DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications. www.denyall.com.



Documents pareils
Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

NEXT GENERATION APPLICATION SECURITY

NEXT GENERATION APPLICATION SECURITY

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Présentation de la solution Open Source «Vulture» Version 2.0

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Newsletter DenyAll 2014

Critères d évaluation pour les pare-feu nouvelle génération

Sécuriser une infrastructure de postes virtuels avec Citrix NetScaler.

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Contrôle d accès Centralisé Multi-sites

La Gestion des Applications la plus efficace du marché

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Groupe Eyrolles, 2004, ISBN :

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Vulnérabilités et sécurisation des applications Web

z Fiche d identité produit

La Sécurité des Données en Environnement DataCenter

Créée en 2002, la société PineApp est pionnière sur le. Le siège de la société se trouve aux États-Unis, avec des

Formations. «Produits & Applications»

Aperçu technique Projet «Internet à l école» (SAI)

Mon Sommaire. INEO.VPdfdf. Sécurisations des accès nomades

Catalogue «Intégration de solutions»

I. Description de la solution cible

Trusteer Pour la prévention de la fraude bancaire en ligne

Outil d aide à la vente

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET

C Y B E R S E C U R I T Y

Fiche Technique. Cisco Security Agent

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux


PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Linux sécurité des réseaux

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Web Security Gateway

Appliances et logiciels Security

Sécurisation du réseau

Appliances et logiciels Security

Vulnérabilités et solutions de sécurisation des applications Web

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

Sécuriser l entreprise étendue. La solution TRITON de Websense

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Appliances d accès distant sécurisé pour PME, la série SRA

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

ADF Reverse Proxy. Thierry DOSTES

OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

Groupe Eyrolles, 2006, ISBN : X

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Business et contrôle d'accès Web

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

Exemple de configuration ZyWALL USG

Vers un nouveau modèle de sécurisation

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

10 façons d optimiser votre réseau en toute sécurité

DenyAll Detect. Documentation technique 27/07/2015

Hébergement de sites Web

Appliances Secure Remote Access

Guide d administration de Microsoft Exchange ActiveSync

Mise en place d une politique de sécurité

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Fermer les portes dérobées des applications réseau

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Citrix NetScaler : une base solide pour la sécurité des datacenters de nouvelle génération

Le socle de sécurité nouvelle génération Consolider, virtualiser et simplifier les architectures sécurisées

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

KASPERSKY SECURITY FOR BUSINESS

Smart Notification Management

SOLUTIONS TRITON DE WEBSENSE

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Annexe 6. Kaspersky Security For Mail servers Anti-Spam/Antivirus. Consulting Team

FleXos : Présentation Zscaler

agility made possible

Single Sign-On open source avec CAS (Central Authentication Service)

WINDOWS Remote Desktop & Application publishing facile!

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Déploiement de l iphone et de l ipad Gestion des appareils mobiles (MDM)

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

UCOPIA EXPRESS SOLUTION

Présentation KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

AccessMaster PortalXpert

Déploiement d iphone et d ipad Gestion des appareils mobiles (MDM)

MailCube MC 2. 2,5 jours / homme / an. 33 milliards de kwh. 17 millions de. 3,1 millions de. nouvelle génération. Le spam en quelques chiffres :

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Découvrir les vulnérabilités au sein des applications Web

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Trend Micro Deep Security

Le spam introduction. Sommaire

PortWise Access Management Suite

Pourquoi choisir ESET Business Solutions?

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Transcription:

DenyAll Protect DenyAll Protect Parefeux pour applications et services Web Sécurité & accélération de vos applications Sites institutionnels ou marchands, messageries, outils collaboratifs, portails d applications d entreprise, web services et bases de données : vos applications sont au coeur de votre système d information, et la cible favorite des pirates. Déployés dans votre DMZ, derrière votre firewall réseau, les parefeux applicatifs de la gamme DenyAll Protect bloquent les attaques qui ciblent la couche applicative de votre infrastructure. Fruit de quinze années d innovation, ils combinent des fonctions adaptées à vos besoins, pour vous protéger efficacement, y compris contre les attaques inconnues les plus complexes. Avec DenyAll Protect, réduisez les risques de vandalisme, de déni de service, d intrusion et de vol, et minimisez leur impact sur le chiffre d affaires et la réputation de votre entreprise. DenyAll sproxy Le parefeu applicatif «plug&protect» DenyAll rxml Le meilleur parefeu pour web services DenyAll rweb Le parefeu applicatif de nouvelle génération DenyAll rweb + Client Shield La solution de sécurité applicative «end to end» Principaux bénéfices Protection immédiate, sans configuration complexe, contre les attaques connues et inconnues visant les couches applicatives (injections, cross-site scripting, etc). Possibilité de mettre en oeuvre une politique de sécurité plus restrictive, adaptée aux besoins spécifiques de votre entreprise. Capacité à filtrer efficacement les nouveaux langages et protocoles du Web 2.0. Sécurisation inégalée des Web Services, sans impact sur l architecture applicative. Accélération applicative en vue d optimiser l expérience des utilisateurs. Continuité du service grâce aux mécanismes de répartition de charge et haute disponibilité. Configuration et suivi centralisé via DenyAll management console. Conformité avec la norme PCI DSS (pour les sites marchands). www.denyall.com

DenyAll Protect : Le WAF complémentaire du firewall réseau Déployé derrière le firewall réseau, qui laisse passer les flux Web entrants, le WAF reçoit les requêtes http/ https, les analyse et bloque les attaques de type injections ou cross-site scripting. DenyAll sproxy 4.1 : le parefeu applicatif «plug&protect» A l heure du Web 2.0, un WAF est un élément de contrôle incontournable pour sécuriser votre système d information. Déployé facilement en frontal de vos serveurs (Webmail, portail, ERP, etc), il les protège des attaques modernes (injection SQL, cross site scripting, etc) et accélère l accès pour les utilisateurs. Quelle que soit la taille de votre organisation ou son secteur d activité, il vous faut au minimum sproxy pour lutter contre le vandalisme, les dénis de service, le vol de données et l espionnage industriel. Mise en place rapide La mise en oeuvre de sproxy s effectue en quelques clics : via une interface graphique optimisée, Pas de modification du DNS : le mode transparent sécurisé facilite le déploiement, tout en profitant de la sécurité du reverse proxy, Politiques de sécurité, d accélération et d authentification prédéfinies pour les applications courantes (Outlook Web Access, SharePoint, inotes, SAP, etc.), Pas d apprentissage initial : protection immédiate sans configuration spécifique. Protection contre les attaques inconnues La scoring list, une technologie unique, stoppe les attaques de demain. - Méthode unique pour détecter les attaques non publiées («0-day»). - Ni paramétrage, ni apprentissage, ni mise à jour. - Analyse agnostique au contenu (Ajax, JSON, Javascript, etc.).

DenyAll Protect : une plateforme éprouvée Les produits de la gamme DenyAll Protect sont issus de la même plateforme modulaire, fruit de quinze années d innovation au service de la sécurité applicative de clients exigeants. Reverse Proxy Reverse Proxy Reverse Proxy High Availability Application Acceleration Standard Web App Security Advanced Web App Security XML Security User Security Distributivity Caching Deep Inspection White List Model Validation Client Certificates Active-Passive Compression Transformation Stateful XML Validation User Authentification Active-Passive TCP Multiplexing Black List User Behavior Tracking Transformation SSO Integration SSL Offloading Scoring List Adv. Detection Engines Black List Cookie Tracking Server Load-Balancing ICAP Support Virtual Patching Stateful Command Injection Engine Client Shield SOAP Attachments JSON security ACL Fonctions communes à tous les produits REVERSE PROXY Analyse des requêtes http/https pour ne transmettre à vos serveurs que celles qui ne sont pas malicieuses. La rupture protocolaire permet de cacher l infrastructure, de bloquer les attaques visant les vulnérabilités de vos serveurs internes. Le mode transparent sécurisé facilite le déploiement (pas de modification de l adressage IP) mais sans compromettre le niveau de sécurité (reverse proxy intégral). SÉCURITÉ WEB Inspection en profondeur : techniques de canonisation (normalisation des données transmises), d anti-évasion et de détection d anomalies. Transformation du contenu des requêtes pour éviter les attaques basées sur la malformation d URL, le spoofing d entête, et prévenir le vol de données. Blacklist : plus de 1000 filtres protègent contre les différents types d attaques applicatives connues (crosssite scripting, injection SQL, etc). La liste est mise à jour tous les mois par le DenyAll Research Center (DARC) Scoring list : détermine la dangerosité potentielle des connexions entrantes, en analysant le contenu des requêtes et en appliquant un système de poids. Protège contre les attaques inconnues («0-day»). Le moteur de sécurité JSON permet de filtrer intégralement ces structures de données à l aide des moteurs de sécurité http. Filtrage dynamique des injections de commande pour bloquer les attaques sans générer de faux positifs. SÉCURITÉ DES UTILISATEURS Authentification des utilisateurs par certificats SSLv3. ACCÉLÉRATION DES APPLICATIONS Caching des pages les plus souvent demandées. Compression à la volée des données. Multiplexage des connexions entrantes (tunnels HTTP/1,1). Terminaison des tunnels SSL. Server load-balancing : distribution du trafic entrant à destination des serveurs de votre infrastructure. HAUTE DISPONIBILITÉ Des «clusters», dans lesquels plusieurs WAF fonctionnent de concert, en mode actif-passif ou actif-actif, assurent la redondance de votre sécurité applicative. Capacité de montée en charge de vos applications grâce au mécanisme de synchronisation automatique du mode actif-actif, configuré en quelques minutes. ÉVOLUTIVITÉ Vos contrôles de sécurité applicative évoluent en fonction de vos besoins. Une simple clé de licence permet d évoluer de sproxy vers rxml (protection des Web Services) ou vers rweb (sécurité avancée des applications web), ou encore d ajouter à rweb les fonctions de protection des Web Services : Protection des Web Services : - Validation des modèles XML - Filtres spécifiques contre les attaques visant les Web Services - Protection des serveurs UDDI, etc. Sécurité avancée des applications web : - Whitelist (modèle de sécurité positive), - Analyse comportementale (UBT), - Protection des sessions HTTP (stateful), - Moteurs de Détection Avancée, - Module optionnel de sécurisation du navigateur (Client Shield).

DenyAll rxml 4.1 : le meilleur firewall pour web services Au sein d architectures orientées services (SOA), la sécurité des applications et des données est simplifiée par rxml. Il protège efficacement vos Web Services contre les attaques applicatives sans changement d architecture. Il sécurise les transactions XML/SOAP entre composants internes et externes de vos applications, évitant ainsi les dénis de service et le vol de données. Principaux bénéfices Sécurisation des Web Services existants sans impact sur l architecture applicative. - rxml n est pas un acteur du Web Service, - Aucune modification requise de la configuration des composants du Web Service, - Pas de modification de l architecture d échange de clés de chiffrement ou de signature. Haut niveau de protection face aux attaques applicatives courantes. Niveau de sécurité XML/SOAP inégalé face aux attaques visant spécifiquement les Web Services. Pas d apprentissage : vos Web Services sont protégés en quelques clics. Fonctions spécifiques à DenyAll rxml Validation du modèle : les données transmises par les Web Services sont vérifiées et mises en conformité avec les modèles XML (WSDL, XSD et DTD). Des règles additionnelles peuvent être spécifiées pour renforcer ces modèles. Validation et transformation XML : pour éviter la fuite de données, les messages d erreurs effacés, les données sensibles remplacées et la complexité vérifiée (taille maximale d un document ou profondeur maximale de l arbre). Black List : des signatures spécifiques (injections xpath, XML, DoS, etc) combinées aux filtres http génériques assurent un excellent niveau de sécurité face aux attaques ciblant les Web Services. Protection unique contre les injections xpath en aveugle. Stateful : le suivi des éléments XML permet d éviter l altération des données, que ce soit involontairement par un utilisateur, ou lors de leur transmission, du fait d un attaquant. Pièces jointes SOAP : elles peuvent être autorisées ou non, une taille maximale peut être fixée, les pièces jointes textes sont analysées par la black list XML et le filtre http générique, ainsi que par un antivirus via le protocole ICAP. Listes de contrôle d accès : - Contrôle d accès granulaire aux fonctions des différents Web Services (par URL et fonction, par adresse IP source) - Limitation des accès UDDI aux services de la registry, en fonction de l adresse IP source ou des fonctions accédées.

DenyAll Protect DenyAll rweb 4.1 : le WAF de nouvelle génération Pour fournir une expérience utilisateur enrichie, les applications et services Web utilisent de nouveaux langages et protocoles (JSON, AJAX, REST, SOAP, HTML5, etc) et des architectures de plus en plus complexes. Une nouvelle génération de contrôles de sécurité est requise pour faire face à ces évolutions. DenyAll rweb s appuie sur une plateforme éprouvée capable d identifier la nature des requêtes et de bloquer les attaques et tentatives de contournement. Produit le plus complet de la gamme Protect, DenyAll rweb réunit toutes les options présentes dans DenyAll sproxy ainsi que, en option, les fonctions de sécurité XML/SOAP présentes dans DenyAll rxml. Fonctions spécifiques à DenyAll rweb Sécurité avancée des applications web Whitelist : identifie les caractéristiques exactes des données transmises aux applications Web pour une activation rapide et une protection sans faux positifs. Stateful : suivi, signature et chiffrement des données qui sont associées aux sessions HTTP afin de prévenir les usurpations d identité. User Behavior Tracking : le moteur d analyse comportemental identifie et bloque les attaques basées sur des requêtes légitimes, DOS, brute force etc. Moteurs de détection avancée : ils permettent de protéger vos applications contre le chiffrement en base64 des attaques, les advanced path traversal, la pollution des paramètres http, le splitting des requêtes http, l utilisation des tags et attributs html, la détection des injections SQL par analyse grammaticale et des langages de script, les calculs arithmétiques. Sécurité applicative «End to End» avec Client Shield Le navigateur est le point le plus faible dans une chaîne applicative. Pour protéger les données contre les malwares de type «Man-in-the-browser», rweb lance le module optionnel Client Shield, qui contrôle l exécution des navigateurs et empêche les codes malveillants d utiliser une connexion authentifiée pour accéder à l application et voler vos données. Client Shield est proposé en standard pour Outlook Web Access et peut être configuré pour protéger toute application. Mise au point par notre partenaire, Promon, Shield sécurise aussi les navigateurs et applications mobiles tournant sur ios et Androïd. Sécurité des utilisateurs rweb peut déléguer l authentification à des composants tiers tels que serveurs LDAP ou ActiveDirectory, CA SiteMinder (SSO), SecurID (authentification forte) et Radius. Intégration avec les produits DenyAll Detect Après import des rapports de scans de vulnérabilités effectués par les produits Detect, rweb propose des options adaptées pour le patching virtuel des vulnérabilités découvertes. A terme, cette intégration permettra d automatiser la découverte des applications non protégées et la mise en place d une politique de sécurité adaptée. Exemple de patching virtuel avec DenyAll Detect

DenyAll Protect Haute disponibilité v v v v Accélération des applications v v v v Management centralisé (via DAMC) v v v v Sécurité web standard v v v v Sécurité XML/SOAP v v* v* Sécurité web avancée v v Sécurité utilisateur Basic v v Sécurité navigateur * Optionnel Avantages concurrentiels Fonctions de sécurité négative et positive combinées, pour une sécurité maximale Blacklist (attaques connues). Whitelist, protection des sessions http. Fonctions de sécurité inédites : Les Moteurs de Détection Avancée sont de nouveaux modules conçus pour filtrer efficacement les nouveaux langages et protocoles (JSON, HTML5, etc), et faire face aux techniques d obfuscation et d évasion des attaques modernes. La Scoring list protège votre infrastructure contre les attaques applicatives inconnues (zero day). L analyse comportementale (UBT) bloque les attaques automatisées (déni de service, crackage de mot de passe, téléchargement de site, etc). L option Client Shield contrôle l exécution des navigateurs se connectant à vos applications, empêchant les malware de type «Man-in-the-browser» de s injecter dans la session. Intégration avec les produits DenyAll Detect Les rapports de scans Detect importés dans rweb proposent des options adaptées à vos objectifs (sécurité maximale, performance optimisée, réduction des faux positifs), pour le patching virtuel des vulnérabilités découvertes. A terme, l intégration permettra d automatiser la découverte des applications non protégées et la mise en place d une politique de sécurité adaptée. Déploiement facilité et sécurisé Le Mode Transparent Sécurisé permet un déploiement facilité sans compromis de sécurité (reverse proxy). En mode «pooling», aucune connexion n est initiée depuis la DMZ, le LAN interroge la DMZ. Choix du mode de distribution Les parefeux applicatifs DenyAll Protect sont disponibles sous forme de machine virtuelle, d appliance physique ou de logiciel Linux. Detect Protect v Manage DenyAll est un leader innovant sur le marché de la sécurité applicative. Nous aidons les organisations à détecter les vulnérabilités au sein de leur infrastructure et à sécuriser et accélérer leurs applications et services Web. Nos parefeux à base de reverse proxy protègent des applications cloud, SOA et Web transactionnelles contre les attaques connues et inconnues. Basés en France, nous vendons via nos partenaires en Europe, Afrique, au Moyen-Orient, Asie et Amérique latine. NEXTSTEP CONSEIL 04/2013 63ter avenue Edouard Vaillant 92 100 Boulogne-Billancourt FRANCE +33 1 46 20 96 00

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back