Można się pokusić o stwierdzenie, że tradycyjną infrastrukturę IT w przedsiębiorstwie da się ograniczyć do sprawnej i skalowalnej sieci, a całą resztę można wypchnąć do wybranych usługodawców zewnętrznych. Tym razem sprawdzamy, jak wygląda rozwiązanie WAF w modelu pay-as-you-go od Barracuda Networks.

Bezpieczeństwo systemów informatycznych to tematyka niezwykle szeroka, wielopoziomowa i nietrywialna, o czym zdążyło się już przekonać wiele firm i instytucji. Problem wycieku informacji, bo przecież o nie tutaj tak naprawdę chodzi, dotyka organizacji działających w różnych gałęziach gospodarki. Nie ma tu zazwyczaj specjalnego znaczenia ani wielkość przedsiębiorstwa, ani jego stan majątkowy.

Oczywiście skala zagrożenia i potencjalne konsekwencje, w tym finansowe, będą zupełnie inne w przypadku kompromitacji chociażby systemu bankowego w porównaniu do przypadkowego pozyskania danych z bazy użytkowników strony-wizytówki opartej na darmowym frameworku. W obu przypadkach dostępne są narzędzia pozwalające podnieść poziom ochrony. Barracuda WaaS (WAF-as-a-Service) to rozwiązanie klasy Web Application Firewall pozwalające bronić się przed atakami na serwery webowe, bez ponoszenia kosztów związanych z zakupem i utrzymaniem specjalistycznych urządzeń sprzętowych, gdyż cała komunikacja zostaje przekierowana na serwery usługodawcy.

Dotychczas kilkukrotnie testowaliśmy rozwiązania Barracuda Networks, skupiając się na zaporach sieciowych oraz rozwiązaniach do zarządzania kopiami zapasowymi. Producent z siedzibą w Dolinie Krzemowej od niemal 20 lat specjalizuje się w rozwiązaniach security, a w kategorii WAF kwalifikowany jest przez Gartnera w kwadracie pretendentów. Co ciekawe, od 2018 roku Barracuda Networks należy do Thoma Bravo, czyli grupy inwestycyjnej posiadającej w swoim portfolio takie marki security jak chociażby McAfee, Sophos, LogRhytm, czy w pewnym sensie konkurencyjna Imperva, postrzegana jako jeden z liderów segmentu WAF. Dość biznesu, sprawdźmy, co w praktyce do zaoferowania ma WAF od Barracudy.

> ARCHITEKTURA

WAF-as-a-Service to jedno z kilku rozwiązań Barracudy hostowanych całkowicie w chmurze producenta. Firma już od 2008 roku posiada w swojej ofercie produkty klasy WAF, na których bazuje również odmiana cloudowa. Implementacja tradycyjnego Web Application Firewalla wymaga odpowiedniego zaplanowania, rekonfiguracji sieci, a także określonych umiejętności po stronie kadry IT. WAF-as-a-Service to ukłon w kierunku klientów chcących uprościć proces implementacji rozwiązania, ale bez modyfikacji własnej sieci. Aby rozpocząć ochronę aplikacji webowych, wystarczy jedynie odpowiednia modyfikacja rekordów DNS dla wybranej domeny, tak aby wskazywały one na serwery Barracudy, na których uruchomiona jest usługa WAF. Oczywiście najłatwiej modyfikować rekordy CNAME, do czego zachęca również producent. Nic nie stoi jednak na przeszkodzie, aby równie skutecznie chronić domeny główne typu apex. Użytkowników WaaS nie interesują parametry wydajnościowe sprzętu odpowiedzialnego za ochronę aplikacji webowych, podobnie jak szczegóły dotyczące wysokiej dostępności, kopie zapasowe czy monitoring.

Bardziej dociekliwi znajdą w dokumentacji Barracudy informacje, iż podstawową jednostką infrastrukturalną stojącą za WaaS-em jest kontener, a cały klaster kontenerów, na poziomie których realizowana jest separacja ruchu pomiędzy organizacjami klienckimi, rozpięty jest pomiędzy przynajmniej dwiema strefami dostępności w ramach regionu, na których froncie których stoi load balancer. Barracuda zapewnia wysoką dostępność również na poziomie globalnym, pomiędzy dwoma regionami. Tym razem za dystrybucję ruchu odpowiadają DNS-y, kierujące ruch do podstawowego regionu do momentu pojawienia się jakiegokolwiek problemu. W takim przypadku ruch przekierowywany jest do regionu zapasowego. Cała odpowiedzialność za usługę spoczywa po stronie usługodawcy. Jedyne, co trzeba podać przed uruchomieniem usługi, to liczba aplikacji/domen, które chcemy objąć ochroną, oczekiwana całkowita przepustowość dystrybucyjna oraz ewentualne rozszerzenia opcjonalne.

Obciążenia naliczane są w miesięcznych odstępach, a podstawowy koszt ochrony pojedynczej aplikacji kształtuje się na poziomie 22,30 euro. Do ceny doliczyć należy opłatę za żądaną przepustowość firewalla w ujęciu miesięcznym, która to stanowi główną składową ceny ostatecznej – dla 25 Mb/s jest to koszt rzędu 375 euro, 50 Mb/s – 662 euro, a dla 100 Mb/s jest to już 1129 euro. Dostępne są również pakiety o przepustowości 250, 500, 1000 i 5000 Mb/s.

> OCHRONA PODSTAWOWA

Spektrum ochrony podstawowej jest całkiem szerokie. W standardzie otrzymujemy ochronę przeciwko atakom zdefiniowanym w ramach OWASP Top 10, bieżące aktualizacje sygnatur ataków i baz reputacji, ochronę API oraz nielimitowaną protekcję przeciw wolumetrycznym i aplikacyjnym atakom DDoS.

Za dodatkową opłatą dostępne są także dwa opcjonalne pakiety – Advanced Bot Protection oraz Advanced Threat Protection. W pierwszym przypadku algorytmy uczenia maszynowego pozwalają na wykrycie i skuteczną blokadę botów, z uwzględnieniem przeciwdziałania automatycznym atakom słownikowym typu credential stuffing czy spraying, a także wykorzystanie wewnętrznego scoringu. Miesięczny koszt ochrony tego typu również zależy od przepustowości i przykładowo dla 25 Mb/s mowa tu o 187,50 euro. W przypadku Advanced Threat Protection wycena opiera się na identycznych zasadach, a sama usługa jest około 30% tańsza od zaawansowanej ochrony przed botami. W zamian otrzymujemy możliwość wielopoziomowej analizy plików przesyłanych do chronionej aplikacji webowej pod kątem zaawansowanych ataków, w tym również wykorzystania podatności zero-day. Wśród wspieranych formatów plików znaleźć można te pochodzące z najpopularniejszych aplikacji, jak chociażby PDF, DOC, XLS, XML czy CAB. Maksymalny rozmiar pliku to 10 MB. Producent umożliwia także darmowy, 30-dniowy okres testowy. W ramach licencji typu trial otrzymujemy ochronę do 10 aplikacji w pełnym zakresie funkcjonalnym, z uwzględnieniem wspomnianych już funkcji ATP oraz ABT, dla przepustowości 50 Mb/s.

Sama konfiguracja ochrony sprowadza się do zdefiniowania domen aplikacji, które zamierzamy chronić, wskazania rzeczywistych serwerów hostujących nasze aplikacje (HTTP lub HTTPS) oraz modyfikacji rekordów DNS. Oczywiście konieczne jest także ograniczenie dostępu do serwerów backend jedynie do adresów IP podanych przez Barracudę. W przeciwnym wypadku dostęp do aplikacji webowych będzie również możliwy z pominięciem WAF-a. Od razu po zakończeniu propagacji zmian na poziomie rekordów DNS wszystkie zapytania będą kierowane na serwery dostawcy usługi. Usługa automatycznie dobiera podstawową lokalizację chmurową, w której będzie świadczona na podstawie adresów IP serwerów typu backend. Oczywiście administrator ma możliwość ręcznie wskazać lokalizację centrum danych. W pierwszej fazie, tuż po uruchomieniu WAF-a, warto skorzystać z trybu monitoringu, który z powodzeniem wychwyci wszelkiego rodzaju podatności i próby ataków, ograniczając swoje działanie jedynie do odpowiedniego zalogowania zdarzenia. Przejście do docelowego trybu ochrony, a więc blokowania, najlepiej uruchomić po przynajmniej kilku dniach obserwacji działania WAF-a w trybie monitoringu. Dzięki temu można wychwycić potencjalne detekcje typu false positives.

[...]

Autor jest architektem w międzynarodowej firmie z branży IT. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową.