F5 : SECURITE ET NOUVEAUX USAGES
Présentation générale F5 networks Leader du marché de l application delivery networkwing 1,380,000,000 Revenu sur l année fiscale 2012 3,000+ collaborateurs dans le monde Partenariat fort avec les editeurs de logiciels 40 collaborateurs en France
LE MODÈLE ACTUEL DE SÉCURITÉ DU DATA-CENTER. Sans F5 Firewall Protection Ddos Réseau Protection Ddos applicative Gestion des accès et authentification Repartiteur de charge Repartiteur de charge & SSL Sécurité DNS Firewall applicatif with f5 Consolidation du firewall, de la sécurité applicative et de la gestion de trafic Protection du datacenter et des applications Haute performance et evolutivité
Repenser la sécurité du système d information Sans f5 Firewall Network DDoS Application DDoS Web Access Management Load Balancer DNS Security Load Balancer & SSL Web Application Firewall Avec f5 Consolidation du firewall, de la sécurité applicative et de la gestion de trafic Protection du datacenter et des applications Haute performance et evolutivité
BIGIP : collection 2012 Chassis VIPRION VIPRION 2400 VIPRION 4400 Appliances classiques 1M - 4M L7 RPS 400K - 1.6M L4 CPS 18G -72G/40G - 160G - L7/L4 TPUT 1.6M - 6.4M L7 RPS 700K - 2.8M L4 CPS 18G- 72G L7/L4 TPUT BIG-IP 1600 100k L7 RPS 1G L7/L4 TPUT Editions Virtuelles 1k TPS SSL BIG-IP 3600 135k L7 RPS 2G L7/L4 TPUT 2k TPS SSL BIG-IP 3900 400k L7 RPS 175K L4 CPS 4G L7/L4 TPUT BIG-IP 6900, BIG-IP 8900 600k L7 RPS 220K L4 CPS 6G L7/L4 TPUT Up to 1.9M L7 RPS Up to 800K L4 CPS Up to 20G TPUT BIG-IP 11050 2.5M L7 RPS 1M L4 CPS Up to 42G TPUT 200M /1GTPUT
BIGIP : collection 2013 Chassis VIPRION VIPRION 2400 VIPRION 4400 1M - 4M L7 RPS 400K - 1.6M L4 CPS 18G -72G/40G - 160G - L7/L4 TPUT 1.6M - 6.4M L7 RPS 700K - 2.8M L4 CPS 18G- 72G L7/L4 TPUT Appliances classiques Editions Virtuelles BIG-IP 2000/2200 212 / 425 L7 RPS 2G / 4G L7/L4 TPUT 2K / 4K TPS SSL BIG-IP 4000/4200 425 / 850k L7 RPS 8-10 Gb L7/L4 TPUT 4.5 / 9K TPS SSL BIG-IP 10200 2M L7 RPS 24 Gb L7/L4 TPUT 42K TPS SSL 200M/1G/3G
Architecture modulaire et évolutive avec BIG-IP et TMOS
Diriger le trafic vers la meilleure ressource avec BIG-IP Local Trafic Manager (LTM) BIG-IP LTM Garantir la disponibilité des applications, l intégrité des sessions et la cohérence des transactions via tests de vie, gestion du trafic, répartition de charge et persistance
Local Trafic Manager Disponibilité des applications Répartition de charge L4-L7/IPV4-6 Monitoring du service applicatif Visibilité du service applicatif Protection des applications Firewall réseau intégré Protection Ddos L4 Gateway Ipsec Optimisation des applications Gestion du chiffrement/déchiffrement SSL Gestion de la compression/décompression HTTP Gestion du cache HTTP
Assurer la disponibilité globale des applications Avec BIG-IP Global Traffic Manager (GTM) Distribue les utilisateurs vers le meilleur site, application, ou composant entre les différents Data Centers, en fonction de votre politique
Global Trafic Manager Disponibilité global des applications Service DNS intelligent (GSLB) Base de geolocalisation intégrée Compatible IP-anycast Gestion du service DNS standard Zone local DNS Cache DNS Forwarder/Resolver DNS Protection du service DNS Protection Ddos DNS Replication d une zone existante (Dns Express)
Protéger les applications Webs avec BIG-IP Application Security Manager (ASM) Sécurisation de niveau 7, anti DDOS, Webscrapping, brute force, modèles de sécurité positive et négative
LA SECURITE APPLICATIVE Protéger les données Sécuriser les applications Webs Detecter et remédier aux faillles de sécurité applicative Patching virtuel immédiat (SDLC) Remédiation aux attaques DDoS Défendre les infrastructures contre les attaques webs et les comportements anormaux. Proactivement sécuriser les applications contre les failles d aujourd hui et de demain S appuyer sur des partenaires stratégiques pour la détection de failles Accélérer et améliorer le temps de déploiement des applications Proposer une solutions de protection de l ensemble des attaques DDoS
SECURISER LES APPLICATIONS WEB Cas d usage Requête effectuée Application de la politique de sécurité Server response Autoriser Bloquer Journaliser Réponse délivrée Application de la politique de sécurité La solution F5 nous a permis d améliorer notre sécurité simplement et rapidement plutôt que d investir dans le dévelopement de mise à jour ou de nouvelles applications sécurisées
SE PROTEGER CONTRE LES VULNERABILITES APPLICATIVES Cas d usage Site Web client à protéger Site Web client protégé Scanner de vulnérabilité Détecter les vulnérabilités Fournir un rapport protection du site immédiate BIG-IP Application Security Manager Importer le rapport pour générer sa politique de sécurité Détecter et remédier en un point unique d administration Remédiation instantanée
BIG-IP Application Security Manager Protection des applications webs contre: Failles de sécurité OWASP (Cross-side-scripting, Sql Injection..) Attaques de type déni de service (DDOS) Attaque d authentification (Brute Force) Contrôle des usages Controle du trafic robotisé (Webscrapping) Géolocalisation des utilisateurs Supervision et Reporting Surveillance des performances applicatives Journalisation et reporting des attaques et des usages Mise en conformité aux normes PCI-DSS
Contrôler l accès aux applications Avec BIG-IP Access Policy Manager (APM) Authentification, contrôle d accès, VPN SSL, portail, SSO, contrôle du poste de travail
LA GESTION DE L ACCES Adresser le BYOD simplement Securiser le point de connexion Gérer les enjeux de l authentification Accélérer et sécuriser l accès distant Les employés veulent utiliser leurs périphériques personnels simplement Capacité de scanner les périphériques mobiles pour valider la conformité et remédier si necessaire Authentification à double facteur et intégration avec les fournisseurs de service Capacité de connexion et d accélération transparente
Gérer l accès en toute sécurité Cas d usage Stratégie d accès Administrateur 832849 Domaine d entreprise HR Niveau d AV Niveau d O/S User = HR Serveur AAA Portail/Reverse proxy des applications Gestion des authentifications, autorisations et inspection des périphériques
Adresser les périphériques mobiles Cas d usage Périphérique d entreprise? HR User = Finance App Store Finance Périphérique d entreprise? Serveur AAA CRM
Gestion d identité entre les entreprises et les fournisseurs Cas d usage Gestion d identités entre les entreprises et les fournisseurs de services: Support du SAML 2.0 SSO Gestion des identités Gestion des fournisseurs de services (Saas) SAML SP SSL Forward Proxy SAML IdP SSO and Federation Intégrer la sécurité AAA Adresser les failles de dans le cycle de Server sécurité applicatives dévelopement immédiatement Assurer la conformité PCI-DSS
Access Policy Manager Gestion d identité Gestion Centralisée de l authentification Gestion Centralisée des autorisations Gestion IDP/SP SAML Gestion d accès Tunnels VPN SSL réseaux et applicatifs Portail d accès Reverse-Proxy avancé avec authentification HTTP : Réécriture de contenu HTTP et dérivé Deport d affiche : Vmware View/Citrix ICA/RDP
Protéger votre Data-center avec BIG-IP Application Firewall Manager(AFM) BIG-IP AFM Protéger les data-center, offrir des performances supérieures, protéger des attaques Ddos, Inspecter les flux SSL
Millions Rack units Gbps Millions Un Firewall taillé pour les enjeux du data-center 350 300 250 Throughput 2x 7 6 5 Connections per second 14x 200 4 150 3 100 2 50 1 0 F5 (VIPRION 4480) Juniper (SRX 5800) Cisco (ASA 5585-X) Check Point (61000) 0 F5 (VIPRION 4480) Juniper (SRX 5800) Cisco (ASA 5585-X) Check Point (61000) Sessions Footprint 200 10x 200 22x 100 100 0 0 F5 (VIPRION 4480) Juniper (SRX 5800) Cisco (ASA 5585-X) Check Point (61000) F5 (VIPRION 4480) Juniper (SRX 5800) Cisco (ASA 5585-X) Check Point (61000)
INSPECTION DU SSL Cas d usage SSL! SSL SSL SSL Obtenir de la visibilité détecter les attaques cryptées en SSL Proposer un proxy SSL à haute performance Décharger les serveurs du SSL tout en centralisant les certificats
IP INTELLIGENCE (base de réputation IP) hacker Botnet Région ou pays bloqué service IP intelligence Mise à jour toutes les 5 mns Application standard Requete anonyme Application critique Proxy anonyme Scanner Base de géeolocation Périphériques internes infectés
F5 mitigation technologies F5 Mitigation Technologies Protection et remédiation DDoS Cas d usage Increasing difficulty of attack detection OSI stack Physical (1) Data Link (2) Network (3) Transport (4) Session (5) Presentation (6) Application (7) OSI stack Network attacks SYN Flood, Connection Flood, UDP Flood, Push and ACK Floods, Teardrop, ICMP Floods, Ping Floods and Smurf Attacks Session attacks DNS UDP Floods, DNS Query Floods, DNS NXDOMAIN Floods, SSL Floods, SSL Renegotiation Application attacks Slowloris, Slow Post, HashDos, GET Floods BIG-IP AFM SynCheck, default-deny posture, high-capacity connection table, fullproxy traffic visibility, rate-limiting, strict TCP forwarding. Packet Velocity Accelerator (PVA) is a purpose-built, customized hardware solution that increases scale by an order of magnitude above software-only solutions. BIG-IP LTM and GTM High-scale performance, DNS Express, SSL termination, irules, SSL renegotiation validation BIG-IP ASM Positive and negative policy reinforcement, irules, full proxy for HTTP, server performance anomaly detection Protect against DDoS Withstand the at all layers 38 vectors largest attacks covered Gain visibility and detection of SSL encrypted attacks
Application Delivery Firewall Pare feu réseau haute performance Solution de protection DDoS L4-7 Pare feu applicatif Inspection du SSL Plateforme d accès SSL Gérer la sécurité réseau avec les volumétries actuelles Proposer une solutions de protection de l ensemble des attaques DDoS Proactivement sécuriser les applications contre les failles d aujourd hui et de demain Fournir une visibilité complete en inspectant et controlant le SSL Gérer les enjeux de l accès et du BYOD.
Consolider vos solutions de sécurité avec BIG-IP Application Delivery Firewall (ADF) One platform Network firewall Traffic management Application security Access control DDoS mitigation SSL inspection DNS security EAL2+ EAL4+ (in process)
Firewall Next-generation? Next generation firewall F5 Application Delivery Firewall Corporate (users) caractéristique Gestion des connections sortantes Focus sur les utilisateurs de l entreprise Multi-protocole Gérer la sécurité des utilisateurs sur le réseau d entreprise Internet Datacenter (servers) caractéristique Gestion des connections entrantes Protection des applications externes Focus applicatif avec 12 protocoles (HTTP, SSL, etc.) Sécuriser les applications sur tout type d accès
Optimiser les flux entre les data-centers avec BIG-IP WAN Optimization Module (WOM) Atteindre les objectifs de DR, améliorer l utilisation de la bande passante, et réduire le coût des infrastructures
Améliorer l expérience utilisateur avec BIG-IP WebAccelerator Caching, compression, multiconnect, contrôle du cache du poste de travail
BIG-IP Web Accelerator optimisation applicatives des applications Webs Cache du contenu intelligente (IBR) Optimisation des images (compression/taille) Linéarisation de contenu Ré-ordonnancement de contenu optimisation réseau des applications Webs SPDY-Gateway Compression intelligente des objets Reservation de bande passante CDN prive (symétrique)