Radovan Gibala, Presales Engineer F5, ČR Jiří Petrásek, Presales Engineer, Arrow ECS
Customers Data Center Firewall F5 LTM ID Authentication WAF ADC Local Traffic Manager Core Load-Balancing Hypervisor Virtual Physical
Maintain Application Availability Application Fluency Load Balance Distribute application load across multiple servers to increase availability Traffic Steering Direct a particular type of traffic to resources designed to handle that type of workload Health Monitoring Verify health and performance to check the status of applications and resources Connection Management Mirror connection and persistence information to prevent interruption in service
Improving Your End User Experience Performance Optimization TCP Optimization Enable state-of-the-art optimization to dramatically improve mobile performance Caching Offload repetitive traffic from application servers to improve performance and scale Emerging Protocols Leverage new technologies like HTTP/2 and WebSockets without re-architecting Compression Compress data from applications to reduce traffic and overcome latency
Protect Your Customer Data SSL Encryption Data Protection Encrypt traffic with a choice of ciphers suites based on policy, compliance, or mobile needs Visibility and Control Remove the blind spot that is created by encryption for inbound and outbound traffic Perfect Forward Secrecy Protect customer privacy from future decryption with a unique key for each session Key Protection Protect and manage keys with hardware security modules for physical, virtual, and AWS cloud
Real Time Operational Intelligence Application Visibility F5 Analytics Provides detailed monitoring for applications to analyze and improve performance. High Speed Logging Processes and sends the log messages to remote high-speed log servers sflow Provides visibility at scale by consolidating data through sampling.
Customers Data Center ADVANCED WAF (or at least a small subset of the 2,950+ features of Advanced WAF) Firewall ID Authentication WAF ADC Hypervisor Virtual Physical
Web Application Firewall and Full Proxy Client-Side Server-Side WAF WAF Slowloris attack XSS HTTP HTTP Data leakage SSL renegotiation SYN flood ICMP flood SSL TCP And a fully programmable data plane at all layers with f5 irules SSL TCP Network Firewall 2018 F5 Networks
Application Security Not Addressed by Traditional Firewalls BIG-IP ASM delivers comprehensive protection against critical web attacks CSRF Cookie manipulation OWASP top 10 Brute force attacks Forceful browsing Buffer overflows Web scraping Parameter tampering SQL injections information leakage Field manipulation Session high jacking Cross-site scripting Zero-day attacks Command injection Malformed headers Bots Business logic flaws 2018 F5 Networks
BIG-IP ASM Learning Mode Dynamic Web Application Firewall Devices Request made ASM security policy learns from request Request loadbalanced to server Data Center 1.2.3.4 BIG-IP Platform Physical Hypervisor Response delivered ASM security policy learns from response Application responds Virtual URLs File Types Parameters Cookies /images/banner.jpg /images/logo.gif /css/default.css /app/app.php /index.html /images/banner.jpg /images/logo.gif /css/default.css /app/app.php /index.html /app/app.php?name=value /app/app.php?a=1&b=2 /app/app.php?user=bloggsj /app/app.php?browser=safari Cookie: name=value Cookie: JSESSIONID=1A5306372... Cookie: price=399;total=1399 Private/Public Cloud 2018 F5 Networks
Automatic HTTP/S DoS Attack Protection DETECT A DOS CONDITION IDENTIFY POTENTIAL ATTACKERS DROP ONLY THE ATTACKERS 2018 F5 Networks
Behavioral DoS Mitigation 1 Good Client generates baseline traffic. ~10 mins. 3 BDoS Engine Learns the bad traffic and bad actors. Dynamic signatures created and enforced. BIG-IP Platform BIG-IP Platform 2 Attacker starts a large flood attack. Server stress increases and app is impaired. 4 System escalates through bad actor mitigations until server stress is normal and app is fully available. BIG-IP Platform BIG-IP Platform
IP Intelligence Defend Against Malicious Activity and Web Attacks We need a different approach to security Enhance automated application delivery decisions adding better intelligence and stronger security based on context. Layer of IP threat protection delivers context to identify and block IP threats using a dynamic data set of high-risk IP addresses Visibility into threats from multiple sources leverages a global threat sensor network Enables flexible policy reveals inbound and outbound communication Evolving Threats Real-time updates keep protection at peak performance. Refreshed database every five minutes 2018 F5 Networks
Customers Data Center Firewall F5 APM ID Authentication WAF ADC Authentication, SSO, SSL-VPN, SWG Hypervisor Virtual Physical
BIG-IP Access Policy Manager (APM) Identify, authenticate, and control user access to applications and network Network Centralized access policy enforcement ADFS PIP SAML / OAuth Single Sign-On (SSO) user authentication L3-7 access controls Robust client device support Advanced client endpoint security Visual Policy Editor Employees Contractors Customers Devices Accept Reject BIG-IP Platform Auth Directory Authentication Success Failure Applications VDI Hypervisor Cloud 2018 F5 Networks
Část 2: Případová studie LB, WAF, IAM Jiří Petrásek, Arrow ECS
Před nasazením F5 Zákazník 1: - Jedna CORE aplikace - Zbylé standardní krabicové aplikace - MS Exchange - MS Sharepoint - IIS Zákazník 2: - 120 zakázkových aplikací bez dokumentace - Nepopsané uživatelské role - Autentifikace uživatelů napříč různými databázemi Internet
Cíl u obou zákazníků Cílem obou zákazníků je centralizovaná publikace aplikací se zajištěním vysoké dostupnosti, WEB bezpečnosti, ověření uživatelů. Internet
Způsob dosažení cíle Nasazení LoadBalancingu (F5 LTM) Nasazení WebAplikačního firewallu (F5 ASM) Nasazení centrálních autentifikačních politik a publikačního portálu (F5 APM)
Zkušenosti z nasazení F5 LTM Zákazník 1, 2: vše bez komplikací LB bezproblémové, health monitory serverů, ale i aplikací Včetně dynamických pravidel: URI Query Parametry v SSL certifikátu Zákazník 2: nutnost použití irules Použití irules podmíněné vybavení požadavku/odpovědi na základě libovolné události 1: Logování http req/resp, měření času mezi nimi -> SLA monitoring 2: Logování aktivit uvnitř aplikace -> Bezpečnostní audit 3: Zákaznické ošetření chybových událostí, zobrazení stránky s informacemi o náhradním řešení
Zkušenosti z nasazení F5 ASM 35 - Snadno nasaditelný WAF se standardním nastavením pokrývající - Využití standardních hodnot - Spolehlivost signatur - Využití učícího se módu - Automatic Policy builder - Vytvoření pravidel bez závislosti na dodavateli aplikace Zákazník 1: vše bez komplikací Zákazník 2: Neznalost fungování aplikací na míru, Nekomunikativní dodavatelé
Ověření + SSO Možnosti nasazení F5 APM Publikace 1:1 Zákazník 1, 2 F5 logon screen Publikovaná aplikace + SSO Bezproblémové nasazení Podpora všech dostupných metod ověřování Možnost vynucení endpoint security (diskomfort) Plně přizpůsobený vzhled
Ověření Možnosti nasazení F5 APM Publikace Webtop portal Zákazník 1 Snadná publikace aplikací, VDI, RDP, file share, VPN F5 logon screen F5 Webtop portál Zákazník 2 Funkčnost závislá na čistotě kódu Problémy s některými frameworky (MS Silverlight) Většina problémů řešitelná pomocí irules - velká pracnost Problém s prokazováním zodpovědnosti SSO Poskytnutá aplikace + SSO
Zkušenosti z nasazení F5 APM 38 - Předpřipravené iapp šablony pro publikaci standardních aplikací - MS Sharepoint - MS Exchange - MS Lync - SAP - Citrix XenServer - Komunitní verze iapp šablon pro další aplikace Zákazník 1: vše bez komplikací Zákazník 2: Za 6 měsíců nasazeno cca 20% aplikací Změna strategie ne plošné nasazení Webtop Při aktualizaci aplikací požadavek na podporu publikace přes APM
2018 F5 Networks 40