WAF: Ochrana webových aplikácií v bankovom sektore

Únik či zneužitie dát sú dnes témami, ktorým by mali firmy, organizácie či akékoľvek inštitúcie venovať čím ďalej tým väčšiu pozornosť. Väčšina ich dát a citlivých informácií je online čo okrem množstva výhod predstavuje aj veľké riziká.

To sa týka aj webových aplikácií, pomocou ktorých majú dnes používatelia prístup k množstvu služieb len prostredníctvom prehliadača. Keďže sú voľne dostupné z internetu, treba ich dostatočne chrániť. Aplikácie čelia rôznym hrozbám ako (ne)dostupnosť služby, únik alebo kompromitácia citlivých údajov a dát ale aj únik zákazníckych dát.

Klasické bezpečnostné riešenia pre ochranu webových aplikácii nie sú dostatočné. Na zvýšenie úrovne ochrany slúži WAF (Web Application Firewall), ktorý zabezpečí aplikácie pred útokmi a poskytne silnú ochrannú stenu. Nášmu zákazníkovi z bankového sektora sme implementovali do sieťovej infraštruktúry WAF od spoločnosti F5, ktorá je globálnym špecialistom na aplikačnú bezpečnosť. Nástroj dokáže detegovať známe útoky, zabrániť im a ochrániť pred zraniteľnosťami (vulnerability) aplikácie. Veľkou výhodou je, že hrozby eliminuje bez toho, aby bolo potrebné vykonávať zmeny v aplikáciách alebo na serveroch kde aplikácie bežia. WAF u zákazníka spracuje a skontroluje približne pol milióna požiadaviek denne.

Ochrana interných aj externých aplikácií

Našou úlohou bolo zákazníkovi zabezpečiť komplexnú ochranu aplikácií. Externé aplikácie, ktoré sú voľne dostupné, bolo potrebné efektívnejšie ochrániť pred útokmi a neautorizovanými prístupmi. Vyššiu bezpečnosť sme zabezpečili tak, že serverom, ktoré sú v DMZ (demilitarizovanej zóne) sme do cesty vložili WAF. Demilitarizovaná zóna už sama o seba využíva zvýšenú bezpečnosť komunikácie s vonkajším prostredím, ktorú zabezpečuje sieťový firewall. Samotný sieťový firewall však neposkytuje dostatočnú ochranu na úrovni aplikácie a práve tu sa deje najviac sofistikovaných útokov. Najčastejšie typy útokov popisuje projekt OWASP https://owasp.org/ a naše riešenie poskytuje ochranu pred všetkými týmito popísanými útokmi. Servery, ktoré sú spustené v DMZ nemajú povolený prístup do lokálnej siete, takže v prípade akéhokoľvek napadnutia nebude môcť útočník napadnúť servery v lokálnej sieti. Naše riešenie je vysokodostupné, odolné voči výpadkom a geograficky oddelené.

„Doteraz, keď používatelia potrebovali akékoľvek informácie napríklad z aplikácie archív, systém ich poslal priamo na archív. My sme zákazníkovi spravili akoby „druhú DMZ“, kde sme prepojili WAF – používatelia teda nepôjdu priamo na archív, ale firewall ich presmeruje na WAF, ktorý spraví požiadavku na archív, vezme požadované informácie a pošle ich používateľovi.“ vysvetľuje Peter Čajkovský, systémový inžinier z DATALANu, ktorý sa na projekte podieľal. Pôvodné spojenie sa takto nahradilo novým, pretože sa do komunikácie postavilo nové WAF zariadenie, ktoré všetko skontroluje a vybaví požiadavku namiesto klienta.

Súčasťou dodávky bola aj ochrana interných aplikácií pomocou portálového riešenia, ktoré sme doinštalovali v rámci F5 a vie zabezpečiť bezpečný prístup k interným aplikáciám ako intranet, servis desk, interný SharePoint, Outlook a mnoho ďalších. Výhodou tohoto riešenia je že klient nepotrebuje VPN, ale stačí mu prihlásenie cez webový prehliadač.  V rámci interných aplikácii sa zamestnanci prihlasujú cez viacfaktorové overovanie.

Táto stránka nie je optimalizovaná pre Internet Expolrer a nemusí fungovať správne.
Odporúčame použiť modernejší prehliadač.