Wykrycie subtelnej luki bezpieczeństwa aplikacji w setkach linii jej kodu jest trudne. Na tyle trudne, że nierzadko dopiero poważny wyłom w bezpieczeństwie aplikacji jest dla jej twórców sygnałem do działań naprawczych. Skąd wziąć czas potrzebny na wprowadzenie korekty, gdy aplikacja cały czas musi normalnie funkcjonować?
Zapewni go Barracuda Web Application Firewall (WAF) – rozwiązanie, które chroniąc tysiące aplikacji webowych od roku 2008 zablokowało ponad 11 miliardów ataków. WAF jest idealnym rozwiązaniem dla organizacji szukających ochrony swoich serwerów aplikacyjnych. Dzięki rozwiązaniom Barracuda WAF dostępnym w wersjach sprzętowej i wirtualnej administrator automatycznie zapewnia firmowym aplikacjom najwyższy poziom ochrony.
Stała ochrona przed ewoluującymi zagrożeniami
Barracuda WAF to pełna ochrona przed utratą firmowych danych, atakami DDoS warstwy aplikacyjnej oraz już znanymi, a także zupełnie nowymi atakami na warstwę aplikacyjną. Definicje zagrożeń są automatycznie aktualizowane i dostarczane jednostkom w środowiskach produkcyjnych zapewniając najwyższy poziom ochrony ich klientom. W trakcie gdy powstają nowe zagrożenia, Barracuda WAF zyskuje nowe możliwości ochrony.
Selektywne zarządzanie dostępem do aplikacji
Barracuda WAF to szerokie możliwości autoryzacji i kontroli dostępu do wrażliwych aplikacji oraz ich danych. Zintegrowana kontrola tożsamości wstępnie autoryzuje użytkownika jeszcze przed dopuszczeniem go do krytycznych aplikacji. Znika problem kontroli dostępu do wielu różnych aplikacji, bo dzięki Barracuda WAF można ją skupić w jednym miejscu, a szczegółowe audyty logowania dają wgląd w aktywność użytkowników wszystkich chronionych aplikacji.
Proste zarządzanie
Barracuda WAF został zaprojektowany z myślą o szybkim wdrożeniu rozwiązania w zastanym środowisku aplikacji i jego szybkim osłonięciu pakietem wydajnych narzędzi bezpieczeństwa. Do dyspozycji administratora są szczegółowe logi, alerty, raportowanie i mechanizm wczesnego wykrywania luk. Rozwiązanie może także zostać ustawione w klaster HA zapewniając płynne przejście na drugie urządzenie w przypadku awarii pierwszego.
Skalowalne bezpieczeństwo publicznej i prywatnej chmury
Możliwości obliczeniowe chmury to dla wielu firm korzyści ekonomiczne i technologiczne. Aby w pełni korzystać ze wszystkich zalet chmury, musi ona spełniać podstawowy warunek obowiązujący fizyczne instalacje IT – musi być po prostu bezpieczna. Barracuda WAF można z łatwością podłączyć do prywatnej chmury oraz chmurowych platform firm trzecich jak Microsoft Azure czy Amazon Web Services.
FUNKCJE:
Ochrona przed atakami i DDoS
Barracuda Web Application Firewall kompleksowo chroni aplikacje biznesowe m.in. przed zautomatyzowanymi atakami z listy OWASP TOP 10, automatycznie wykrywając i blokując takie próby naruszenia bezpieczeństwa aplikacji m.in.: SQL Injection i Cross-Site Scripting (XSS). Administrator może zdefiniować własne odpowiedzi na wybrane ataki np. kierując je w inne miejsce, hamując, blokując całkowicie lub wykonując inne czynności.
Dzięki użyciu heurystycznego zbierania fingerprintów i oceny reputacji IP, zaawansowana ochrona przed DDoS ułatwia odróżnienie realnych użytkowników od botnetów, pozwalając m.in. na blokowanie i hamowanie podejrzanego ruchu. Unikalną technologią zastosowaną w Barracuda WAF jest weryfikacja reputacji IP łącząca ogląd sytuacji w czasie rzeczywistym z danymi historycznymi. Umożliwia to skuteczną ochronę przed DDoS za pomocą szerokiego wachlarza strategii.
Profilowanie aplikacji
Profilowanie aplikacji umożliwia budowanie pozytywnych profili bezpieczeństwa swoich aplikacji dzięki próbkowaniu (sampling) ruchu sieciowego z zaufanych hostów. Taki tryb uczenia pozwala na bezpieczne profilowanie i daje najwyższy poziom bezpieczeństwa wraz z możliwością szybkich korekt i edycji wyjątków.
Osłona serwera
Pierwszym krokiem wielu ataków wymierzonych w aplikacje jest ich sondowanie pod kątem środowiska działania tj. serwerów, baz danych i systemów operacyjnych, z którymi pracuje. Dzięki funkcji osłony serwera (CLOAKING) Barracuda WAF ukrywa banery serwerów, powiadomienia błędów, nagłówki http, kody błędów zwracane przez serwer, pozwala na blokowanie informacji z błędami debugowania, oraz ukrywa adresy IP serwerów stojących za urządzeniem, co uniemożliwia atakującemu wstępne rozpoznanie. Bez znajomości technicznych podstaw aplikacji znacznie trudniej jest przeprowadzać ataki wymierzone w konkretne podatności, dzięki czemu Barracuda WAF redukuje ryzyko wyłomu w bezpieczeństwie aplikacji.
Firewall XML
Aplikacje oparte na XML mogą być chronione funkcją zapory XML chroniącą aplikacje przed atakami typu: schema poisoning, WSDL poisoning, highly-nested elements, recursive parsing i innymi atakami z wykorzystaniem XML. Firewall chroni komunikację między klientem i aplikacją oraz między aplikacjami różnych systemów zamykając często pomijany tor ataku.
Ochrona przed utratą danych
Instalowane jako reverse-proxy rozwiązanie Barracuda Web Firewall wykonuje inspekcję całego ruchu przychodzącego pod kątem ataków i ruchu wychodzącego pod kątem wrażliwych danych. Treści wrażliwe, takie jak np. numery kart kredytowych i inne wzory identyfikowane przez Barracuda WAF są albo blokowane, albo maskowane bez konieczności interwencji administratora. Administrator może stworzyć też własne szablony blokowanych wyrażeń. Wszystkie tego typu informacje trafiają do logów, dzięki czemu administratorzy mogą łatwo wykryć luki w zabezpieczeniach.
Standardy bezpieczeństwa
Barracuda WAF został zaprojektowany by dostarczać szybkiej i wydajnej pomocy administratorom wspierając najważniejsze, ale i specyficzne dla pewnych branż standardy bezpieczeństwa takie jak: PCI-DSS, HIPAA, FISMA czy rekomendacje KNF. Rozwiązanie jest w pełni zgodne z rozdziałem 6.6 PCI-DSS i umożliwia generowanie raportów zgodnych z standardami PCI. Mechanizmy bezpiecznej identyfikacji, zarządzania dostępem i zabezpieczenia przed wyciekiem danych (DLP) zapewniają bezpieczeństwo wrażliwych danych. Certyfikat FIPS na poziomie 140-2 HSM gwarantuje aplikacjom najwyższe standardy kryptograficzne, a samo rozwiązanie posiada certyfikacje zewnętrznych podmiotów testujących jak ICSA Labs.
Autoryzacja LDAP & RADIUS
Barracuda Web Application Firewall w pełni integruje się z Active Directory oraz innymi usługami autoryzacji kompatybilnymi z RADIUS i LDAP. Kontrola dostępu pozwala administratorom dokładnie określać, którzy użytkownicy, jakie grupy i na jakich warunkach mogą korzystać z określonych zasobów.
Dwuskładnikowa autoryzacja
Barracuda WAF wspiera dwuskładnikowe technologie autoryzacji takie jak jak certyfikaty klientów, kody SMS i tokeny sprzętowe np. RSA SecurID.
Reputacja IP klienta i kontrola dostępu
Wykorzystując reputację adresu źródłowego klienta, administrator Barracuda WAF ma pełną kontrolę dostępu do zasobów webowych. Rozwiązanie może kontrolować dostęp wedle parametru GeoIP umożliwiając dostęp tylko użytkownikom wybranych regionów świata. Jest także zintegrowane z bazą Barracuda Reputational Database, dzięki czemu identyfikuje podejrzane adresy IP, boty, sieci TOR i inne anonimowe proxy wykorzystywane do ukrycia tożsamości i lokacji atakującego. Gdy adres IP zostanie zidentyfikowany jako ryzykowny można go zablokować, a przychodzący z niego ruch zautoryzować za pomocą kodów CAPTCHA.
Wbudowane szablony bezpieczeństwa
Wbudowane szablony bezpieczeństwa interfejsu webowego ułatwiają szybkie wdrożenie ochrony bez studiowania dokumentacji rozwiązania i czasochłonnej konfiguracji. Szablony dla popularnych aplikacji jak Exchange, SharePoint, Oracle Financials, PHP i innych są dostępne zaraz po uruchomieniu Barracuda WAF.
Skaner podatności
Firmy bezpieczeństwa IT często używają skanerów podatności szukając słabych punktów swoich aplikacji. Barracuda WAF integruje się z popularnymi skanerami podatności takimi jak IBM AppScan i Cenzic Hailstorm automatycznie wzmacniając szablon bezpieczeństwa działający dla danej aplikacji. Po wykryciu podatności zadany szablon optymalizuje się automatycznie bez konieczności żadnych działań administratora.
Logowanie i raportowanie
Barracuda WAF oferuje kompletny zestaw logów zapory webowej, dostępu do aplikacji, audytu i systemu. Wszystkie logi można wyeksportować do systemów SIEM firm trzecich lub narzędzi zarządzania logami w celu ich głębszej analizy. Barracuda WAF po wdrożeniu automatycznie integruje się z HP ArcSight, RSA Envision, Splunk i innymi narzędziami SIEM dostarczając błyskawicznego wglądu w bezpieczeństwo aplikacji.
Automatyczne aktualizacje bezpieczeństwa
Rosnąca skuteczność Barracuda WAF bazuje na sieci ponad 150 000 sensorów bezpieczeństwa działających na całym świecie. Gromadząc na bieżąco informacje o nowych lukach bezpieczeństwa i zagrożeniach sensory transmitują swoje dane do Barracuda Labs, tworzącego w oparciu o napływające dane najnowsze definicje zagrożeń. Nowe sygnatury są automatycznie rozsyłane w formie aktualizacji wszystkim działającym jednostkom Barracudy gwarantując kluczowym aplikacjom najwyższy poziom ochrony. Takie podejście znakomicie redukuje czas pomiędzy wykryciem luki i jej załataniem.
Cloud Edition dla Microsoft Azure i Amazon Web Services
Migrując dane, aplikacje i procesy do chmury administratorzy potrzebują bezpiecznego zarządzania danymi. Wiele firm funkcjonuje wedle dyrektyw prywatności i bezpieczeństwa własnej branży jak np. HIPAA, SOX, PCI i innych. Dzięki funkcji ochrony przed utratą danych Barracuda WAF, administrator może z łatwością wdrażać bezpieczne i pewne usługi w chmurach Microsoft Azure i Amazon Web Services spełniając równocześnie wszystkie wymogi bezpieczeństwa.
Klastrowanie
Rozwiązania Barracuda WAF mogą być klastrowane w trybie active / passive lub active / active umożliwiając aplikacji nieprzerwaną pracę w przypadku awarii. Wszystkie ustawienia bezpieczeństwa są automatycznie synchronizowane między klastrami gwarantując pełne bezpieczeństwo i zgodność w przypadku przełączenia z jednego urządzenia na drugie.
Aplikacyjny load balancing i monitoring
Wbudowany load balancer umożliwia Barracuda WAF kierowanie ruchu między dostępne zasoby serwerowe, odciążając macierzysty serwer aplikacji i nie dopuszczając do opóźnień czy przestojów w jej działaniu. Monitory aplikacyjne Barracuda WAF mogą wykrywać problemy serwera i usuwać je automatycznie rozprowadzając ruch pomiędzy pozostałe serwery.
Zarządzanie i konfiguracja:
Konfiguracja i administracja regułami
Konfiguracja Barracuda Web Application Firewall wykonywana jest za pośrednictwem bezpiecznego interfejsu opartego na przeglądarce www, który posiada kompleksowy system pomocy online. Wstępne definiowanie aplikacji wykonywane jest po prostu przez kompleksowe, predefiniowane reguły bezpieczeństwa, które pozwalają administratorowi na określenie również bardziej dokładnych zasad. Takie funkcje jak automatyczne tworzenie reguł z wpisów logów, pozwalają administratorom na łatwe utrzymywanie reguł bezpieczeństwa nawet w razie zmiany aplikacji.
Raportowanie w STANDARDZIE!
Narzędzia do administrowania rozwiązaniem Barracuda Web Application Firewall zawierają raportowanie statystyk, które pozwala Ci wizualizować zarówno ogólny poziom ruchu sieciowego, jak również poziomy ruchu filtrowanego z powodów ustalonych reguł lub bezpieczeństwa.
Strona podstawowego statusu Barracuda Web Application Firewall zapewnia szybką migawkę statystyk dotyczących powszechnych ataków, statusu subskrypcji, statystyk wydajności, jak również godzinnych i dziennych ataków oraz użycia przesyłu danych.
Administracja oparta na rolach
Zadania administracyjne mogą być delegowane dzięki możliwościach administracji opartej na rolach zawartych w Barracuda Web Application Firewall. Każdy administrator może otrzymać konto logowania i może mieć przypisaną dokładną rolę, która limituje dostęp do komponentów systemu dzięki przypisywaniu im niezbędnych przywilejów związanych z ich stanowiskiem i wykonywanymi funkcjami.
Loginy administratorów mogą być uwierzytelniane i sprawdzane z lokalną bazą danych lub z zewnętrzną bazą LDAP. Wszystkie działania podejmowane przez administratorów są zapisywane na potrzeby audytu.
Standardowa konfiguracja - Route-path
Urządzenie Barracuda Web Application Firewall zostało zaprojektowane tak, by z łatwością wpasowywać się w dowolne, istniejące środowisko centrum danych oraz natychmiastowo zabezpieczać i przyspieszać nowe, a także istniejące aplikacje sieciowe.
Route-path zapewnia najwyższy stopień ochrony dla infrastruktury aplikacji sieciowych dzięki działaniu jako Full Reverse Proxy dla całego ruchu aplikacji sieciowych.
Full-Reverse Proxy to uznana praktyka, która z natury jest bardziej bezpieczna, niż instalacja w trybie bridge. Faktem jest, że 86% wszystkich obecnych klientów Barracuda Web Application Firewall instaluje to rozwiązanie w trybie Proxy.
Bridge-path
Bridge-path, jest rekomendowanym trybem implementacji dla większości klientów, którzy posiadają istniejący ruch aplikacji sieciowych. Pozwala na prostą i szybką instalację, bez potrzeby wprowadzania zmian w serwerach sieciowych lub urządzeniach sieciowych. Most jest transparentny, więc ruch sieciowy użytkowników nie jest zakłócany.
One-Armed Proxy
Instalacja rozwiązania Barracuda Web Application Firewall w konfiguracji One-Armed Proxy wymaga, aby jednostka została podłączona tylko przez switch, przy użyciu portu WAN. Ta konfiguracja tworzy dodatkową ścieżkę dostępu transferu do serwera, bez zakłócania naturalnego przepływu informacji w sieci. Tylko ruch, który musi być monitorowany lub zabezpieczony, jest kierowany przez Barracuda Web Application Firewall. Sposób instalacji One-Armed Proxy jest używany we wczesnych fazach, gdy administratorzy chcą sprawdzić urządzenie bez konieczności wprowadzania zmian w ustawieniach sieciowych. Innym scenariuszem wykorzystującym instalację typu One-Armed Proxy jest wykorzystanie funkcji równoważenia obciążenia rozwiązania dla ruchu HTTP/HTTPS. Jednocześnie pozwala by SMTP i inny ruch szedł bezpośrednio na serwer.
Odporne na błędy środowisko
Niektóre organizacje mogą potrzebować pojedynczego urządzenia Barracuda Web Application Firewall. W połączeniu z trybem bridge-path, funkcja Barracuda Web Application Firewall’s Ethernet Hard Bypass zapewnia niezawodne dostarczanie aplikacji. Dla aplikacji sieciowych, które mają rygorystyczne wymagania bezpieczeństwa, Barracuda Web Application Firewall może być instalowane w konfiguracji sparowanej, zapewniając replikację stanu aplikacji w czasie rzeczywistym. Ma to sprawić, że sesje bezpieczeństwa i użytkowników nie będą pogarszane w razie awarii.
PCI DSS:
Zgodność ze standardem PCI DSS
Barracuda Web Application Firewall pomaga różnego rodzaju organizacjom, które przechowują, przetwarzają i/lub przesyłają numery kart kredytowych, spełniać wymagania standardu Payment Card Industry Data Security Standard (PCI DSS). W odpowiedzi na rosnący problem kradzieży tożsamości i łamania zabezpieczeń, największe firmy obsługujące karty kredytowe we wrześniu 2006 roku podjęły współpracę, aby stworzyć 12 wymogów proceduralnych i systemowych, znanych powszechnie jako PCI DSS. Miało to standaryzować przechowywanie i dostęp do informacji o numerach kont (Primary Account Number - PAN).
PCI DSS 2.0 został wydany w październiku 2010 wraz z dwoma dodatkowymi wymogami, które odnoszą się do sekcji szóstej np. stworzenia i utrzymania systemów i aplikacji bezpieczeństwa. Nowe regulacje w sekcji 6.2 określa formalne oszacowanie i klasyfikowanie niebezpieczeństw, które mogą pojawić się w organizacjach posiadających dane posiadaczy kart (Cardholder Data Environment - CDE).
Dodatkowa sekcja, 6.5.6 dodaje nowe wymogi i testy dotyczące najniebezpieczniejszych zagrożeń zidentyfikowanych w sekcji 6.2.
Barracuda Web Application Firewall zapewnia silną ochronę, która pomaga handlowcom oraz organizacjom spełnić warunki stawiane przez PCI DSS. Zabezpiecza on aplikacje przed atakami sieciowymi i innymi słabościami, włączając w to najnowsze zagrożenia wysokiego ryzyka wyszczególnione przez radę PCI.
Wymagania stawiane przez standard PCI DSS
(Payment Card Industry Data Security Standard)
Wymóg 1 i 2: Utrzymanie bezpieczeństwa sieci
Instalacja i utrzymanie konfiguracji firewalla w celu zabezpieczenia danych właścicieli kart
Zakaz używania ustawień standardowo wprowadzonych przez dostawcę dotyczących haseł systemowych i innych parametrów bezpieczeństwa
Wymóg 3 i 4: Ochrona danych posiadaczy kart
Ochrona przechowywanych danych posiadaczy kart
Szyfrowanie transmisji danych posiadaczy kart wykonywanej za pomocą otwartych, publicznych sieci
Wymóg 5 i 6: Utrzymanie programu zarządzania słabymi punktami
Używanie i regularne aktualizowanie oprogramowania antywirusowego
Przygotowanie i utrzymanie systemów i aplikacji zabezpieczających
Wymóg 7, 8 i 9: Implementacja silnej kontroli dostępowej
Zastrzeżenie dostępu do danych posiadaczy kart przez organizacje biznesowe
Przypisanie unikatowego ID do każdej osoby posiadającej dostęp do komputera
Zastrzeżenie fizycznego dostępu do danych posiadaczy kart
Wymóg 10 i 11: Regularne monitorowanie i testowanie sieci
Śledzenie i monitorowanie wszelkich prób dostępu do zasobów sieci i danych posiadaczy kart
Regularne testowanie systemów i procesów bezpieczeństwa
Wymóg 12: Utrzymanie reguł bezpieczeństwa informacji
Utrzymanie reguł dotyczących bezpieczeństwa informacji
Źródło: PCI Security Standards wersja 2.0 - http://www.PCISecurityStandards.org.
Barracuda Networks umożliwia spełnienie wymogów stawianych przez PCI DSS
Urządzenia Barracuda Web Application Firewall zostały zaprojektowane tak, by stać się łatwymi i niedrogimi rozwiązaniami pozwalającymi spełniać wymogi stawiane przez PCI DSS. Oprócz zaspokajania potrzeby szybkiej instalacji firewalla aplikacji sieciowych w Twojej sieci, zgodnego z Sekcją 6.6 PCI DSS, Barracuda Web Application Firewall zapewnia również inne technologie pomagające spełnić wymogi PCI DSS.
Barracuda Web Application Firewall pozwala spełnić wszystkie najważniejsze wymogi stawiane przez PCI DSS:
Wymóg 1: Instalacja firewalla
Barracuda Application Firewall działa jako firewall aplikacji sieciowych
Wymóg 3: Ochrona danych
Barracuda Application Firewall przekierowuje ruch sieciowy i izoluje serwery sieciowe przed bezpośrednim dostępem ze strony atakujących
Wymóg 4: Szyfrowanie
Barracuda Application Firewall zapewnia łatwe szyfrowanie SSL nawet, jeśli aplikacja lub serwer nie pozwala na stosowanie SSL
Wymóg 6: Ochrona przed najpopularniejszymi zagrożeniami
Barracuda Application Firewall blokuje znane i nieznane ataki, jak również uznane przez przemysł, 10 największych słabości aplikacji sieciowych dotyczących niestandardowych wdrożeń i aplikacji firm trzecich
Wymóg 7: Zastrzeganie dostępu
Barracuda Application Firewall zapewnia administrację regułami bezpieczeństwa opartą na rolach
Wymóg 10: Śledzenie i monitorowanie dostępu
Barracuda Application Firewall tworzy logi i raporty dostępu i bezpieczeństwa aplikacji
