Konference F5 Forum ukázala na bezpečnostní hrozby a jak se jim bránit, rady analytiků i etického hackera, až po řešení od F5 Networks podporující Cisco ACI i MS Azure v datacentru DataSpring, jehož služby se o tyto technologie opírají. Například u nás bylo jen v roce 2016 více útoků DDoS přesahujících datový tok 100 Gb/s.
Úvodní slovo měl Jan Krob z KPMG, který poukázal na rozdíl mezi internetem před nějakými třemi lety a dnes. Vysvětlil jej na příměru se středověkem, kdy společnosti (jako dnešní firmy) žily v zabezpečených hradech (zabezpečené firemní infrastruktury), a ochrany přestávají platit v okamžiku, kdy se lidé začali pohybovat v prostoru mezi nimi (jako dnes v internetu).
Jako zajímavost uvedl, jak je obtížné chránit mladé lidi (tzv. millenials), kteří jsou zpravidla velmi talentovaní, ale neukáznění, a jak je obtížné je motivovat a téměř nemožné potrestat (např. při porušení regulačních pravidel – ISO 2700x apod.), protože v tom okamžiku pravděpodobně utečou jinam.
Ochranu soukromí dnes mají v rukou firmy typu Apple, Google, Microsoft, AVG, Avast, Facebook apod. a spoléháme se v podstatě na jejich slušnost, protože o nás sbírají data, i když nejsme připojeni. Když například nebudete souhlasit s podmínkami užití televize LG, které zároveň znamenají vydání souhlasu se sběrem dat ohledně toho, co sledujete, a nad čím dělá firma LG analýzu, aby mohla poskytovat vlastní služby, prakticky ji nebudete moci vůbec používat.
Radou Jana Kroba je soustředit se na lidi a na to, co je pro vás důležité. To, co nastane, bude podle něj už jen horší ve smyslu externího světa a jen lepší v tom, jak se mu bránit. „Neutrácejte za všechno, jen za to, co je pro vás důležité,“ uzavřel Jan Krob.
Rady hackera
Etický hacker Michal Špaček „vychytal blechy“ hned v úvodu svého vystoupení jedenácti účastníkům konference s pomocí malé Wi-Fi za 99 dolarů (www.pineapple.com). Ukázal, jak se připojili na podvržené Wi-Fi i nezašifrovanou komunikaci těchto uživatelů. Varoval, že je velmi jednoduše možné odchytit i přihlašovací údaje – do webů, do pošty apod. To mu na úvod pomohlo, aby velmi zábavným způsobem pokračoval s prezentací, jak důležitá je komunikace přes HTTPS s šifrováním, autorizace, ověřování certifikátů a komunikace přes VPN (www.michalspacek.com).
F5 Networks
Or Yaacov, Solutions Architect F5 Networks, představil společnost F5 Networks, která dodává řešení pro síťový load balancing, anti DDoS apod. Znalostní báze (F5 Intelligence) se opírá o vlastní zdroje, údaje z vládních agentur, výrobců bezpečnostních prvků až po noviny a sociální média. K tomu má F5 vlastní vývoj v oblasti bezpečnosti a SOC (Security Operations Center), základní výzkum a podpůrné týmy. Globální data pro F5 Threat Intelligence sbírá pomocí senzorů a „Honey Nets“ pro testování útoků. Společnost F5 také monitorovala dění v České republice a například jen v roce proběhla řada DDoS útoků. Z nejznámějších subjektů to byla Mojebanka (204 útoky DDoS přes 100 Gb/s), Raiffeisenbank (180), Fio Banka (136), Česká spořitelna (133) a Seznam (99). F5 proti těmto útokům nabízí řešení s úplnou bezpečností proxy na oboustranné cestě uživatel-síť-session-aplikace-klient/server <-> klient/server-aplikace-session-síť-(banka apod.).
Velké nebezpečí číhá i z internetu věcí (IoT), protože běžná koncová zařízení s připojením k internetu nebyla konstruována ani s minimálním ohledem na bezpečnost (pračka, televizor, fotoaparát s Wi-Fi apod.), takže je možno z nich snadno vytvořit botnet. F5 například umí najít botnet a útok DDoS mu vrátit, čímž jej zneškodní. Podle analytiků společnosti Gartner má být do roku 2020 připojeno přes 20 miliard čidel. „Jedině spojením kontextu a inteligence lze dosáhnout kontroly,“ shrnul Or Yaacov.
Integrace F5 nejen s Cisco ACI
F5 Networks podporuje Cisco ACI (Application Centric Infrastructure, jde o architekturu SDN – softwarově definovaných sítí s automatizací správy založené na síťových politikách pro dosažení vyšší škálovatelnosti v distribuovaných systémech; umožňuje dosáhnout vyšší průhlednosti sítí). S přechodem do cloudu a rozšiřováním sítí se nic nemění, celá architektura od 1. do 7. vrstvy OSI (Open Systems Interconnect) zůstává. Mění se jen přenos zodpovědnosti ze tu kterou vrstvu, resp. od které vrstvy.
Aby se minimalizovaly problémy, musí řízení infrastruktury a její další nasazování podléhat několika požadavkům. Jsou jimi automatizace řízení s pouhým předáváním parametrů, aby se zredukovalo z řádu dnů na řád minut; ohledně řízení F5 bez zásahu ze strany výrobce, dále integrace vysokoúrovňového řadiče a „orchestrátoru“ prvku řízení a správy pro zajištění spolupráce jak s Cisco ACI, tak VMware NSX (virtuální síťová a bezpečnostní rodina softwaru vytvořená z vCloud Networking and Security (vCNS) a duševního vlastnictví Nicira Network Virtualization Platform (NVP), jde o koncept pro softwarově definovaná datacentra), a také pro zajištění spolupráce s OpenStackem a MS Azure Marketplace. Předávání parametrů probíhá na principu Bring Your Own Licences (BYOL), kterým se F5 řídí.
F5 Networks pro DataSpring
DataSpring je podle Igora Tomeše poměrně mladý poskytovatel cloudových služeb. Má dvě datacentra, jedno v Lužicích na jižní Moravě, druhé bylo otevřeno v září 2016 v Praze. DataSpring se může pochlubit certifikací od Uptime Institute na Tier III. DataSpring je plně vlastněný skupinou KKCG, takže má silné finanční zázemí.
DataSpring poskytuje cloudové služby IaaS, SaaS, PaaS a BaaS (Backup as a Service). Služby IaaS a PaaS jsou postaveny na konceptu virtuálního datacentra (vDC) pro každého zákazníka, s komunikací vDC <-> vDC. Přístup k vDC je přímo z internetu, servery také komunikují přímo přes internet a jako doplňkové služby DataSpring nabízí load balancing a SSL offload s využitím F5.
Dataspring kromě toho poskytuje řadu dalších služeb, například databázi jako službu (SQLaaS), business intelligence, pronájem kapacity datacentra pro zpracování velkých objemů dat (big data), vývoj softwaru na míru apod. Nejnovější službou je pleAzure.Cloud, která je postavena na platformách Windows Azure Pack a Cisco ACI.
S Flowmon Networks a F5 – DDoS „do pryč“
Česká firma Flowmon Networks poskytuje řešení pro sledování síťového provozu a diagnostiku, sledování výkonu aplikací, chování sítí a detekci a útlum DDoS ve spolupráci právě například s F5. Pro vzájemné propojení využívají uživatelem definované skripty.
Řešení od Flowmon Networks klasifikuje mohutnost síťového provozu a když je triggerem detekováno překročení povolené meze (s identifikací nejsilnějšího datového toku z určité IP adresy/adres), vyšle se signál do zařízení F5 anti-DDoS, které tyto toky přesměruje „do pryč“.