Решения F5 в сфере безопасности

Решения F5 в сфере безопасностиОБЗОР РЕШЕНИЯ

СодержаниеF5 Synthesis 3

Программно определяемые службы приложений 4

Защита от DDoS-атак 5

Защита от интернет-мошенничества 6

Расширенное управление межсетевыми экранами 7

Управление безопасностью приложений 8

Служба прикладного экрана 9

Службы репутации IP-адресов 10

Управление политиками доступа 11

Службы защищенного веб-шлюза Secure Web Gateway 12

Безопасность системы DNS 13

Решение SSL Everywhere 14

Система предотвращения вторжений нового поколения 15

Распространение киберугроз, которые в последнее время становятся все более скрытными и непредсказуемыми, не только осложняет работу пользователей, но и подвергает опасности финансовую информацию и интеллектуальную собствен-ность. Особенно серьезные риски возникают при передаче приложений между устройством и центром обработки данных: под угрозой оказываются не только сами приложения, но и данные и работающие с ними пользователи. F5 обеспечи-вает защиту доступа к приложениям из любого места и защиту приложений на любых устройствах. Решения F5, основанные на гибкой инфраструктуре служб безопасности, помогают компаниям защитить конфиденциальные данные и интел-лектуальную собственность, сводя к минимуму время непродуктивных простоев приложений и обеспечивая максимальную эффективность работы пользователей.

2

Решения F5 в сфере безопасности

Решения для мира приложений.

SYNTHESIS: АРХИТЕКТУРНАЯ КОНЦЕПЦИЯ

В наше время организациям приходится иметь дело с неожиданными и никогда ранее не встречавшимися техническими сбоями. В этой ситуации роль приложений все время возрас-тает. Будучи ценным бизнес-активом, приложения нуждаются в службах, позволяющих удов-летворить потребности пользователей. Унифицированная инфраструктура служб, платфор-ма централизованного управления и широкий спектр программно определяемых служб компании F5 позволяют ИТ-подразделениям преобразовывать центры обработки данных, чтобы более эффективно решать задачи обслуживаемых ими организаций.

F5 Synthesis — это архитектурная концепция, разработанная для устранения преград, с кото-рыми сегодня сталкиваются организации при разработке и доставке приложений. Архитек-тура Synthesis объединяет высокопроизводительную инфраструктуру приложений, интел-лектуальную оркестрацию служб и упрощенные бизнес-модели, позволяя организациям выигрывать за счет увеличения масштабов как с точки зрения расходов, так и с операцион-ной точки зрения. F5 Synthesis охватывает все приложения, обеспечивая жизненно важные бизнес-преимущества в условиях серьезных технологических сдвигов.

Интегрированные решения F5 в области безопасности отличаются беспрецедентной интел-лектуальностью и масштабируемостью как при использовании на местах, так и в рамках облачных систем. Они помогают организациям обезопасить себя от угроз нулевого дня, успешно бороться с многоуровневыми интернет-атаками и защищать пользователей от мошенничества, фишинга, фарминга и вредоносных программ.

3

F5 Synthesis

Безопасность

Мобильность

ПроизводительностьИдентификация и доступ

Доступность


ПРОГРАММНО ОПРЕДЕЛЯЕМЫЕ СЛУЖБЫ ПРИЛОЖЕНИЙ F5

Программно определяемые службы приложений F5 (Software Defined Application Services — SDAS) представляют собой передовую модель доставки служб приложений. Службы SDAS опира-ются на новаторские модели масштабирования F5, программируемость и встроенное разде-ление плоскостей данных и управления, создавая уникальную инфраструктуру служб приложений, позволяющую распространить действие служб доставки приложений F5 на все приложения вне зависимости от их местонахождения.

Поскольку службы приложений F5 используют общую плоскость управления — платформу F5, — мы упростили процедуру развертывания и оптимизации служб доставки приложений. Гибкость служб SDAS позволяет организациям быстро развертывать службы приложенийв центре обработки данных и облачной вычислительной среде, сокращая временные и мате-риальные затраты, связанные с развертыванием новых приложений и архитектур.

4

Программно определяемые службы приложений

Оборудование ПО Облако

Службы приложений


ПРОБЛЕМА

DDoS-атаки становятся все более частыми и непредсказуемыми. Их задачей по-прежнему является нарушение работы служб, однако изощренность атак и действий злоумышленни-ков постоянно растет. Хотя спектр атак постоянно расширяется, специалисты компании F5 выяснили, что все атаки по-прежнему делятся на четыре типа: объемные, асимметричные, вычислительные и основанные на уязвимостях.

Для всех этих категорий разработаны механизмы защиты, и крупные компании научились развертывать их в определенных сочетаниях, обеспечивающих максимальный уровень безопасности. Работая с этими компаниями и занимаясь тонкой настройкой используемых ими компонентов, специалисты F5 разработали рекомендуемую к использованию архитек-туру защиты от DDoS-атак, позволяющую учитывать размеры центра обработки данных и отраслевые требования.

РЕШЕНИЕ

Решение DDoS Protection компании F5 защищает основные элементы приложения (сеть, DNS, SSL и HTTP) от распределенных атак типа «отказ в обслуживании». Используя встроенные функции интеллектуального управления трафиком и доставки приложений, решение F5 обеспечивает защиту и доступность инфраструктуры приложений и сети организации даже в самых сложных условиях.

F5 Silverline DDoS Protection представляет собой службу, реализованную на облачной платформе F5 Silverline. Эта служба обнаруживает объемные DDoS-атаки и блокирует их, не позволяя даже самым мощным из них добраться до сети организации. Кроме того, эксперты компании F5 в обла-сти безопасности готовы круглосуточно поддерживать работоспособность сети вашей компа-нии во время DDoS-атаки, используя всеобъемлющую комплексную защиту для уровней L3–L7.

Служба Silverline DDoS Protection дополняет размещаемые на площадке клиента решения F5, обеспечивая защиту организации от полного спектра современных атак. Это комплексное решение позволяет выявлять и блокировать среднемасштабные объемные атаки, атаки на SSL и приложения.

5

Четыре типа атак, одна общая проблема

Защита от DDoS-атак

Облачная платформа F5 Silverline Платформа VIPRION

Участник DDoS-атаки

Участник DDoS-атаки

Клиент

Партнер

ЗлоумышленникиСеть ботов

Анонимные запросы

Анонимные прокси-серверы

Сканер

Облачная фильтрация

СотрудникиМежсетевой экран нового поколения

Канал анализа угроз

Объемные атаки и массовый флуд, эксперты операционного

центра, атаки уровней L3–L7 с известными сигнатурами

Интернет-провайдер может обеспечивать элементарную

защиту от DDoS-атакАтаки на DNS:

DNS-усиление, поток запросов, атака по словарю, отравление DNS

Атаки на сеть:ICMP-флуд, UDP-флуд, SYN-флуд

Атаки на SSL:повторное подтверждение SSL, SSL-флуд

Атаки на HTTP:Slowloris, Slow POST,

рекурсивные запросы POST/GET

Пользователи применяют межсетевой экран нового

поколения для защиты исходящих соединений.

Может выполнять проверку

SSL в любом из слоев

Финансовые услуги

Электронная коммерция

Абонент

Защита от DDoS-атак LTM ASMLTMAFM GTM

Cлужбы межсетевого экрана+ службы DNS

+ простая балансировка нагрузки в слой 3

Службы прикладного экрана

+ обработка SSL

vCMP

Сетевой слой

BIG-IP Advanced Firewall Manager

BIG-IP Local Traffic Manager

BIG-IP Global Traffic Manager

BIG-IP Application Security Manager

Упрощенные бизнес-модели

+ репутация IP-адресовF5 Silverline DDoS Protection

AFM

LTM

GTM

ASM

GOOD BETTER BEST

Слой приложений

ВиртуальныйФизический


ПРОБЛЕМА

Обеспечение защиты организации и ее клиентов от постоянно растущего арсенала приемов интернет-мошенничества является обязательным требованием современного рынка. Финансо-вые организации являются владельцами самых привлекательных для мошенников и ценных интернет-активов — миллионов банковских счетов. Глобальная природа Интернета ведет к тому, что эти активы привлекают злоумышленников со всего мира.

Поэтому предприятиям банковской отрасли постоянно приходится иметь дело с интернет-мошен-ничеством. Для эффективной борьбы с ним компании, предлагающие финансовые услуги в Интер-нете, должны защищать свой бизнес, используя сочетание различных технологий безопасности.

РЕШЕНИЕ

Решение для защиты от интернет-мошенничества WebSafe было разработано компанией F5 специально для решения задач, стоящих перед отраслью интернет-банкинга. Оно защищает от полного спектра угроз, включая атаки типа man-in-the-browser (взлом браузера) и man-in-the-phone (взлом телефона), а также от новых угроз, помогая финансовым организа-циям защититься от потерь и репутационного ущерба.

WebSafe позволяет организациям резко сократить потери от мошенничества и сохранить самый важный бизнес-актив — доверие пользователей. Решение WebSafe обеспечивает как ширину, так и глубину охвата, необходимую компаниям для полной защиты от потери активов в результате мошенничества.

Интегрирующаяся с мобильными приложениями служба MobileSafe выявляет вредоносные программы и устройства со снятыми ограничениями производителя или оператора связи, защищает от атак типа man-in-the-middle (перехват канала связи), клавиатурных шпионов и мошеннических приложений, а также предотвращает получение злоумышленниками инфор-мации, которую они могли бы использовать в своих целях.

Кроме того, организации получают ценнейшую информацию из операционного центра безо-пасности F5, где команды исследователей и аналитиков занимаются обнаружением и исследо-ванием появляющихся глобальных атак, анализируют вредоносное ПО, предупреждают администраторов об угрозах и прекращают работу используемых для фишинга прокси-серверов.

6

Защита компаний и клиентов от интернет-мошенничества

Защита от интернет-мошенничества

Платформа BIG-IP

LTM WEBSAFE

+ ловушки для стандартного вредоносного ПО+ шифрование уровня приложений

+ продвинутая система обнаружения фишинга+ мониторинг транзакций в реальном времени

Интернет-клиенты

Счет

Сумма

Перевод средств

Операционный центр безопасности

BIG-IP Local Traffic Manager Упрощенные бизнес-модели

+ WebSafe

LTMGOOD BETTER BEST

Интернет-клиенты

☌

Интернет-клиенты☍

☎

Сценарии клиентовПодробные сведения о процессах см. на схемах сценариев.

☌ Выявление вредоносного ПО и защита от него☍ Защита от фишинга☎ Анализ транзакций

Атаки типа Man-in-the-Browser

Копирование страниц и фишинг

Автоматизированные транзакции

Межсетевой экран

Приложение

Защита от интернет-мошенничества


ПРОБЛЕМА

Межсетевые экраны выступают в большинстве организаций в качестве первой линии защиты веб-служб и служб приложений. Межсетевой экран был и остается основой, на которой стро-ятся традиционные архитектуры защиты сети. Однако возможности обычных межсетевых экранов в плане обнаружения и отражения современных атак довольно ограничены.

Разнонаправленные атаки, целью которых являются слой приложений и слой сети, приводят к сбоям в работе дорогостоящих межсетевых экранов с контролем состояния соединений. И число таких атак постоянно растет. Поэтому традиционные межсетевые экраны более не явля-ются достаточными для обнаружения атак и обеспечения бесперебойной работы компаний.

РЕШЕНИЕ

Advanced Firewall Manager (AFM) удовлетворяет потребность новых центров обработки данных в модели безопасности, интегрированной в современную сетевую архитектуру. Это решение объединяет средства защиты и понимание инфраструктурных потребностей прило-жения, обеспечивая ориентированную на приложения безопасность на уровне сети. Уникаль-ная модель, ориентированная на приложения, обеспечивает эффективность их развертыва-ния, упрощает реализацию политики контроля доступа и позволяет защитить серверы и инфраструктуру центров обработки данных даже от самых агрессивных DDoS-атак.

AFM является ядром решения Application Delivery Firewall (ADF), объединяющего в себе функции межсетевого экрана, защиты от DDoS-атак, управления трафиком, защиты приложений, управ-ления доступом и защиты DNS. Это решение расширяет возможности организаций в части обеспечения безопасности и избавляет от потребности в отдельных точечных решениях. Объе-диняя все эти важные функции центра обработки данных, ADF упрощает управление и уменьша-ет связанные с ним накладные расходы. Данное решение идеально подходит для обеспечения защиты расположенных в любом месте центров обработки данных с доступом из Интернета.

7

Обеспечение безопасности центра обработки данных, защита приложений и сети

Расширенное управление межсетевыми экранами

Одна платформа

Безопасность DNS

Управление трафиком

Сертифици-рованный

ICSA межсетевой

экран

Безопасность приложений

Контроль доступа

Защита от DDoS-атак

Проверка данных

внутри SSL


ПРОБЛЕМА

Постоянный рост трафика веб-приложений ведет к тому, что все большие объемы конфиден-циальных данных подвергаются опасностям, связанным с кражей, уязвимостями в системе безопасности и многоуровневыми атаками. Организации должны защищать свою репута-цию, обеспечивая конфиденциальность, доступность и высокую производительность крити-чески важных для их бизнеса приложений.

Администраторам и группам безопасности при этом может быть сложно справляться с боль-шим количеством атак и защитных мер. Еще более усложняет эту задачу информационная перегрузка и постоянный рост изощренности атак.

РЕШЕНИЕ

Application Security Manager (ASM) — это самый гибкий прикладной экран, защищающий веб-приложения в традиционной, виртуальной и частной облачной среде. ASM обеспечива-ет самую лучшую защиту, помогая обезопасить приложения от неизвестных уязвимостей и обеспечить выполнение важнейших нормативных требований. Все эти функции реализо-ваны в рамках платформы, объединяющей доставку приложений с межсетевым экраном центра обработки данных.

Для защиты приложений, от которых зависит работа компаний, в ASM используется основан-ная на политиках всеобъемлющая система безопасности веб-приложений, блокирующая атаки и масштабируемая для достижения необходимой производительности. ASM обеспечи-вает защиту всех приложений центра обработки данных от угроз, входящих в список десяти самых опасных пробелов в системе безопасности по версии организации OWASP, а также от атак нулевого дня.

ASM интегрируется с широким спектром средств поиска уязвимостей сторонних производи-телей, обеспечивая максимально тщательную оценку приложений и защиту от угроз. Это объединенное решение помогает организациям защитить все приложения и избежать расходов, связанных с устранением уязвимостей.

8

Защита от интернет-атак, обеспечение выполнения нормативных требований

Управление безопасностью приложений

Интернет Платформа BIG-IP

Данные

Серверы веб-приложений

HTTP/S-трафик

ASM

Устройства


ПРОБЛЕМА

При перемещении рабочих данных приложений в облачные системы организации сталкива-ются с рядом проблем, связанных с защитой корпоративных данных. Атаки на традиционные и облачные системы становятся все более изощренными, и работающие в компаниях специа-листы по безопасности часто не успевают отслеживать информацию о новейших атаках и защитных мерах и не могут обеспечить синхронизацию политик и мер по выполнению нормативных требований в разных средах. Отсутствие синхронизации может привести к появ-лению уязвимостей в системе безопасности, повышению расходов и недостаточно быстрому реагированию на новые угрозы и проблемы с соблюдением нормативных требований.

Организациям приходится выбирать между приемом на работу команды специалистов по ИТ-безопасности (что потенциально чревато ростом расходов и увеличением времени развертывания политик) и делегированием сложных задач по управлению политиками межсете-вого экрана и обеспечению соответствия нормативным требованиям внешним службам для повышения эффективности.

РЕШЕНИЕ

Прикладной экран Silverline Web Application Firewall (WAF) — это облачная служба с кругло-суточной поддержкой со стороны специалистов в области безопасности, помогающая орга-низациям защищать веб-приложения и данные, а также обеспечивать соответствие отрасле-вым стандартам безопасности, таким как PCI DSS.

В основе Silverline WAF лежит решение BIG-IP Application Security Manager (ASM), однако данная служба реализована на платформе облачных служб приложений F5 Silverline, и развер-тывание, настройка и управление полностью осуществляются высококлассными специалиста-ми нашего операционного центра безопасности. Такой подход позволяет избавиться от слож-ностей, связанных с управлением политиками прикладного экрана, ускорить развертывание новых политик и высвободить внутренние ИТ-ресурсы и средства для других проектов.

Облачные службы приложений Silverline поддерживают развертывание по запросу, в прозрач-ном режиме обеспечивая масштабирование, защиту и высокий уровень производительности для приложений в традиционных и облачных средах. Объединение служб приложений F5, развертываемых на месте, со службами Silverline, позволяет организациям сократить время реагирования и добиться беспрецедентного уровня осведомленности.

9

Услуги экспертов по защите веб-приложений

Служба прикладного экрана

ASM

ASM

BIG-IP Application Security Manager

Silverline Web Application Firewall

Виртуальные устройства

Злоумышленник

Приложения ПО как услуга

Средства оценки уязвимостей сторонних производителей

Сервер стороннего производителя F5 VIPRION

Платформа F5 Silverline

Защита уровня L7:защита от атак с использованием геопозиционирования, защита от DDoS-атак,

SQL-инъекций, атак из десятки OWASP, угроз нулевого дня, AJAX-приложений, данных JSON

Пользователь

Служба прикладного экрана, соответ-ствующая стандарту PCI DSS

Прикладной экран, соответствующий стандарту PCI DSS

Облачный центр обработки данных

Локальный центр обработки данных

Облачная система

Прикладной экран

WAF

Средства оценки уязвимостей сторонних производителей

Приложения

VE

VE


ПРОБЛЕМА

Современным организациям приходится иметь дело с разнообразными атаками с быстро меняющихся IP-адресов. Создаваемый сетями ботов входящий и исходящий трафик (напри-мер, при DDoS-атаках или действиях вредоносных программ) может проникать через защит-ные эшелоны и загружать вычислительные мощности.

РЕШЕНИЕ

Наличие возможности выявлять и блокировать злоумышленников, прежде чем они добе-рутся до центра обработки данных, является важнейшим преимуществом схем защиты сети. Блокируя вредоносную активность на самом начальном этапе, службы репутации IP-адресов компании F5 значительно снижают уровень риска и повышают эффективность центра обра-ботки данных, избавляя от необходимости тратить ресурсы на обработку вредного трафика.

Службы IP Intelligence включают внешние интеллектуальные службы, повышая качество автоматической доставки приложений за счет более точной оценки репутации IP-адресов и укрепления защиты с учетом контекста. Выявляя IP-адреса и категории безопасности, связанные с вредоносной деятельностью, службы репутации IP-адресов позволяют исполь-зовать в рамках платформы F5 динамические списки опасных IP-адресов, обеспечивая учет контекста при принятии решений в рамках политик.

10

Защита от вредоносного трафикаСлужбы фильтрацииIP-адресовпо репутации

Злоумышленники


Фишинг

Веб-приложения-ловушки

Фермы прокси-серверов

Уязвимости-ловушки

Анонимный пользователь

Сканер

Платформа BIG-IPОбновление репутации

IP-адресов

Зараженный ноутбук

Служба репутации IP-адресов выявляет источники с плохой репутацией

Службы репутации IP-адресов выявляют соединения с опасными IP-адресами

BIG-IP Local Traffic ManagerLTM

LTM

Добросовестные пользователи

Сеть датчиков

Корпоративные пользователи


ПРОБЛЕМА

Ориентированные на приложения службы доступа и идентификации являются критически важным элементом обеспечения безопасности при организации доступа пользователей к приложениям в любое время и из любого места.

Многие организации понимают преимущества использования облачных служб в качестве альтерна-тивы развертыванию и обслуживанию решений на местах. Однако эти преимущества часто достига-ются ценой утраты сиюминутного контроля доступа и надежной реализации политик безопасности.

Как и в случае с управляемыми организацией службами, поставщики ПО как услуги (SaaS) используют собственные системы управления идентификацией и доступом для хранения имен пользователей и паролей и реализации контроля доступа. Это приводит к разрозненности систем управления идентификацией и доступом: компаниям приходится иметь дело с несколь-кими такими системами, не синхронизированными и не интегрированными друг с другом.

РЕШЕНИЕ

Используя архитектуру управления идентификацией и доступом, основанную на полной информации о пользователях, сети и контексте, F5 обеспечивает единый вход и федерацию доступа к приложениям в масштабах всего центра обработки данных и в облачной системе, одновременно поддерживая целостность данных за счет тщательной проверки конечных устройств и использования служб защиты от вредоносного ПО.

Решение для федерации доступа устраняет недостатки концепции «ПО как услуга», ликвиди-руя разрыв между поддерживаемыми компанией системами управления идентификацией и доступом и внешними системами. Таким образом, везде обеспечивается одинаковый уровень защиты. Архитектура федерации доступа расширяет возможности, предлагаемые системой «ПО как услуга» в плане обеспечения безопасности, путем устранения разрознен-ности и упрощения идентификации, добавления многофакторной аутентификации и обеспе-чения учета местоположения и используемого устройства при реализации политик доступа.

Access Policy Manager (APM) защищает открытые для внешнего мира приложения, обеспечивая учет контекста и применение политик при организации доступа пользователей и консолидируя инфраструктуру доступа. APM предоставляет возможность защищенного мобильного и удален-ного доступа к корпоративным ресурсам (Microsoft Exchange, SharePoint, инфраструктура виртуальных рабочих столов и пр.) через любые сети и практически с любых устройств.

11

Контроль над идентификацией и управлением доступом

Управление политиками доступа


Пользо-ватели

Корпоративные пользователи

BIG-IP Local Traffic ManagerBIG-IP Access Policy Manager


Службы каталогов

APMLTM

APM

LTM

SaaS-операторы

Корпоративные приложения

Локальная инфраструктура

Службы приложений +Access Policy Manager


Office 365

Salesforce

GoogleApps




ПРОБЛЕМА

В настоящее время необходимость доступа в Интернет для пользователей не подлежит обсужде-нию. Однако открытие доступа к глобальной сети для всех (сотрудников, посетителей и пр.) чревато серьезными проблемами и злоупотреблениями.

При отсутствии четких границ между использованием Интернета для профессиональных и личных целей неконтролируемый веб-серфинг ведет к возникновению своеобразных проблем, подвергая сеть компании серьезному риску. Отсутствие защиты исходящих соедине-ний может обойтись компании очень дорого: это может быть как прямой финансовый ущерб в результате раскрытия данных или возникновения судебной ответственности, так и снижение производительности сотрудников из-за ненадлежашего использования Интернета.

РЕШЕНИЕ

В решении F5 для защиты корпоративного доступа в Интернет продвинутые функции Secure Web Gateway (SWG), такие как фильтрация URL-адресов и защита от вредоносного ПО, объе-диняются с одной из лучших систем управления идентификацией и доступом. В данном реше-нии используются средства аутентификации, авторизации и учета (AAA), проверки конечных устройств и продвинутого детального управления доступом, помогающие повысить произ-водительность труда, обеспечить соответствие нормативным требованиям, законам и прави-лам компании, а также защитить организацию от изощренных вредоносных программ.

Службы F5 Secure Web Gateway обеспечивают не имеющий аналогов уровень информирова-ния и контроля над входящим и исходящим интернет-трафиком. В сочетании с Access Policy Manager (APM) службы SWG позволяют организациям предпринимать действия, необходи-мые для добросовестного использования Интернета сотрудниками, а также защищать сеть и приложения от распространяемых через Интернет вредоносных программ и поддержи-вать высокий уровень производительности сотрудников.

Благодаря партнерству с компанией Websense решение F5 SWG позволяет решать пробле-мы, связанные с вредоносным ПО, действиями злоумышленников и изощренными угрозами, с которыми постоянно приходится иметь дело владельцам сетей.

12

Обеспечение безопасного корпоративного доступа

Службы Secure Web Gateway

Межсетевой экран нового поколения и/

или проверка системы

предотвращения вторжений

Обнаружение вредоносного ПОРаспределение URL-адресов по категориям


Salesforce.com

Сервер обновлений

Сервер B2B

Веб-APl

Электронная коммерция

FacebookИгры на Facebook

Вирусные видеороликиYoutube

Вредоносный сервер

Вредоносное ПО

DMZ

Сценарии клиентов☌ Защита работы в Интернете с учетом контактов☍ Средства управления политиками

добросовестного использования☎ Средства управления полосой пропускания

☍

Сайты, нарушающие политики

KerberosNTLMБазовая авторизация407



ActiveDirectory

Корпоративная сеть

☌


SWG APM

SWG

APM

Политика доступа+ защита при работе в Интернете

+ база данных категорий+ отчеты

Secure WebGateway

Удаленные пользователи

Облачная система информирования

об угрозах

InternetИнтернет

ПО как услуга

☎

Службы Secure Web Gateway

BIG-IP Access Policy Manager


+ службы Secure Web Gateway

GOOD BETTER BEST


ПРОБЛЕМА

Службы DNS являются становым хребтом Интернета. Но это также и одна из наиболее уязви-мых точек любой корпоративной сети. Сбои DNS являются причиной 41 процента простоев веб-ресурсов, поэтому поддержание их доступности — важнейшая задача любой компании. Комплексные решения F5, повышающие скорость, доступность, масштабируемость и безо-пасность DNS-инфраструктуры, помогают организациям справляться с быстрым ростом масштабов DNS. Кроме того, наше решение дает возможность консолидации служб DNS с уменьшением количества устройств, делая их защиту и управление ими более простыми по сравнению с традиционными системами DNS.

РЕШЕНИЕ

Решение F5 Intelligent DNS Scale обеспечивает клиентам и сотрудникам возможность досту-па к критически важным веб-приложениям и базам данным в любой момент, когда им это понадобится. Используя высокопроизводительные службы DNS, Global Traffic Manager (GTM) масштабирует и защищает инфраструктуру DNS в периоды с пиковым количеством запросов и DDoS-атак. Организация получает законченное работающее в режиме реального времени DNSSEC-решение, защищающее от атак, направленных на перехват контроля. GTM снижает угрозу со стороны вредоносных программ и вирусов, блокируя доступ к IP-доменам, находя-щимся под контролем злоумышленников.

В GTM поддерживается возможность интеграции и использования аппаратных модулей безо-пасности (HSM) сторонних производителей, используемых для реализации, централизованно-го управления и безопасной обработки ключей DNSSEC. Это дает возможность снижения эксплуатационных расходов, консолидации систем и обеспечения соответствия стандарту FIPS. Кроме того, для обеспечения высокой скорости реагирования на GTM разгружаются создающие высокую нагрузку на ЦПУ вычисления, связанные с проверкой DNSSEC. Решение F5 обеспечивает подписанные ответы на запросы в режиме реального времени и защиту от атак при помощи служб межсетевого экрана DNS, а также нейтрализует изощренные угрозы, блокируя доступ к контролируемым злоумышленниками доменам.13

Масштабирование и защита инфраструктуры DNS

Безопасность системы DNS

Амортизация и миграция атак на DNS

Интеллектуальная доставкас учетом бизнес-

логики

Авторитативная передача зоны

Репутация IP-адресов

Распределенныеслужбы DNS

Контекст, основанный на географическом положении

BIG-IP Global Traffic Manager


GTM

LTM


GOOD BETTER BEST

DDoS-атаки на DNS

LDNS

Добросовестныепосетители

ПервичныйDNS-сервер

Отравление кэша

Информирование об угрозах


Интернет-бот

ПО как услуга

Инфраструктура как услуга

Платформа как услуга

Поставщики облачных услуг

Слой 1: DMZ


GTM

Авторитативная DNS+ безопасность DNS

Слой 2: Доставка приложений


LTM

Доступность и состояние приложений





ПРОБЛЕМА

POODLE, Heartbleed и другие подобные атаки заставили с новой силой осознать важность использования SSL. На коммерческом уровне SSL дает компаниям возможность безопасно взаимодействовать с клиентами и партнерами. Все большее число организаций переводят на использование SSL не только свои бизнес-службы, но и все прочие коммуникации, вклю-чая исходящие.

Сегодня SSL часто является единственной преградой между шпионом и его жертвой, вором и продавцом. Связанные с SSL ставки очень выросли. Перед организациями встает задача укре-пления безопасности для защиты SSL — последней линии защиты коммуникаций и коммерции.

РЕШЕНИЕ

SSL является базовым элементом платформы доставки приложений F5. F5 предоставляет важнейшие SSL-службы, необходимые организациям для более надежной защиты пользова-телей. При этом используются масштабируемые системы, поддерживающие общепринятые отраслевые методы шифрования, учитывающие передовой опыт и содержащие средства криминалистического анализа.

Обрабатывая весь трафик в стратегической точке контроля сети, компании могут пользо-ваться преимуществами масштабируемой и гибкой эталонной архитектуры SSL компании F5 для преобразования и защиты приложений с использованием SSL. Службы SSL компании F5 сочетают в себе возможность ограждения данных компании от любопытных глаз и укрепле-ния безопасности с одновременным упрощением управления зашифрованной сетью.

14

Защита SSL,последней линии защиты

Решение SSL Everywhere

BIG-IP Local Traffic Manager Упрощенные бизнес-моделиLTMGOOD BETTER BEST

Сценарии клиентов☌ Защита данных☍ Получение информации и контроль☎ Управление ключами



HSM

Интернет


Удаленныепользователи

Веб-серверы/серверы

приложений


LTM

Обработка и проверка SSL+ гибкость шифрования + преобразование SSL

+ интеллектуальное управление трафиком+ повторное шифрование SSL


LTM

Разгрузка шифрования SSLОбработка и проверка SSL

+ повторное шифрование SSL + преобразование SSL

☎

☍ ☍ ☍

☌

☎

DMZ

Система предотвращения

вторжений нового поколения

Пассивный монитор, система обнаружения вторжений, решения для повышения удобства

пользователейПрикладной экран


ПРОБЛЕМА

Рост числа атак превратил внедрение системы предотвращения вторжений (IPS) в главный приоритет для организаций любого размера. Система предотвращения вторжений выявля-ет общеизвестные уязвимости, а затем нейтрализует их, отбрасывая вредоносные пакеты или блокируя трафик с соответствующего IP-адреса. Однако поскольку у систем предотвра-щения вторжений не хватает вычислительных мощностей (им приходится обрабатывать огромные объемы трафика, включая зашифрованный), эта технология часто используется в пассивном режиме (только обнаружение).

РЕШЕНИЕ

Для повышения эффективности инфраструктуры системы предотвращения вторжений предприятия могут разгрузить обработку SSL и развернуть высокопроизводительный контроллер доставки приложений (ADC), например систему F5, для интеллектуального перенаправления волн входящего трафика. Кроме того, у администраторов появляется возможность добавлять и убирать ресурсы при выполнении обслуживания пулов датчиков системы предотвращения вторжений, в то время как контроллер доставки приложений в прозрачном режиме перенаправляет трафик через имеющиеся устройства. Такое повыше-ние эффективности позволяет системе предотвращения вторжений сосредоточиться на нейтрализации угроз, чтобы ни одно приложение не осталось без защиты.

Интеллектуальное управление трафиком и разгрузка SSL позволяют платформе F5 работать в унисон с системой предотвращения вторжений, позволяя инфраструктуре выявлять и нейтрализовывать угрозы сети.

15

Развертывание инфраструктуры системы предотвращения вторжений нового поколения

Система предотвращения вторжений нового поколения


Система BIG-IP

Система предотвращения

вторженийОбнаружение угроз

по сигнатурам

Центр обработки данных поставщика услуг управляемой

безопасности

Центр обработки данных

предприятия

Центр обработки данных оператора связи/поставщика

услуг


Добросовестные пользователи


Управляющие скрипты iRuleЗащитные скрипты iRule

API восстановления

Система BIG-IP

LTMLTM

LTM

(Де)шифрование SSL+ балансировка нагрузки

(Де)шифрование SSL+ балансировка нагрузки

123

Не являющиеся доверенными

сети

Экстрасети партнеров,

Интернет

Защищенные сети/

ресурсы

IPS нового поколения

Контроллер доставки приложений

Контроллер доставки приложений

GOOD BETTER BEST


Компания F5 (NASDAQ: FFIV) создает решения для мира приложений. F5 помогает организациям в прозрачном режиме масштабировать системы, работающие в облачной среде, центре обработки данных или программно определяемой сети, успешно достав-ляя приложения любым пользователям, в любое место и в любое время. Решения компа-нии F5 расширяют возможности ИТ-систем за счет использования открытой расширяе-мой платформы и развитой партнерской инфраструктуры, в которую входят ведущие поставщики технологий и решения для оркестрации центров обработки данных. Подоб-ный подход позволяет клиентам выбирать модель инфраструктуры, которая лучше всего удовлетворяет их потребности в долгосрочной перспективе. Крупнейшие в мире компании, поставщики услуг, государственные учреждения и потребительские бренды используют решения F5, чтобы не отставать от последних тенденций в сфере облачных систем, безопасности и мобильности.

ПАРТНЕРЫКомпания F5 сотрудничает с ведущими компаниями (Cisco, HP, IBM, Microsoft, Oracle, SAP, VMware и др.), разрабатывая решения, которые улучшают управляемость, укре-пляют безопасность и обеспечивают более быстрое и успешное развертывание приложений. Тесное сотрудничество с этими компаниями позволяет нашим общим заказчикам пользоваться всеми преимуществами интеграции и взаимодействия наших продуктов.

Дополнительные сведения см. на веб-сайте f5.com.

Авторское право © 2015 F5 Networks, Inc. Все права защищены. F5, F5 Networks и логотип F5 являются товарными знаками F5 Networks, Inc. в США и ряде других стран. Список других товарных знаков компании F5 см. на сайте f5.com. Названия любых других продуктов, служб или компаний, упомянутые в настоящем документе, могут являться товарными знаками их владельцев; их упоминание не является прямой или косвенной рекомендацией со стороны компании F5. 0515

F5 Networks, Inc.

Россия, Украина, Белоруссия, Казахстан и страны СНГ www.f5.com [email protected]

О компании F5КРАТКАЯ ИНФОРМАЦИЯ

Центральный офис: Сиэтл, штат Вашингтон

Год основания: 1996

Доход в 2014 финансовом году: 1,73 млрд долларов

Сотрудники: более 4000

Деятельность:71 офис в 32 странах

КЛИЕНТЫ

Решения F5 используются:В 48 компаниях из списка Fortune 50 Во всех 15 департаментах кабинета министров США

В 10 из 10 крупнейших международных телекоммуникационных компаниях

В 27 из 30 крупнейших коммерческих банков США


Technology

Решения F5 в сфере безопасности