1 / 13

Od balancingu k bezpečnosti portálů F5 Agility Forum 2011

Od balancingu k bezpečnosti portálů F5 Agility Forum 2011. Pavel HEJDUK Chief ICT Security Officer ČEZ ICT Services, a. s. Od balancingu k bezpečnosti portálů. AGENDA Představení ČEZ ICT Services, a. s. Obvyklý problém a řešení na perimetru Bezpečnostní koncept portálů

donoma
Download Presentation

Od balancingu k bezpečnosti portálů F5 Agility Forum 2011

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Od balancingu k bezpečnosti portálůF5 Agility Forum 2011 Pavel HEJDUK Chief ICT Security Officer ČEZ ICT Services, a. s.

  2. Od balancingu k bezpečnosti portálů AGENDA • Představení ČEZ ICT Services, a. s. • Obvyklý problém a řešení na perimetru • Bezpečnostní koncept portálů • Shrnutí, TO-DO, závěr

  3. Představení společnosti ČEZ ICT Sevices, a. s. • Poskytovatel IT a TELCO služeb pro Skupinu ČEZ • Provoz a rozvoj systémů ERP, CIS, TIS/GIS, … • 12tis. interních uživatelů • 15tis. koncových zařízení • Více jak 2000 instancí serverových OS • Poskytování ICT služeb pro • Integrované společnosti Skupiny ČEZ v ČR (22 lokalit) • Akvizice (Bulharsko, Rumunsko, Polsko, …) • Další majetkové účasti

  4. Internetový perimetr Služby na perimetru SMTP proxy HTTP proxy VPN/ VPNSSL portály DNS

  5. Požadavky Robustní řešení pro application delivery • Generické řešení • Rozklad zátěže a zajištění vysoké dostupnosti (lokálně i geograficky) • Konvergence uživatelů mezi DC • Zajištění bezpečnosti aplikací na L7 • Offload generických funkcí z aplikačních serverů • Škálovatelnost aplikací, sdílené prostředí

  6. Generické řešení na bázi F5 LTM & ASM GTM (site selection) LTM & ASM

  7. Služby přístupu na Internet SMTP, HTTP/S, FTP... • HTTP/FTP proxy, content filtering • Rozklad zátěže na více boxů, site-selection • Persistence pro transparentní autentizaci • SMTP proxy, antispam, content filtering • Rozklad zátěže, dostupnost mezi DC • Balancing vnitřní infrastruktury - mimo virtuální DMZ

  8. Služby vzdáleného přístupu Několik technologií pro různé přístupy • Juniper SA/Citrix, Juniper SA/OWA etc... • Konvergence uživatelů • Služby LTM, auto-redirect na SSL • ActiveSync – přístup k MS Exchange • Terminace a reenkrypce SSL • URL filtering • Applikační firewall

  9. Bezpečnostní koncept portálů Obvyklá architektura portálů internet perimetr datacenter Webové servery Portálová aplikace Middleware Backend systém Backend systém

  10. Bezpečnostní koncept portálů Obvyklá charakteristika portálů • Balíková řešení • Vysoký stupeň customizace • Integrace s interními systémy • „Obvyklá“ běhová prostředí s „obvyklými“ problémy (Oracle iAS, SAP ITS, MS IIS, …) • Problémy s patchováním, patch analýza • Out-of-box řešení reverzní proxy

  11. Bezpečnostní koncept portálů Mandatorní požadavky • Standardizace využití služeb reverzní proxy na bázi F5 • Rozklad zátěže (balancing), přepisování URL a hlaviček, konverze HTTP z 1.0 na 1.1 • SSL offload, kontrola certifikátů a jejich vložení do hlaviček requestu • Opětovné šifrování • Penetrační testy portálu • Nastavení ASM modulu • Online vyhodnocování logů z ASM v SIEM, eskalace incidentů

  12. Shrnutí a TO-DO list • Využití GTM – site selection internetového připojení • Využití LTM – bezpečnostní funkce, portály • Využití ASM - bezpečnostní koncept portálů TO-DO • Striktní prosazení bezpečnostního konceptu na všechny portály • Revize HW infrastruktury – přechod na HW řadu VIPRION • Rozšíření F5 technologie (GTM/LTM) do interních částí DC

  13. Závěr Děkuji za Vaši pozornost Pavel Hejduk ČEZ ICT Services, a. s. pavel.hejduk@cez.cz

More Related