Внедрение WAF. Взгляд архитектора

Еще 8 лет назад я изучил различные варианты внедрения WAF в инфраструктуру компании для защиты ее веб-ресурсов. Ни вендор, ни интегратор тогда не смогли мне толком ответить, каким образом правильнее интегрировать WAF под мои требования, только твердили "vendor-recommended design". В итоге пришлось делать все самому, причем на тот момент выбранный вариант шел вразрез с рекомендованным дизайном вендора (только через пару лет вендор изменил свой дизайн на тот, что выбрал я). Иногда я рассказываю на внешних или внутренних конференциях, как правильно выбрать архитектуру, отвечаю на возникающие вопросы, чтобы мой опыт пригодился и другим. Несколько дней назад я понял, что тема актуальна и до сих пор, поэтому решил написать эту статью. 

Составлю эту статью в основном из скриншотов слайдов презентаций, с которой выступал на разных конференциях.

Вряд ли для кого-то это будет новостью, но дам вводное определение WAF своими словами:

Иногда можно услышать споры о том, что лучше использовать: WAF, IDS или IPS.

Основы сетевой безопасности. Network Segmentation

Если вы едете в новом поезде метро, который можно пройти от начала до конца, и в него заходит бомж - потенциально он может провонять весь состав. В старых - только один вагон.
Так же и с сегментацией сети.

Третий кит информационной безопасности - доступность. Когда кластеризация бессильна

В прошлой заметке я описывал, на что стоит обратить внимание при организации отказоустойчивой резервируемой системы, независимо от того, это ИБ, ИТ или телеком. Но даже при соблюдении этих правил можно испытать фиаско. 

В каких случаях кластеризация не спасёт от потери сервиса.

Третий кит информационной безопасности - доступность. Checklist

Конфиденциальность, целостность, доступность - этот набор слов знаком каждому, кто крутится около ИБ, независимо от глубины погружения. И если с первыми двумя все понятно, то третье часто отодвигается в сторону функционала ИТ/телеком. 

При внедрении практически каждого ИТ-/ИБ-/телеком-решения поднимается вопрос отказоустойчивости. Особенно в случае, если решение обрабатывает продуктивный трафик, либо предоставляет востребованный внутренними/внешними клиентами сервис. Так что же нужно сделать, чтобы ее обеспечить? Статей на этот счет написано немало, так что не буду и я исключением.

Высокая доступность обеспечивается совокупностью следующих факторов:

IXIA ThreatArmor для SOC: экономическая эффективность

И снова анализ решения, предлагаемого IXIA. Не для рекламы, а для общего развития. На этом месте мог оказаться любой вендор, и еще окажется неоднократно. Хотя, учитывая количество постов, сгенерированное семинаром IXIA, могут закрасться подозрения.

IXIA предлагает ThreatArmor как некоторое устройство, которое топологически может быть установлено в двух местах корпоративной сети: на входе из Интернет (стык с пограничным роутером или firewall), и на входе в инфраструктуру ИБ с "внутренней" стороны.

Более подробно и официально рассказано на сайте производителя и дистрибьютора. Кроме того, я в своем блоге также описывал некий блиц-анализ работы этого решения с моей точки зрения.

Вкратце: ThreatArmor позволяет осуществлять фильтрацию по IP-адресам источника (со стороны Интернет в направлении корпоративных ресурсов) либо назначения (изнутри корпоративной сети в мир). База IP-адресов категоризируется по странам, видам вредоносных воздействий и т. п. командой Application and Threat Intelligence Team. Обновление происходит каждые 5 минут.

Попробуем вычислить экономическую эффективность подобного решения.

IXIA ThreatArmor: особенности работы

Не рекламы ради (вендор мне, к сожалению, не доплачивает), но ознакомления с технологией для. 

И снова анализ решения, предлагаемого IXIA.

Есть устройство, которое топологически может быть установлено в двух местах корпоративной сети: на стыке с Интернет, и на входе в инфраструктуру ИБ с "внутренней" стороны. ThreatArmor позволяет осуществлять фильтрацию по IP-адресам источника (со стороны Интернет в направлении корпоративных ресурсов) либо назначения (изнутри корпоративной сети в мир).

Так выглядит картинка предлагаемой архитектуры.

Слева - корпоративная сеть, справа - Интернет.

Проектирование и внедрение инфраструктуры IDS/IPS. Этап 1. Архитектура.

Сеть передачи данных крупных предприятий можно логически поделить на 3 уровня. Уровень, на котором к коммутаторам подключаются пользователи и конечные узлы, чаще всего называют уровнем доступа. Маршрутизация между подсетями уровня доступа, резервирование шлюза по умолчанию, применение межсетевого экранирования и балансировки трафика конечных узлов производится на уровне агрегации. Высокоскоростная коммутация и маршрутизация, резервирование и эффективное использование каналов осуществляется на уровне ядра сети. Уровни доступа и агрегации можно выделить как для пользовательского сегмента, где конечными узлами будут пользовательские ПК, так и для сегментов центров обработки данных (ЦОД), в котором конечными узлами могут быть виртуальные либо физические сервера.