Vybojovali jsme 2. místo na WebTop100 za projekt pro Armádu ČR
Jsme hrdí na to, že kvalitu tak významného řešení ocenila porota největší soutěže digitálních projektů v Česku a na Slovensku. Pojďme si jej představit.
Po bezpečnostních opatřeních vztahujících se k zaměstnancům, jimiž jsme se zabývali v prvním díle, a po opatřeních chránících přihlašování a správu dat popisovaných ve druhém článku, se tentokrát budeme věnovat tomu, jak a čím doporučujeme chránit klientské weby a e-commerce řešení po spuštění.
FG Forrest vždy klientům doporučuje zvážit využití Web Application Firewallu, případně ochrany proti DDoS útokům.
WAF si lze laicky představit jako antivirový program, který kontroluje původ a obsah datových přenosů z internetu k webovým serverům. Tzn. prvky WAF eliminují škodlivý provoz z internetu (běžně až 75 %) na základě typických znaků. K obsahu na koncovém aplikačním serveru (stránkám webu či e-shopu) se díky WAF nedostává většina nelegitimních požadavků, a ten tedy nemusí disponovat nadbytečným výkonem.
V roce 2020 jsme integrovali vlastní WAF do CMS & e-commerce platformy Edee.one, jak popisujeme v samostatném článku.
DDoS útoky mají za cíl znepřístupnit webové řešení pro běžné návštěvníky. Princip fungování internetové sítě umožňuje tyto útoky poměrně snadno realizovat, přičemž ochrana je bohužel poměrně náročná.
Ochrana proti DDoS útoku se obvykle řeší softwarovými prvky předřazenými samotnému webovému řešení. Laicky lze ochranu popsat jako čističku, do níž vstupuje veškerý internetový provoz, a jakmile je čističkou zjištěna anomálie (např. DDoS útok), jsou zapojeny filtry, které škodlivý provoz z internetu k webovému řešení eliminují. Ochranné prvky musí disponovat velkým výkonem, neboť útoky mohou dosahovat velké síly (šířky internetové konektivity). Proto provozovatelé anti DDoS ochran obvykle definují maximální počet požadavků za sekundu, kterým jsou schopni čelit.
Ceny za ochranu se pak obvykle odvíjí od horní hranice odolnosti nebo od počtu filtrovaných požadavků za sekundu.
Dlouhodobě máme dobré zkušenosti s WAF a anti DDoS službou Incapsula od společnosti Imperva, které jsme implementovali a spravujeme nakolika klientům. Dále nabízíme produkty společností Comsource (Flowguard) a VSHosting (DDoS Protect). Pro webová řešení vyžadující mimořádnou rychlost napříč kontinenty a bezpečnost doporučujeme i produkt od společnosti Cloudflare.
U cloudových služeb lze obvykle objednat WAF včetně anti DDoS ochrany. Spojenou službou u těchto poskytovatelů bývá i CDN - Content Delivery Network. CDN je určena ke zrychlení doručování webového obsahu, tj. ke zrychlení a zvýšení uživatelské kapacity webového řešení. Popis CDN je však nad rámec tohoto seriálu zaměřeného na bezpečnostní prvky.
Edee.one je komplexní platforma pro správu webů, e-shopů, intranetů a e-mailing. Vyvinuli jsme ji během 20 let v FG, slouží ke správě stovek webových řešení. Editorský přístup do administrace je umožněn po přihlášení, jehož zabezpečení zahrnuje následující prvky:
Radek Šafránek, Chief Information Security Officer
Další podobné články:
Jak v FG dbáme na bezpečnost I. (o školení zaměstnanců a externistů, a zabezpečení zaměstnaneckých počítačů a smartphonů)
Jak v FG dbáme na bezpečnost II. (o minimalizaci přístupových práv, dvoukrokovém přihlašování, bezpečnostních testech a dalších technických opatřeních)