autentifikacijom, pravima pristupa ka svim resursima na bezbedan način ma gde oni počivali, APM je rešenje koje ovo i obezbeđuje.
Osnovna namena ovog modula je upravljanje pravima pristupa, ali sa granularnošću do te mere da je moguće pravila definisati na nivou endpoint-a i usklađenošću sa security polisom (OS, AV, rooted, firewall, registry, process…). Limita za integraciju skoro i da nema, jer su podržani skoro svi federation modeli bilo on-prem bilo cloud okruženja (podržava i SaaS servise). Integracija sa MFA, IDaaS i IAM servisima svih vodećih vendora je u potpunosti podržana. Ukoliko se u infrastrukturi ima više različitih rešenja, a potrebna je jedna tačka federacije među njima, APM je idealno rešenje i toj kombinaciji.
Druga bitna stavka je bezbedan pristup do resursa. SSL VPN tehnologija se naslanja na prethodnu funkcionalnost, te i sam pristup se detaljno može limitirati. Čak i na nivou aplikacije. BigIP Access/ ex-Edge client podržan je na svim operativnim sistemima (Apple MacOS i iOS, Microsoft Windows, Linux platforme, Google Android i Chromebook). Specifičnost ovog VPN klijenta je podrška Datagram Transport Layer Security moda, koji obezbeđuje i tuneluje aplikacije koje su osetljive na delay.
Portal Access (WebTop) – je u stvari portal na kom se oglašavaju interne aplikacije koje postaju dostupne kroz web browser. Npr, moguće je objaviti Remote Desktop servis, koji će raditi kroz browser koristeći integrisani java client.
Zanimljiv pod-modul APM-a je Secure Web Gateway. Dok se svi prethodni moduli bave kontrolom pristupa resursa kompanije, veoma je bitno voditi računa sa kim ti resursi komuniciraju. SWG je upravo ta karika koja nedostaje. Na već definisane Access Polise, dodajemo još jedan sloj sigurnosti i to baš u odlaznom smeru. Kontrolišu se i prepoznaju malwari, radi se SSL dekripcija, URL kategorizacija i sve to praćeno putem integrisanih izveštaja. Dakle, umesto da se u infrastrukturu dodaje još nekoliko specijalizovanih uređaja, na ovaj način se praktično centralizuje kompletan security pod jedno rešenje.
Da nastavimo u ovom stilu, sledeći modul koji upoznajemo je Advanced Firewall Manager ili AFM. Statefull firewall koji je dizaniran za data center, sa primarnim fokusom na same aplikacije.
Zaštita od network-level napada, i to tako što prati sesije i za razliku od drugih rešenja ih i razume, daje odlične rezultate oslanjajući se na preko 100 definicija napada. Jedan je od retkih koji može da prepozna anomalije u samom protokolu. Idealno se uklapa sa F5 IP Intelligence Services pretplatom, čime se dobija mogućnost kreiranja Access List-i koje sadrže up-to-date informacije o rating-u i klasifikaciji internet entiteta (BotNet, Phishing, DoS, Scanner kategorije). Ovaj modul takođe ima svoj reporting.
I za kraj da rezimiramo, centralizovanost i skalabilnost ovakve platforme je ključna prednost u odnosu na sva već viđena rešenja na tržištu, a opet, fleksibilnost i kooperativnost sa drugim vendorima kompanije ne ograničava ekskluzivno na korišćenje samo F5 BigIP. Za više informacija posetite sajt kompanije Veracomp.
