Norbert Pabiś

Chief Executive Officer

Incapsula. Ochrona serwisów i aplikacji www przed zagrożeniami z internetu

Współczesny biznes jest, w stopniu większym niż kiedykolwiek wcześniej, oparty o systemy informatyczne. Dla wielu przedsiębiorstw systemy informatyczne, w tym te dostępne dla klientów i partnerów przez Internet, są niezbędne do prowadzenia działań biznesowych, a zagrożenie ich bezpieczeństwa oznacza kolosalne straty.

Jak się więc ochronić przez zagrożeniami, które czyhają na nasze aplikacje w sieci? Proponujemy rozwiązanie Incapsula.

Każda niedostępność systemu to straty finansowe

Praktycznie wszystkie duże firmy, nawet te, którym Internet nie jest konieczny do prowadzenia biznesu, muszą być obecne w Internecie z powodów informacyjnych i wizerunkowych.

Internet to wymierne korzyści, ale też konkretne ryzyko. W dzisiejszym świecie jest wiele zagrożeń dla systemów informatycznych, których źródłem jest Internet. Umożliwia on praktycznie każdemu podjęcie próby zaszkodzenia firmie obecnej w globalnej sieci. Podstawowe zagrożenia to włamania i DDoS czyli atak siłowy, którego skutkiem jest brak możliwości działania aplikacji.

Coraz częstsze włamania

Szczególnie niebezpieczny jest DDoS, który może przeprowadzić praktycznie każdy – grupa aktywistów z powodów ideologicznych, nieetyczny konkurent w biznesie, niezadowolony pracownik a nawet nieodpowiedzialny nastolatek, który bawi się w hackera.

Włamania również są coraz prostsze, dzięki szeroko dostępnym narzędziom, które wyszukują podatności w popularnych aplikacjach i automatyzują ich wykorzystanie. Skutkiem włamań jest w najlepszym wypadku spadek wiarygodności firmy, a w poważniejszych przypadkach również utrata poufnych danych i narażenie swoich klientów lub swojej działalności biznesowej.

Po pierwsze bezpieczeństwo

e-point od lat dostarcza swoim klientom aplikacje oraz zarządza kompleksowo hostingiem zapewniając bezpieczeństwo i wysoką dostępność - rozumianą jako odporność na awarie poszczególnych elementów infrastruktury.

Ochrona przez włamaniami wymaga przestrzegania zasad pisania bezpiecznych aplikacji przez dostawcę, ale obrona przed atakami DDoS wymaga dużych nakładów finansowych, często za dużych, by móc ochronić pojedyncze aplikacje.

Partnerstwo z Incapsula

e-point postanowił podjąć działania mające na celu umożliwienie firmom, dla których działalność lub choćby obecność w Internecie ma kluczowe znaczenie, ochronę swoich aplikacji przed atakami DDoS oraz innymi zagrożeniami pochodzącymi z Internetu. Szukaliśmy partnera z doświadczeniem, który jest w stanie dostarczyć ochronę przed dużymi atakami DDoS i próbami włamań, których ciągły strumień płynie z Internetu, przy zachowaniu prostoty wdrożenia oraz akceptowalnych kosztach.

Nawiązaliśmy współpracę z firmą Incapsula, która według niezależnych testów jest liderem w dostarczaniu rozwiązań chroniących aplikacje przed atakami DDoS i szerzej w zakresie szeroko rozumianego bezpieczeństwa.

Istnieje możliwość uruchomienia Incapsuli na próbę, na okres dwóch tygodni.

W zależności od rozmiaru ruchu do chronionych serwisów, ich ilości oraz spodziewanego rozmiaru ataku istnieje możliwość wyboru kilku planów w obrębie usługi typu Enterprise. Począwszy od 20 Mbps ruchu przy ochronie przed atakiem rzędu 1 Gbps, poprzez 2, 4, 8 Gbps a nawet bez ograniczeń na poziom ataku jak i wolumenu ruchu prawidłowego.

Kluczowe cechy

  • Brak konieczności instalacji dedykowanego sprzętu i programowania
  • Wsparcie 24x7
  • Automatyczne wykrywanie ataków i aktywacja środków ochrony
  • Mniej niż 0,1% fałszywych alarmów
  • Ochrona na wielu poziomach modelu sieci OSI (3, 4 oraz 7)
  • Błyskawiczne wdrożenie
  • Miesięczna subskrypcja

Usługi wchodzące w skład pakietu

Zaawansowana ochrona przed atakami DoS/DDoS

Umożliwia działanie serwisów i aplikacji w przypadku zmasowanego ataku dużym wolumenem ruchu.

Web Application Firewall (WAF)

Pozwala zablokować żądania do aplikacji, które noszą znamiona prób włamania, np. XSS, SQL Injection i inne, np. te wchodzące w skład OWASP Top 10. WAF Incapsula wyróżnia się wysoką skutecznością i wyjątkowo niskim poziomie fałszywych alarmów.

Certyfikowana zgodność z PCI

WAF Incapsuli posiada certyfikat zgodności z PCI (Payment Card Industry), tj. surowymi wymogami bezpieczeństwa wymaganymi przez organizacje oferujące płatności kartami kredytowymi.

Klasyfikacja botów

Pozwala blokować automaty (boty), które są sklasyfikowane jako złośliwe, podczas gdy boty pochodzące od silników indeksujących (np. Google) dostają się do aplikacji bez przeszkód.

Content Delivery Network (CDN)

Serwery Incapsuli, pośredniczą w dostarczaniu treści. Mogą przy tym również odciążyć serwery klienta z części ruchu z Internetu, zmniejszając ich obciążenie i wykorzystanie łącza do Internetu. Najbliższe węzły dla Polski to doskonale połączone z polskim Internetem centrum we Frankfurcie oraz Londynie i Amsterdamie.

Monitoring

Incapsula dostarcza panel administracyjny, w którym można obejrzeć statystki ruchu, wykrytych zagrożeń, ilość ruchu automatycznego i poprawnego generowanego przez użytkowników, w tym statystyki live.

Load balancing

Rozkładanie ruchu między kilka serwerów klienta.

Wykrywanie zainstalowanych backdoor'ów

Incapsula pozwala wykrywać obecność zainstalowanego przez włamywacza oprogramowania i aktywnie blokować jego komunikację.

Optymalizacja treści

Nawet dobrze napisane aplikacje często nie przykładają wagi do optymalizacji generowanych treści i innych zasobów (takich jak obrazy), Incapsula może uzupełnić tę lukę dokonując optymalizacji i kompresji HTMLa, minifikacji CSS i JS oraz przekodowania obrazów na mniejsze rozmiary.

Raportowanie, powiadomienia

Istnieje możliwość konfiguracji powiadomień e-mailowych w przypadku wystąpienia zagrożeń (skanowanie, próby włamania) oraz otrzymywanie tygodniowych raportów.

SSL

Incapsula posiada możliwość obsługi ruchu szyfrowanego, przy czym można skorzystać z własnego certyfikatu lub użyć certyfikatu wygenerowanego przez Incapsula, która jest autoryzowanym wystawcą certyfikatów SSL.

Własne strony awaryjne

W przypadku niedostępności aplikacji lub przeciążenia atakiem Incapsula może wystawić strony awaryjne klienta uzupełnione o informacje często wymagane przez ustawodawcę, np. wartości jednostek, akcji, alternatywne metody kontaktu takie jak telefon, e-mail, adres biur czy punktów obsługi klienta.

API

Dostęp do wielu funkcji jest możliwy z poziomu API. W razie potrzeby funkcji Incapsula mogą być zintegrowane z systemami zarządzania infrastrukturą czy monitoringiem klienta.

Dwuskładnikowe uwierzytelnienie

Opcjonalnie również aplikacja klienta może być chroniona przez dwuskładnikowe uwierzytelnienie, dzięki czemu nawet przejęcie hasła do konta administratora nie daje atakującemu dostępu do aplikacji.

Wszystkie usługi można w dużym stopniu skonfigurować, a czas ich aktywacji trwa kilka minut.

Łatwość wdrożenia

Brak zmian w infrastrukturze

Warto podkreślić, że Incapsula wyróżnia się łatwością wdrożenia. Nie jest wymagany żaden dodatkowy sprzęt instalowany u klienta czy w centrum hostingowym. Nie trzeba zmieniać centrum hostingowego, dostawcy łączy ani modyfikować aplikacji. Samo konfigurowanie serwisu trwa parę chwil, a pełne wdrożenie nastąpi w czasie niezbędnym na rozpropagowanie zmian w DNS dla domen, które mają podlegać ochronie.

Doświadczenie dostawcy

Drugi ważny aspekt to doświadczenie dostawcy, który chroni wiele serwisów swoich klientów, a zebrane doświadczenie wykorzystuje do dalszego udoskonalania usługi. To doświadczenie, kompletność usługi i jakość kontaktu z użytkownikiem zostało docenione w rankingu usług ochrony przed DoS/DDoS

e-point posiada wiedzę i umiejętności do tego, aby przeprowadzić pełne wdrożenie dla klienta. Dostarczamy polskojęzyczne wsparcie 24x7. Korzystając z naszych doświadczeń możemy przejąć zarządzanie usługą dla klienta lub umożliwić samodzielną administrację lub tylko nadzór. Warto zaznaczyć, że ochrona frontu infrastruktury hostingowej to początek świadomego zarządzania dostępnością własnych aplikacji. Istotne jest również poznanie słabych punktów i ograniczeń infrastruktury oraz wiedza administratorów. Służymy doradztwem w tym zakresie.

W zależności od rozmiaru ruchu do chronionych serwisów, ich ilości oraz spodziewanego rozmiaru ataku istnieje możliwość wyboru kilku planów w obrębie usługi typu Enterprise. Począwszy od 10 Mbps ruchu aż do 100 czy nawet 200 Mbps przy ochronie przed atakiem rzędu 1 Gbps, poprzez 2, 4, 8 Gbps a nawet bez ograniczeń na poziom ataku.

Jesteśmy autoryzowanym partnerem Incapsula

Incapsula specjalizuje się w dostarczaniu kompleksowej usługi ochrony systemów informatycznych przed zagrożeniami pochodzącymi z Internetu oraz przyśpieszaniu działania aplikacji.