Barracuda Web Application Firewall

Zapewni go Barracuda Web Application Firewall (WAF) – rozwiązanie, które chroniąc tysiące aplikacji webowych od roku 2008 zablokowało ponad 11 miliardów ataków. WAF jest idealnym rozwiązaniem dla organizacji szukających ochrony swoich serwerów aplikacyjnych. Dzięki rozwiązaniom Barracuda WAF dostępnym w wersjach sprzętowej i wirtualnej administrator automatycznie zapewnia firmowym aplikacjom najwyższy poziom ochrony.

 

diagram_bwaf_en

 

Stała ochrona przed ewoluującymi zagrożeniami

Barracuda WAF to pełna ochrona przed utratą firmowych danych, atakami DDoS warstwy aplikacyjnej oraz już znanymi, a także zupełnie nowymi atakami na warstwę aplikacyjną. Definicje zagrożeń są automatycznie aktualizowane i dostarczane jednostkom w środowiskach produkcyjnych zapewniając najwyższy poziom ochrony ich klientom. W trakcie gdy powstają nowe zagrożenia, Barracuda WAF zyskuje nowe możliwości ochrony.

Selektywne zarządzanie dostępem do aplikacji

Barracuda WAF to szerokie możliwości autoryzacji i kontroli dostępu do wrażliwych aplikacji oraz ich danych. Zintegrowana kontrola tożsamości wstępnie autoryzuje użytkownika jeszcze przed dopuszczeniem go do krytycznych aplikacji. Znika problem kontroli dostępu do wielu różnych aplikacji, bo dzięki Barracuda WAF można ją skupić w jednym miejscu, a szczegółowe audyty logowania dają wgląd w aktywność użytkowników wszystkich chronionych aplikacji.

Proste zarządzanie

Barracuda WAF został zaprojektowany z myślą o szybkim wdrożeniu rozwiązania w zastanym środowisku aplikacji i jego szybkim osłonięciu pakietem wydajnych narzędzi bezpieczeństwa. Do dyspozycji administratora są szczegółowe logi, alerty, raportowanie i mechanizm wczesnego wykrywania luk. Rozwiązanie może także zostać ustawione w klaster HA zapewniając płynne przejście na drugie urządzenie w przypadku awarii pierwszego.

Skalowalne bezpieczeństwo publicznej i prywatnej chmury

Możliwości obliczeniowe chmury to dla wielu firm korzyści ekonomiczne i technologiczne. Aby w pełni korzystać ze wszystkich zalet chmury, musi ona spełniać podstawowy warunek obowiązujący fizyczne instalacje IT – musi być po prostu bezpieczna. Barracuda WAF można z łatwością podłączyć do prywatnej chmury oraz chmurowych platform firm trzecich jak Microsoft Azure czy Amazon Web Services.

 

BWAF_architecture1

FUNKCJE:

Ochrona przed atakami i DDoS

Barracuda Web Application Firewall kompleksowo chroni aplikacje biznesowe m.in. przed zautomatyzowanymi atakami z listy OWASP TOP 10, automatycznie wykrywając i blokując takie próby naruszenia bezpieczeństwa aplikacji m.in.: SQL Injection i Cross-Site Scripting (XSS). Administrator może zdefiniować własne odpowiedzi na wybrane ataki np. kierując je w inne miejsce, hamując, blokując całkowicie lub wykonując inne czynności.
Dzięki użyciu heurystycznego zbierania fingerprintów i oceny reputacji IP, zaawansowana ochrona przed DDoS ułatwia odróżnienie realnych użytkowników od botnetów, pozwalając m.in. na blokowanie i hamowanie podejrzanego ruchu. Unikalną technologią zastosowaną w Barracuda WAF jest weryfikacja reputacji IP łącząca ogląd sytuacji w czasie rzeczywistym z danymi historycznymi. Umożliwia to skuteczną ochronę przed DDoS za pomocą szerokiego wachlarza strategii.

Profilowanie aplikacji

Profilowanie aplikacji umożliwia budowanie pozytywnych profili bezpieczeństwa swoich aplikacji dzięki próbkowaniu (sampling) ruchu sieciowego z zaufanych hostów. Taki tryb uczenia pozwala na bezpieczne profilowanie i daje najwyższy poziom bezpieczeństwa wraz z możliwością szybkich korekt i edycji wyjątków.

Osłona serwera

Pierwszym krokiem wielu ataków wymierzonych w aplikacje jest ich sondowanie pod kątem środowiska działania tj. serwerów, baz danych i systemów operacyjnych, z którymi pracuje. Dzięki funkcji osłony serwera (CLOAKING) Barracuda WAF ukrywa banery serwerów, powiadomienia błędów, nagłówki http, kody błędów zwracane przez serwer, pozwala na blokowanie informacji z błędami debugowania, oraz ukrywa adresy IP serwerów stojących za urządzeniem, co uniemożliwia atakującemu wstępne rozpoznanie. Bez znajomości technicznych podstaw aplikacji znacznie trudniej jest przeprowadzać ataki wymierzone w konkretne podatności, dzięki czemu Barracuda WAF redukuje ryzyko wyłomu w bezpieczeństwie aplikacji.

Firewall XML

Aplikacje oparte na XML mogą być chronione funkcją zapory XML chroniącą aplikacje przed atakami typu: schema poisoning, WSDL poisoning, highly-nested elements, recursive parsing i innymi atakami z wykorzystaniem XML. Firewall chroni komunikację między klientem i aplikacją oraz między aplikacjami różnych systemów zamykając często pomijany tor ataku.

Ochrona przed utratą danych

Instalowane jako reverse-proxy rozwiązanie Barracuda Web Firewall wykonuje inspekcję całego ruchu przychodzącego pod kątem ataków i ruchu wychodzącego pod kątem wrażliwych danych. Treści wrażliwe, takie jak np. numery kart kredytowych i inne wzory identyfikowane przez Barracuda WAF są albo blokowane, albo maskowane bez konieczności interwencji administratora. Administrator może stworzyć też własne szablony blokowanych wyrażeń. Wszystkie tego typu informacje trafiają do logów, dzięki czemu administratorzy mogą łatwo wykryć luki w zabezpieczeniach.

Standardy bezpieczeństwa

Barracuda WAF został zaprojektowany by dostarczać szybkiej i wydajnej pomocy administratorom wspierając najważniejsze, ale i specyficzne dla pewnych branż standardy bezpieczeństwa takie jak: PCI-DSS, HIPAA, FISMA czy rekomendacje KNF. Rozwiązanie jest w pełni zgodne z rozdziałem 6.6 PCI-DSS i umożliwia generowanie raportów zgodnych z standardami PCI. Mechanizmy bezpiecznej identyfikacji, zarządzania dostępem i zabezpieczenia przed wyciekiem danych (DLP) zapewniają bezpieczeństwo wrażliwych danych. Certyfikat FIPS na poziomie 140-2 HSM gwarantuje aplikacjom najwyższe standardy kryptograficzne, a samo rozwiązanie posiada certyfikacje zewnętrznych podmiotów testujących jak ICSA Labs.

Autoryzacja LDAP & RADIUS

Barracuda Web Application Firewall w pełni integruje się z Active Directory oraz innymi usługami autoryzacji kompatybilnymi z RADIUS i LDAP. Kontrola dostępu pozwala administratorom dokładnie określać, którzy użytkownicy, jakie grupy i na jakich warunkach mogą korzystać z określonych zasobów.

Advanced Threat Protection

Barracuda Web Application Firewall łączy się z Barracuda Advanced Threat Protection (ATP) w celu zapewnienia bezpieczeństwa przed zaawansowanymi zagrożeniami. Wystarczy dodać ATP do Barracuda WAF, aby zablokować zaawansowane zagrożenia typu zero-hour. Analizując pliki w piaskownicy opartej na emulacji CPU, może wykryć i zablokować złośliwe oprogramowanie, wbudowane głęboko w pliki witryny lub aplikacji sieciowej. W czasach, gdy zaawansowane zagrożenia, takie jak ransomware, powodują spustoszenie, ATP zapewnia obronę przed złośliwym zagrożeniem.

Dwuskładnikowa autoryzacja

Barracuda WAF wspiera dwuskładnikowe technologie autoryzacji takie jak jak certyfikaty klientów, kody SMS i tokeny sprzętowe np. RSA SecurID.

Reputacja IP klienta i kontrola dostępu

Wykorzystując reputację adresu źródłowego klienta, administrator Barracuda WAF ma pełną kontrolę dostępu do zasobów webowych. Rozwiązanie może kontrolować dostęp wedle parametru GeoIP umożliwiając dostęp tylko użytkownikom wybranych regionów świata. Jest także zintegrowane z bazą Barracuda Reputational Database, dzięki czemu identyfikuje podejrzane adresy IP, boty, sieci TOR i inne anonimowe proxy wykorzystywane do ukrycia tożsamości i lokacji atakującego. Gdy adres IP zostanie zidentyfikowany jako ryzykowny można go zablokować, a przychodzący z niego ruch zautoryzować za pomocą kodów CAPTCHA.

Wbudowane szablony bezpieczeństwa

Wbudowane szablony bezpieczeństwa interfejsu webowego ułatwiają szybkie wdrożenie ochrony bez studiowania dokumentacji rozwiązania i czasochłonnej konfiguracji. Szablony dla popularnych aplikacji jak Exchange, SharePoint, Oracle Financials, PHP i innych są dostępne zaraz po uruchomieniu Barracuda WAF.

Skaner podatności

Firmy bezpieczeństwa IT często używają skanerów podatności szukając słabych punktów swoich aplikacji. Barracuda WAF integruje się z popularnymi skanerami podatności takimi jak IBM AppScan i Cenzic Hailstorm automatycznie wzmacniając szablon bezpieczeństwa działający dla danej aplikacji. Po wykryciu podatności zadany szablon optymalizuje się automatycznie bez konieczności żadnych działań administratora.

Logowanie i raportowanie

Barracuda WAF oferuje kompletny zestaw logów zapory webowej, dostępu do aplikacji, audytu i systemu. Wszystkie logi można wyeksportować do systemów SIEM firm trzecich lub narzędzi zarządzania logami w celu ich głębszej analizy. Barracuda WAF po wdrożeniu automatycznie integruje się z HP ArcSight, RSA Envision, Splunk i innymi narzędziami SIEM dostarczając błyskawicznego wglądu w bezpieczeństwo aplikacji.

Automatyczne aktualizacje bezpieczeństwa

Rosnąca skuteczność Barracuda WAF bazuje na sieci ponad 150 000 sensorów bezpieczeństwa działających na całym świecie. Gromadząc na bieżąco informacje o nowych lukach bezpieczeństwa i zagrożeniach sensory transmitują swoje dane do Barracuda Labs, tworzącego w oparciu o napływające dane najnowsze definicje zagrożeń. Nowe sygnatury są automatycznie rozsyłane w formie aktualizacji wszystkim działającym jednostkom Barracudy gwarantując kluczowym aplikacjom najwyższy poziom ochrony. Takie podejście znakomicie redukuje czas pomiędzy wykryciem luki i jej załataniem.

Cloud Edition dla Microsoft Azure i Amazon Web Services

Migrując dane, aplikacje i procesy do chmury administratorzy potrzebują bezpiecznego zarządzania danymi. Wiele firm funkcjonuje wedle dyrektyw prywatności i bezpieczeństwa własnej branży jak np. HIPAA, SOX, PCI i innych. Dzięki funkcji ochrony przed utratą danych Barracuda WAF, administrator może z łatwością wdrażać bezpieczne i pewne usługi w chmurach Microsoft Azure i Amazon Web Services spełniając równocześnie wszystkie wymogi bezpieczeństwa.

Klastrowanie

Rozwiązania Barracuda WAF mogą być klastrowane w trybie active / passive lub active / active umożliwiając aplikacji nieprzerwaną pracę w przypadku awarii. Wszystkie ustawienia bezpieczeństwa są automatycznie synchronizowane między klastrami gwarantując pełne bezpieczeństwo i zgodność w przypadku przełączenia z jednego urządzenia na drugie.

Aplikacyjny load balancing i monitoring

Wbudowany load balancer umożliwia Barracuda WAF kierowanie ruchu między dostępne zasoby serwerowe, odciążając macierzysty serwer aplikacji i nie dopuszczając do opóźnień czy przestojów w jej działaniu. Monitory aplikacyjne Barracuda WAF mogą wykrywać problemy serwera i usuwać je automatycznie rozprowadzając ruch pomiędzy pozostałe serwery.

 

Zarządzanie i konfiguracja:

Konfiguracja i administracja regułami

Konfiguracja Barracuda Web Application Firewall wykonywana jest za pośrednictwem bezpiecznego interfejsu opartego na przeglądarce www, który posiada kompleksowy system pomocy online. Wstępne definiowanie aplikacji wykonywane jest po prostu przez kompleksowe, predefiniowane reguły bezpieczeństwa, które pozwalają administratorowi na określenie również bardziej dokładnych zasad. Takie funkcje jak automatyczne tworzenie reguł z wpisów logów, pozwalają administratorom na łatwe utrzymywanie reguł bezpieczeństwa nawet w razie zmiany aplikacji.

Raportowanie w STANDARDZIE!

Narzędzia do administrowania rozwiązaniem Barracuda Web Application Firewall zawierają raportowanie statystyk, które pozwala Ci wizualizować zarówno ogólny poziom ruchu sieciowego, jak również poziomy ruchu filtrowanego z powodów ustalonych reguł lub bezpieczeństwa.
Strona podstawowego statusu Barracuda Web Application Firewall zapewnia szybką migawkę statystyk dotyczących powszechnych ataków, statusu subskrypcji, statystyk wydajności, jak również godzinnych i dziennych ataków oraz użycia przesyłu danych.

Administracja oparta na rolach

Zadania administracyjne mogą być delegowane dzięki możliwościach administracji opartej na rolach zawartych w Barracuda Web Application Firewall. Każdy administrator może otrzymać konto logowania i może mieć przypisaną dokładną rolę, która limituje dostęp do komponentów systemu dzięki przypisywaniu im niezbędnych przywilejów związanych z ich stanowiskiem i wykonywanymi funkcjami.
Loginy administratorów mogą być uwierzytelniane i sprawdzane z lokalną bazą danych lub z zewnętrzną bazą LDAP. Wszystkie działania podejmowane przez administratorów są zapisywane na potrzeby audytu.

Standardowa konfiguracja - Route-path

Urządzenie Barracuda Web Application Firewall zostało zaprojektowane tak, by z łatwością wpasowywać się w dowolne, istniejące środowisko centrum danych oraz natychmiastowo zabezpieczać i przyspieszać nowe, a także istniejące aplikacje sieciowe.
Route-path zapewnia najwyższy stopień ochrony dla infrastruktury aplikacji sieciowych dzięki działaniu jako Full Reverse Proxy dla całego ruchu aplikacji sieciowych.
Full-Reverse Proxy to uznana praktyka, która z natury jest bardziej bezpieczna, niż instalacja w trybie bridge. Faktem jest, że 86% wszystkich obecnych klientów Barracuda Web Application Firewall instaluje to rozwiązanie w trybie Proxy.

Bridge-path

Bridge-path, jest rekomendowanym trybem implementacji dla większości klientów, którzy posiadają istniejący ruch aplikacji sieciowych. Pozwala na prostą i szybką instalację, bez potrzeby wprowadzania zmian w serwerach sieciowych lub urządzeniach sieciowych. Most jest transparentny, więc ruch sieciowy użytkowników nie jest zakłócany.

One-Armed Proxy

Instalacja rozwiązania Barracuda Web Application Firewall w konfiguracji One-Armed Proxy wymaga, aby jednostka została podłączona tylko przez switch, przy użyciu portu WAN. Ta konfiguracja tworzy dodatkową ścieżkę dostępu transferu do serwera, bez zakłócania naturalnego przepływu informacji w sieci. Tylko ruch, który musi być monitorowany lub zabezpieczony, jest kierowany przez Barracuda Web Application Firewall. Sposób instalacji One-Armed Proxy jest używany we wczesnych fazach, gdy administratorzy chcą sprawdzić urządzenie bez konieczności wprowadzania zmian w ustawieniach sieciowych. Innym scenariuszem wykorzystującym instalację typu One-Armed Proxy jest wykorzystanie funkcji równoważenia obciążenia rozwiązania dla ruchu HTTP/HTTPS. Jednocześnie pozwala by SMTP i inny ruch szedł bezpośrednio na serwer.

Odporne na błędy środowisko

Niektóre organizacje mogą potrzebować pojedynczego urządzenia Barracuda Web Application Firewall. W połączeniu z trybem bridge-path, funkcja Barracuda Web Application Firewall’s Ethernet Hard Bypass zapewnia niezawodne dostarczanie aplikacji. Dla aplikacji sieciowych, które mają rygorystyczne wymagania bezpieczeństwa, Barracuda Web Application Firewall może być instalowane w konfiguracji sparowanej, zapewniając replikację stanu aplikacji w czasie rzeczywistym. Ma to sprawić, że sesje bezpieczeństwa i użytkowników nie będą pogarszane w razie awarii.

 

PCI DSS:

Zgodność ze standardem PCI DSS

Barracuda Web Application Firewall pomaga różnego rodzaju organizacjom, które przechowują, przetwarzają i/lub przesyłają numery kart kredytowych, spełniać wymagania standardu Payment Card Industry Data Security Standard (PCI DSS). W odpowiedzi na rosnący problem kradzieży tożsamości i łamania zabezpieczeń, największe firmy obsługujące karty kredytowe we wrześniu 2006 roku podjęły współpracę, aby stworzyć 12 wymogów proceduralnych i systemowych, znanych powszechnie jako PCI DSS. Miało to standaryzować przechowywanie i dostęp do informacji o numerach kont (Primary Account Number - PAN).

PCI DSS 2.0 został wydany w październiku 2010 wraz z dwoma dodatkowymi wymogami, które odnoszą się do sekcji szóstej np. stworzenia i utrzymania systemów i aplikacji bezpieczeństwa. Nowe regulacje w sekcji 6.2 określa formalne oszacowanie i klasyfikowanie niebezpieczeństw, które mogą pojawić się w organizacjach posiadających dane posiadaczy kart (Cardholder Data Environment - CDE).

Dodatkowa sekcja, 6.5.6 dodaje nowe wymogi i testy dotyczące najniebezpieczniejszych zagrożeń zidentyfikowanych w sekcji 6.2.

Barracuda Web Application Firewall zapewnia silną ochronę, która pomaga handlowcom oraz organizacjom spełnić warunki stawiane przez PCI DSS. Zabezpiecza on aplikacje przed atakami sieciowymi i innymi słabościami, włączając w to najnowsze zagrożenia wysokiego ryzyka wyszczególnione przez radę PCI.

Wymagania stawiane przez standard PCI DSS
(Payment Card Industry Data Security Standard)

Wymóg 1 i 2: Utrzymanie bezpieczeństwa sieci

Instalacja i utrzymanie konfiguracji firewalla w celu zabezpieczenia danych właścicieli kart
Zakaz używania ustawień standardowo wprowadzonych przez dostawcę dotyczących haseł systemowych i innych parametrów bezpieczeństwa

Wymóg 3 i 4: Ochrona danych posiadaczy kart

Ochrona przechowywanych danych posiadaczy kart
Szyfrowanie transmisji danych posiadaczy kart wykonywanej za pomocą otwartych, publicznych sieci

Wymóg 5 i 6: Utrzymanie programu zarządzania słabymi punktami

Używanie i regularne aktualizowanie oprogramowania antywirusowego
Przygotowanie i utrzymanie systemów i aplikacji zabezpieczających

Wymóg 7, 8 i 9: Implementacja silnej kontroli dostępowej

Zastrzeżenie dostępu do danych posiadaczy kart przez organizacje biznesowe
Przypisanie unikatowego ID do każdej osoby posiadającej dostęp do komputera
Zastrzeżenie fizycznego dostępu do danych posiadaczy kart

Wymóg 10 i 11: Regularne monitorowanie i testowanie sieci

Śledzenie i monitorowanie wszelkich prób dostępu do zasobów sieci i danych posiadaczy kart
Regularne testowanie systemów i procesów bezpieczeństwa

Wymóg 12: Utrzymanie reguł bezpieczeństwa informacji

Utrzymanie reguł dotyczących bezpieczeństwa informacji

Źródło: PCI Security Standards wersja 2.0 - http://www.PCISecurityStandards.org.

Barracuda Networks umożliwia spełnienie wymogów stawianych przez PCI DSS

Urządzenia Barracuda Web Application Firewall zostały zaprojektowane tak, by stać się łatwymi i niedrogimi rozwiązaniami pozwalającymi spełniać wymogi stawiane przez PCI DSS. Oprócz zaspokajania potrzeby szybkiej instalacji firewalla aplikacji sieciowych w Twojej sieci, zgodnego z Sekcją 6.6 PCI DSS, Barracuda Web Application Firewall zapewnia również inne technologie pomagające spełnić wymogi PCI DSS.

Barracuda Web Application Firewall pozwala spełnić wszystkie najważniejsze wymogi stawiane przez PCI DSS:

Wymóg 1: Instalacja firewalla
Barracuda Application Firewall działa jako firewall aplikacji sieciowych

Wymóg 3: Ochrona danych
Barracuda Application Firewall przekierowuje ruch sieciowy i izoluje serwery sieciowe przed bezpośrednim dostępem ze strony atakujących

Wymóg 4: Szyfrowanie
Barracuda Application Firewall zapewnia łatwe szyfrowanie SSL nawet, jeśli aplikacja lub serwer nie pozwala na stosowanie SSL

Wymóg 6: Ochrona przed najpopularniejszymi zagrożeniami
Barracuda Application Firewall blokuje znane i nieznane ataki, jak również uznane przez przemysł, 10 największych słabości aplikacji sieciowych dotyczących niestandardowych wdrożeń i aplikacji firm trzecich

Wymóg 7: Zastrzeganie dostępu
Barracuda Application Firewall zapewnia administrację regułami bezpieczeństwa opartą na rolach

Wymóg 10: Śledzenie i monitorowanie dostępu
Barracuda Application Firewall tworzy logi i raporty dostępu i bezpieczeństwa aplikacji

Produkty podobne:

Copyright © by Miecznet 2001 - 2012. Wszelkie prawa zastrzeżone  | Polityka Cookies