Artykuł pochodzi z wydania: Marzec 2022
Można się pokusić o stwierdzenie, że tradycyjną infrastrukturę IT w przedsiębiorstwie da się ograniczyć do sprawnej i skalowalnej sieci, a całą resztę można wypchnąć do wybranych usługodawców zewnętrznych. Tym razem sprawdzamy, jak wygląda rozwiązanie WAF w modelu pay-as-you-go od Barracuda Networks.
Bezpieczeństwo systemów informatycznych to tematyka niezwykle szeroka, wielopoziomowa i nietrywialna, o czym zdążyło się już przekonać wiele firm i instytucji. Problem wycieku informacji, bo przecież o nie tutaj tak naprawdę chodzi, dotyka organizacji działających w różnych gałęziach gospodarki. Nie ma tu zazwyczaj specjalnego znaczenia ani wielkość przedsiębiorstwa, ani jego stan majątkowy.
Oczywiście skala zagrożenia i potencjalne konsekwencje, w tym finansowe, będą zupełnie inne w przypadku kompromitacji chociażby systemu bankowego w porównaniu do przypadkowego pozyskania danych z bazy użytkowników strony-wizytówki opartej na darmowym frameworku. W obu przypadkach dostępne są narzędzia pozwalające podnieść poziom ochrony. Barracuda WaaS (WAF-as-a-Service) to rozwiązanie klasy Web Application Firewall pozwalające bronić się przed atakami na serwery webowe, bez ponoszenia kosztów związanych z zakupem i utrzymaniem specjalistycznych urządzeń sprzętowych, gdyż cała komunikacja zostaje przekierowana na serwery usługodawcy.
Dotychczas kilkukrotnie testowaliśmy rozwiązania Barracuda Networks, skupiając się na zaporach sieciowych oraz rozwiązaniach do zarządzania kopiami zapasowymi. Producent z siedzibą w Dolinie Krzemowej od niemal 20 lat specjalizuje się w rozwiązaniach security, a w kategorii WAF kwalifikowany jest przez Gartnera w kwadracie pretendentów. Co ciekawe, od 2018 roku Barracuda Networks należy do Thoma Bravo, czyli grupy inwestycyjnej posiadającej w swoim portfolio takie marki security jak chociażby McAfee, Sophos, LogRhytm, czy w pewnym sensie konkurencyjna Imperva, postrzegana jako jeden z liderów segmentu WAF. Dość biznesu, sprawdźmy, co w praktyce do zaoferowania ma WAF od Barracudy.
> ARCHITEKTURA
WAF-as-a-Service to jedno z kilku rozwiązań Barracudy hostowanych całkowicie w chmurze producenta. Firma już od 2008 roku posiada w swojej ofercie produkty klasy WAF, na których bazuje również odmiana cloudowa. Implementacja tradycyjnego Web Application Firewalla wymaga odpowiedniego zaplanowania, rekonfiguracji sieci, a także określonych umiejętności po stronie kadry IT. WAF-as-a-Service to ukłon w kierunku klientów chcących uprościć proces implementacji rozwiązania, ale bez modyfikacji własnej sieci. Aby rozpocząć ochronę aplikacji webowych, wystarczy jedynie odpowiednia modyfikacja rekordów DNS dla wybranej domeny, tak aby wskazywały one na serwery Barracudy, na których uruchomiona jest usługa WAF. Oczywiście najłatwiej modyfikować rekordy CNAME, do czego zachęca również producent. Nic nie stoi jednak na przeszkodzie, aby równie skutecznie chronić domeny główne typu apex. Użytkowników WaaS nie interesują parametry wydajnościowe sprzętu odpowiedzialnego za ochronę aplikacji webowych, podobnie jak szczegóły dotyczące wysokiej dostępności, kopie zapasowe czy monitoring.
Bardziej dociekliwi znajdą w dokumentacji Barracudy informacje, iż podstawową jednostką infrastrukturalną stojącą za WaaS-em jest kontener, a cały klaster kontenerów, na poziomie których realizowana jest separacja ruchu pomiędzy organizacjami klienckimi, rozpięty jest pomiędzy przynajmniej dwiema strefami dostępności w ramach regionu, na których froncie których stoi load balancer. Barracuda zapewnia wysoką dostępność również na poziomie globalnym, pomiędzy dwoma regionami. Tym razem za dystrybucję ruchu odpowiadają DNS-y, kierujące ruch do podstawowego regionu do momentu pojawienia się jakiegokolwiek problemu. W takim przypadku ruch przekierowywany jest do regionu zapasowego. Cała odpowiedzialność za usługę spoczywa po stronie usługodawcy. Jedyne, co trzeba podać przed uruchomieniem usługi, to liczba aplikacji/domen, które chcemy objąć ochroną, oczekiwana całkowita przepustowość dystrybucyjna oraz ewentualne rozszerzenia opcjonalne.
Obciążenia naliczane są w miesięcznych odstępach, a podstawowy koszt ochrony pojedynczej aplikacji kształtuje się na poziomie 22,30 euro. Do ceny doliczyć należy opłatę za żądaną przepustowość firewalla w ujęciu miesięcznym, która to stanowi główną składową ceny ostatecznej – dla 25 Mb/s jest to koszt rzędu 375 euro, 50 Mb/s – 662 euro, a dla 100 Mb/s jest to już 1129 euro. Dostępne są również pakiety o przepustowości 250, 500, 1000 i 5000 Mb/s.
> OCHRONA PODSTAWOWA
Spektrum ochrony podstawowej jest całkiem szerokie. W standardzie otrzymujemy ochronę przeciwko atakom zdefiniowanym w ramach OWASP Top 10, bieżące aktualizacje sygnatur ataków i baz reputacji, ochronę API oraz nielimitowaną protekcję przeciw wolumetrycznym i aplikacyjnym atakom DDoS.
[…]
Marcin Jurczyk
Autor jest architektem w międzynarodowej firmie z branży IT. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową.