F5 Application Security Michael Frohn General Manager Central & Eastern Europe m.frohn@f5.com September 2006
2 Meine heutige Mission... Was ist überhaupt Application Security und warum brauche ich das? Welche Lösungsansätze und -Möglichkeiten gibt es? Was zeichnet eine Application Security Firewall aus?
3 Markettrends Web-Portierung von unternehmenskritischen Anwendungen Mission-Critical Applications ERP, CRM, SCM - im Zugriff über Web Business-Critical Applications Nutzung der Vorteile der Integration von Sprache, Daten und Video Erhöhung der Profitabilität Data Centre Consolidation Zentralisierung der Anwendungen und Zugriff über Web XML-based Web Services B2B Geschäftsprozesse über Web Services / XML Mobile Applications Zugriff auf Unternehmensapplikationen von mobilen (privaten?) Endgeräten
4 Das Sicherheitsloch bei den Anwendungen 64% of the 10 million security incidents tracked targeted port 80. DATA Information Week
5 Application Security Lackmus-Test...oder: Die Stunde der Wahrheit Einfache Version: Kann Ihr WAF z.b. erkennen, das in der URL eines Online-Shops der Preis der Ware geändert wurde? Technische Version: OWASP (http://www.owasp.org/index.php/owasp_top_ten_project ) 1. Unvalidated Input 2. Broken Access Control 3. Broken Authentication and Session Management 4. Cross Site Scripting 5. Buffer Overflow 6. Injection Flaws 7. Emproper Error Handling 8. Insecure Storage 9. Application Denial of Service 10. Insecure Configuration Management
6 Begriffe Web Application Firewall (WAF)
7 Lösungsansätze für Application Security Applikationen fehlerfrei machen Network Firewalls + Marketing Tools in den Web-Servern Infrastruktur-Lösung
8 Mission Impossible Applikationsentwickler sollen das Unmögliche tun Problemlösungen entwickeln Geschäftsprozesse abbilden Optimierung 1+1=2 Applikationssicherheit Skalierbare Lösung Integration / Interfaces Hochverfügbare Anwendung Application Performance
Wo macht Application Security Sinn? Option 2 Routing, ACL Router Network Layer Security Packet Filtering Pros: First point of entry Cons: Zero application fluency Wrong location No support for SSL Too little and expensive processing power Option 3 Network Security Firewall BIG-IP LTM and Web application firewall, Application Security rather than Manager Web Server Pros: Experienced in Network security Has some session & app protocol awareness Cons: No application fluency Out in DMZ / wrong location Not optimized for L7 processing Cannot filter encrypted content Less focus on SSL Option 4 Application Security, Optimization & Delivery A combined application delivery controller stand-alone Session Layer Application Layer products, provides a Security Security, single-vendor Acceleration, relationship Stateful Inspectionand performance & Availability improvements. Gartner Research Pros: Application Fluent Already used as SSL proxy for applications High performance Layer 7 processing Stronger support for L7 protocol validation Perfect location directly in front of applications and servers Cons: Less focus on Layer 2/3 security Option 1 Application Core Functionality App. Server Database Pros: Very specific to each application type and vendor Cons: Complex to manage Costly to implement inside each application Error-prone In-efficient and re-active 9
10 Teure Einzellösungen Anwender Einzellösungen Anwendungen Mobile Phone Global Load Balancer DoS Protection SSL Acceleration PDA Rate Shaping/QoS CRM CRM SFA ERP Laptop ISP Load Balancer Content Proxy Acceleration/ Transformation Application Load Balancer ERP CRM ERP SFA Desktop WAN Connection Optimisation Web Application Firewall Traffic Compression Custom Application SFA Co-location Email Application Firewall XML Application Firewall
11 F5 s integrierte Lösung Anwender The F5 Solution Anwendung Mobile Phone PDA Laptop Desktop Application Delivery Network TMOS CRM Database Siebel BEA Legacy.NET SAP PeopleSoft IBM ERP SFA Custom Co-location
12 Secure Optimised Application Delivery Applications optimised by F5 (Examples): Application Delivery Network
13 F5 - Eine Architektur zur Integration icontrol for Application Integration Application Security F5 Products Application Optimisation Application Availability Shared Application Services TMOS Operating System Shared Network Services
14 Negatives vs. Positives Security Modell Negatives Security Modell Sperren bekannter Angriffe Alles andere ist erlaubt Patch einspielen so schnell es geht (Verwundbarkeit gegenüber Day Zero Attacks) Positives Security Modell (Automatische) Analyse der Web-Applikation Erlauben gewollter Transaktionen Alles andere ist gesperrt Implizite Sicherheit gegen neue, noch unbekannte Angriffe (Day Zero Attacks)
15 icontrol vereinfacht die Applikations-Integration Nutzen Sie das Wissen und die Erfahrung, auf die Sie Zugriff haben! Wichtige Inhalte XML/SOAP Interface Software Development Kit Technologiepartnerschaften DevCentral als zentrale Plattform Vorteile Offene, standardbasierte Integration Vereinfachte Entwicklung Geprüfte Integration Beispielprogramme, Dokumentation, Diskussionsforen
16 Real World Application Performance Testing Berücksichtigt alle für Anwenderzufriedenheit relevanten Daten Testet ganze Anwendungs- Transaktionen Über 2000 Tests Ergebnisse: BIG-IP verbessert die Antwortzeit um den Faktor Zwei oder besser Verringerung des Bandbreitenbedarfs um >75% Verringerung der Timeouts um >80% Entlastung der Server durch 98% weniger Verbindungen
17 F5 Kunden in Europa (1 of 2) Banking, Financial Insurance, Investments Telco, Service Providers, Mobile
18 F5 Kunden in Europa (2 of 2) Transport, Travel Media, Technology, Online Manufact., Energy Governm., Other Health, Consumer
19 Unsere Strategie prägt eine Branche Challengers Leaders F5 Networks Magic Quadrant for Application Delivery Products, Dec. 2005 Ability to Execute Cisco Systems Nortel Networks Citrix Systems (NetScaler) Radware Juniper Networks (Redline) Akamai Technologies Netli F5 continues to build on the momentum generated by the release of v9.0. It commands over 50% market share in the advanced platform ADC (Application Delivery Controller) segment and continues to pull away from the competition. Coyote Point Systems Array Networks Foundry Networks Niche Players NetContinuum Stampede Technologies Zeus Technology Visionaries F5 is one of the thought leaders in the market and offers growing feature richness. It should be high on every enterprise's shortlist for application delivery. Source: Gartner, December 2005 Completeness of Vision
20 F5 Application Delivery Networking Anwender Rechenzentrum Heimarbeitsplatz Im Büro Unterwegs Application Delivery Network SAP Microsoft Oracle... Geschäftliches Ziel: Erreichen dieser Aufgaben auf operativ effizienteste Weise