seguridad en las Aplicaciones TIC
Download
Report
Transcript seguridad en las Aplicaciones TIC
Fortinet: seguridad en
las Aplicaciones TIC
Pablo García
Systems Engineer
[email protected]
October 17, 2013
1
Aplicaciones corporativas
Definición
Arquitectura
Seguridad
Ataques
EXTERNOS
2
NGFW vs WAF
¡Si ya tengo un NGFW!
3
Protege tu negocio, protege tus
aplicaciones web
October 17, 2013
4
Protege tu negocio, protege tus aplicaciones
web
• La complejidad de las aplicaciones Web
• Estado del arte y tendencias de los ataques
• Factores críticos
• Consecuencias y ejemplos
• Seguridad Web: una nueva aproximación
• ¿Qué es FortiWeb?
• Soluciones de Application Delivery
5
La complejidad de la seguridad
de las aplicaciones Web
•
¿Que son las aplicaciones web?
•
•
Están escritas con mentalidad de
eficiencia en la entrega de contenidos
Pero en la mayoría de los casos no
se han desarrollado teniendo en
cuenta criterios de seguridad:
6
Son aplicaciones públicas
accesibles desde Internet
Se accede a ellas por medio de un
navegador web y proporcionan
servicios on-line variados
Aplicaciones abiertas con
vulnerabilidades explotables
Potencial exposición de
información sensible
Ataques: desde cambios en la
imagen hasta robos de
identidades, de tarjetas de crédito
o de otro tipo de información
personal
Data Center Perimeter
Front End Web Servers
Database Servers
Últimas tendencias….
• Automatización de los ataques por parte de los
hackers (DDoS, robots, scripts avanzados)
• Acopio masivo de bots
• Aumento de ataques DDoS de nivel 7
• Las gran cantidad de herramientas existentes
hace muy fácil para los “Hacktivistas” unirse a
ataques DDos
• Scanners, crawlers and spiders inundan los
servidores Web
• Orígenes de tráfico infectados con malware
• Claro predominio de ataques SQL
Injection/XSS
7
Web Application
Servers
Factores críticos
8
Factores críticos
9
9
Consecuencias
• Las aplicaciones son en este momento críticas
• Pero …
• 49% de las web apps tienen vulnerabilidades de
alto riesgo susceptibles de ser explotadas con
herramientas automáticas*
• 80%-96% son vulnerables a ataques manuales
• 99% no cumplen el estándar PCI DSS
• La mayoría de las vulnerabilidades no son
resueltas por las tecnologías firewall
tradicionales
• Cross-site scripting
• SQL injection
• Information Leakage
• HTTP Response Splitting
• Implicaciones de negocio de los ataques:
• Pérdidas de ingresos– 300$ por registro robado
• Multas por incumplimientos regulatorios
• Daños a la imagen corporativa y al valor de la
marca
*Source – Web Application Security Consortium (WASC)
10
Unos cuantos ejemplos….
11
Ejemplos: SQL Injection
12
12
Enfoques de la Seguridad en Aplicaciones
Web
• Enfoque proactivo: Seguridad en el ciclo de vida
de las aplicaciones
•
•
•
•
•
Diseño
Desarrollo
Despliegue
Actualización
Mantenimiento
• Ideal pero muy tarde
•
•
•
•
Diffícil
Largo
Costoso
¿Y las aplicaciones legacy?
• ¿Quien tiene la responsabilidad?
• El propietario del software
• Off the Shelf
• Nube
• Enfoque Paliativo: Control de las aplicaciones
• Mitigación de amenazas – (soluciones técnicas y
funcionales)
• Políticas de seguridad en aplicaciones Web
13
La seguridad de Aplicaciones requiere una
nueva aproximación
•
Los firewall detectan ataques de
red
•
•
Inspeccionan IP y puertos
Los IPS detectan solo firmas
conocidas
•
•
•
•
•
•
Es posible la evasión de firmas
No hay protección de tráfico SSL
No comprenden realmente el
protocolo HTTP (cabeceras,
parámetros, etc)
No tienen en cuenta la aplicación
No tienen en cuenta los usuarios
Alta tasa de falsos positivos
Solo los Web Application
Firewalls (WAF) pueden detectar
y bloquear ataques de
aplicación
14
Network Firewall
IPS/Deep Packet
Inspection Firewalls
FortiWeb
Web Application Firewall
Network layer
(OSI 1-3)
Application layer
(OSI 4-7)
FortiWeb : Componentes clave
Firewall de aplicaciones Web - WAF
Securiza apps Web protegiendo frente a ataques y ayudando al cumplimiento regulatorio
Escaner de vulnerabilidades Web
Escanea, analiza y detecta vulnerabilidades de aplicaciones Web
Application delivery
Garantiza la disponibilidad y asegura el rendimiento de las aplicaciones Web críticas
IP Reputation Intelligence Service: IRIS
Combina el conocimiento de amenazas geográficas (GeoIP) e información de reputación
para alimentar un motor de análisis y detección por origen
Securiza aplicaciones
Web
15
Protege Web
Services
Optimiza la entrega
de Aplicaciones
La familia de appliances FortiWeb (I)
Despliegues medios
Reader’s Choice
• Rendimiento de 100 Mbps HTTP
Winner
• 10,000 transacciones por segundo searchsecurity.com
• Almacenamiento: 1 TB
• 4 interfaces 10/100/1000 en cobre
FortiWeb-400C
Competitivo en mercado PCI pequeño
NEW!
FortiWeb-1000D
Plataforma de rendimiento medio
NEW!
FortiWeb-3000D/3000D FSX
Entornos de enterprise, High End y MSSPs
16
Despliegues grandes
• Aceleración basada en ASIC – Dual CP8
• Rendimiento de 750 Mbps HTTP
• Almacenamiento: 2x2 TB storage
• Soporte RAID
• Fuente de alimentación redundante y Hot-swap
• 6 interfaces 10/100/1000 en cobre (4 bypass) + 2 SFP
Despliegues grandes/ Service Providers
• Aceleración basada en ASIC – Dual CP8
• Rendimiento de 1.5 Gbps HTTP
• 60,000 transacciones por segundo
• Almacenamiento: 2x2 TB storage
• Soporte RAID
• Fuente de alimentación redundante y Hot-swap
• 6 interfaces10/100/1000 en cobre (2 bypass) (+ 2 SFP Fibra en
FSX)
La familia de appliances FortiWeb (II)
FortiWeb-4000D
Entornos de enterprise, High End y MSSPs
FortiWeb Virtual
DMZ
Servers / DMZ
Public Zone
FortiWeb
Desktop
Virtual
Appliance
s/
Private
Virtualized Data Center
17
NEW!
Despliegues grandes/ Service Providers
• Aceleración basada en ASIC – Dual CP8
• Rendimiento de 4 Gbps HTTP
• 100,000 transacciones por segundo
• Almacenamiento: 2x2 TB storage
• Soporte RAID
• Fuente de alimentación redundante y Hot-swap
• 8 interfaces10/100/1000 en cobre (2 bypass)+ 2 SFP Fibra
bypass
Requisitos
Min needed for
FortiWeb-VM
Licencias disponibles
2-vCPU, 4-vCPU, 8-vCPU
Hypervisor
VMware ESXi/ESX
3.5/4.0/4.1/5.0/5.1
Memoria
Min. 1024
CPU
Min. 2 virtual CPU’s
10/100/1000 Interfaces
Min. 2 Max. 4virtual NIC’s
Almacenamiento
Min. 40G
ADN: Foco en las aplicaciones. Soluciones
End-to-End
APPLICATION DELIVERY NETWORK
Server Side
•
•
•
•
•
•
18
Security
•
•
•
•
•
FortiADC
Coyote Point
ADC
Server LB
SSL Offloading
Compression
•
•
•
•
Outer Perimeter
•
•
•
•
FortiGate
FortiGuard
FortiAnalyzer
FortiManager
FortiWeb
Firewall/VPN
Antivirus/malware
IPS/IP Reputation
WAF
•
•
•
FortiADC (LLB/GSLB)
Coyote Point (GSLB)
FortiDirector (GSLB)
AscenLink (LLB/Tunnel
Routing)
WAN Optimization
GSLB
Link Load Balancing
Qué es un FortiADC?
Empieza con un Balanceador
• L4 TCP/UDP
• Funcionalidad L7 limitada
• Health checks básicos
• Persistencia por IP
• Algoritmos básicos
Y entonces añade…
• Reglas a L7 personalizables,
redirects and rewrites
• Health checks avanzados
• Automatización avanzada
• Balanceo Global/disaster
recovery
• Aceleración SSL, compresión
Application Delivery Controller (ADC)
El ADC es la nueva generación de balanceadores con funcionalidades avanzadas que gestiona el tráfico a nivel de
aplicación y proporciona otros servicios adicionales como SSL offloading y compresión Gzip con el objetivo de
mejorar y aumentar el rendimiento de las aplicaciones para los usuarios finales.
19
Gracias
20